安全公司卡巴斯基实验室（kasperskylab）披露了全球100家银行和电子支付系统的大规模安全漏洞，其中包括美国的银行。据估计，利用这一安全漏洞窃取了多达10亿美元的资金，这一漏洞首次出现在2013年底。"海洋十一号"风格的黑客卡巴斯基称，一个由俄罗斯、乌克兰、中国和其他欧洲国家的网络犯罪分子组成的跨国网络要对这次入侵负责。有趣的是黑客表现出的老练和耐心。每次袭击平均耗时2至4个月。利用鱼叉式网络钓鱼，一种针对特定组织的网络钓鱼电子邮件，黑客能够在银行员工的电脑上安装名为Carbanak的恶意软件。Carbanak允许黑客在窃取资金前几个月监控银行家的行为。"卡巴斯基在报告中说："这使得攻击者能够了解他们目标的协议和日常作战节奏。另一个被黑客们监视的方法是将每家银行的被盗金额限制在1000万美元以内。卡巴斯基推测，这一限制是由于1000万美元是银行为欺诈风险预算的最高金额，希望银行不会对其系统展开全面分析。如果分布在100多家银行，被盗金额可能超过10亿美元。在受影响的银行中，42%位于俄罗斯，只有10%位于美国。卡巴斯基北美区董事总经理克里斯多吉特（chrisdoggett）表示，虽然大多数网络盗窃行为更具破坏性和抓取性，但这种黑客行为的有条不紊的性质"更像是‘十一大洋’"。黑客将资金从银行转移到个人账户，甚至攻击自动取款机，安排机器在黑客组织成员等待的特定地点和时间派发现金。持续的攻击目前还没有银行出面承认黑客入侵。然而，美国银行（bankofamerica）的一位代表回应称，该行"没有受到卡巴纳克（Carbanak）的影响"。我联系过的其他银行没有回复我的询问。卡巴斯基说，攻击仍在进行中，它正在与执法部门合作追查黑客。安全记者布莱恩·克雷布斯（Brian Krebs）早在2014年12月就报道了这一漏洞，他解释了俄罗斯和乌克兰黑客是如何设法从银行内部攻击自动柜员机的。袭击始于2013年12月，感染高峰出现在2014年6月。卡巴斯基知道这起袭击，但直到现在才公布细节，因为调查仍在继续。执法部门要求该公司在调查过程中不要过早泄露信息。容易挑选尽管10亿美元的数字令人震惊，但窃贼们用来访问银行系统的方法却并非如此。类似鱼叉式钓鱼的技术已经存在很长时间了。鱼叉式网络钓鱼针对的是那些伪装成合法信件的伪造电子邮件的组织，目的是让银行员工下载受感染的附件，比如Word文档。图片来源：401（K）2012 via Flickr一旦员工下载或点击恶意链接，卡巴纳克病毒就会被注入电脑。Carbanak是一种被称为RAT（远程访问工具）的工具，它允许黑客查看一个人计算机上的一切，承担控制权，甚至记录击键记录。在进入一家银行的电脑后，黑客们又对其他银行发动了额外的鱼叉式网络钓鱼电子邮件攻击，从合法的银行地址发送电子邮件，并模仿员工的行为。银行未能采用基本的安全措施如果银行采取基本的安全措施，它们本可以避免被黑客攻击。老鼠并不是什么新鲜事，今天困扰我们的网络钓鱼技术也不是什么新鲜事。Carbanak病毒散布在受感染的Microsoft Office附件中。拥有一个更新版本的microsoftoffice本可以阻止攻击，因为这些安全漏洞已经被修补。为员工提供基本的网络安全培训，也可能导致检测到包含感染的鱼叉式网络钓鱼电子邮件。总体而言，许多银行机构并未认真对待网络安全问题。美国运通、Capital One和花旗银行都缺乏基本的双因素认证，这在很大程度上保护了客户的账户。前往https://twoafactorauth.org/看看哪些银行和服务机构仍然没有使用两个因素。虽然银行正在考虑提高客户的安全性，但有些银行却忘记了为自己的员工增加安全性。离开你的手我讲过一些基本的安全实践，比如使用密码管理器和启用双因素身份验证，但是在这种情况下，您无能为力。Carbanak攻击的目标是银行，而不是个人账户，但是你仍然应该经常检查你的账户，看看是否有可疑行为。"消费者应定期检查网上和纸质对账单，以发现异常活动。此外，消费者在下载附件和打开来自他们不认识和不认识的机构的链接时应该谨慎。如果一封声称是你的银行机构的电子邮件看起来可疑，那可能是一个网络钓鱼骗局，你应该再次与你的银行核实，以确保该电子邮件确实来自他们，"Avast COO Ondrej Vlcek说。Avast Free Antivirus 2015检查过时软件为了确保你不会像受到卡巴纳克攻击的银行一样成为攻击的牺牲品，一定要让你的电脑不断更新最新的软件和系统更新。Windows用户可以在Windows Update中检查更新，Mac用户可以在Mac App Store中进行检查。如果你觉得邮件可疑，直接访问你银行的网站或者给他们打电话。你也可以使用Mint这样的服务来监控你所有的财务账户。Mint会向您发送任何可疑活动的通知，并让您快速浏览任何可能与您的帐户无关的内容。你可以下载Mint移动应用程序（Android | iOS），以便更快地收到通知。不幸的是，公司对安全的疏忽是司空见惯的。去年夏天，Target的违规行为表明，该公司忽视早期预警的速度有多慢，导致100万至300万信用卡号码被盗。索尼影业将他们的密码保存在一个未加密的明文文件中，也没有对员工的电子邮件进行加密。家得宝（homedepot）承认，2014年的黑客攻击是由于该公司的政策符合安全标准，而不是预期新的威胁。我们所能做的就是等待听到哪些银行受到了影响，以及它们将如何修补安全漏洞。来源：卡巴斯基[PDF]，2相关故事安森健康保险被黑客入侵。以下是如何保护自己。苹果首次悄悄地向Mac用户推送关键的安全更新Ignite——运营商可能会在未经您许可的情况下开始在Android手机上安装应用程序在Twitter上关注我：@lewisleong