揭秘“攻击”工行在美全资子公司的“勒索病毒”！业内：就像自己的抽屉被别人上了锁！

每经记者 张宏  刘嘉魁    每经编辑 马子卿    

美东时间11月8日，“宇宙第一大行”中国工商银行股份有限公司在美全资子公司——工银金融服务有限责任公司（以下简称“ICBCFS”）被“网络狂徒”盯上了。

日前，ICBCFS在官网发布声明称，由于遭勒索软件攻击，导致部分系统中断。ICBCFS表示，发现攻击后立即切断并隔离了受影响系统，已展开彻底调查并向执法部门报告，正在专业信息安全专家团队的支持下推进恢复工作。

图片来源：ICBCFS网站

至于业务受影响程度，ICBCFS在声明中提到，已成功结算周三执行的美国国债交易和周四完成的回购融资交易。中国工商银行及其他国内外附属机构的系统未受此次事件影响，中国工商银行纽约分行也未受影响。

这起事件的主角之一，所谓的“勒索病毒”是什么？钢筋混凝土打造的银行，能防得住网络攻击吗？

自己的“抽屉”被别人上了“锁”！

工行在美全资子公司遭遇勒索病毒攻击

日前，工行在美全资子公司ICBCFS在声明中提到，“由于遭勒索软件攻击，导致部分系统中断。在遭遇勒索病毒攻击后，已隔离系统。”北京明朝万达科技股份有限公司助理总裁兼研发中心总经理安鹏向记者解释称，病毒都会有攻击链路，一开始黑客只能攻击外围系统，比如某一台办公电脑、邮箱系统等。因为这些外围系统暴露面较多，很容易入侵进去。

但是继续入侵，IDS系统（入侵检测系统）或防火墙可能就会起到作用。此次事件中，可能ICBCFS末端设备的一些杀毒软件、沙箱或者蜜罐技术已经检测到入侵行为，并及时进行阻断，以降低损失。

“病毒的传播是从一台设备到另外一台设备，这个过程是通过网络通信进行的。传播的过程，首先恶意软件会有一个扫描系统，探测与之相同网络域里有哪些IP地址。然后，向这些IP地址发送探测报文，根据探测报文返回的结果，确定哪些系统有脆弱性，比如操作版本比较低，或没打‘补丁’。而后针对性地攻击这个系统，利用漏洞远程执行代码，将这个系统变为跳板机，再去探测攻击与之有网络连接的设备，一步步渗透到系统内部。所以，只有当系统内部确实有漏洞和脆弱性，病毒才能进得去。”

此外，安鹏进一步补充，“如果采取物理隔离的方式，病毒失去了传播途径，再怎么传播也只能局限在外围，无法进入系统内部。所以通过网络隔离的方式，肯定是可以阻止勒索病毒进入到内部系统的。”

上海银联的王工程师告诉《每日经济新闻》记者，“目前银行的核心系统，一般情况下都会采用‘主+备’的机制，系统不会设置在同一个地方。虽然不清楚此次工银美国系统为何受攻击，以及受攻击后采取了哪些应对措施，但银行系统的应对流程大差不差。从官方声明来看，业务没有受太大影响，很可能是灾备系统起了作用。此时勒索软件再去攻击的话，由于无法及时获取到灾备系统的IP信息和网络策略，从而失败。”

值得注意的是，这起事件的主角之一，“勒索病毒”究竟是什么呢？有业内人士比喻称，“如果自己存放重要资料的抽屉被他人上了锁，锁上贴着字条——‘交赎金拿钥匙’，这就是‘勒索病毒’。”

安鹏在接受《每日经济新闻》记者采访时表示，“勒索病毒”其实是一种恶意软件，与普通计算机的病毒传播类似，勒索病毒也可以通过网络传播，感染计算机。勒索病毒发作时，可以加密用户的文件，也可能阻止用户访问计算机操作系统，或文件目录。黑客将本来用于保护用户数据的加密技术，反向用于勒索，用户只有通过交赎金的方式获取密钥，才能解开被加密的数据。

记者注意到，近年来勒索病毒肆无忌惮四处攻击，不少金融机构都成为其下手目标。深圳市网络与信息安全行业协会在其公众号上发布，仅在2022年，全球多家保险、银行乃至央行成为勒索病毒的攻击目标。例如：2022年1月，印尼央行遭勒索软件袭击，超13GB数据外泄；2022年3月，保险业巨头AON遭网络攻击，不过该事件并未对公司业务、运营和财务状况产生重大影响；2022年5月，赞比亚央行遭勒索软件攻击，部分系统中断服务；2022年11月，澳大利亚医疗保险巨头Medibank遭勒索软件攻击，网络犯罪团伙有关的攻击者已经泄露了大量公司的敏感信息，包括客户的个人信息和健康数据等。

如今，随着加密货币兴起，这一病毒更加难以溯源，至今仍然活跃异常。安鹏表示，勒索病毒的“活跃”与比特币等通过区块链技术制作的支付货币有关。

以前，黑客要收赎金就要提供账号，容易在这个环节暴露身份；现在，黑客要求用比特币的方式支付，因为比特币是一种加密货币，可以在互联网上以匿名的方式交易，所以很难溯源。据介绍，在区块链的系统内，所有交易信息都以哈希值（用以标识加密信息的字符串）的形式呈现，不可篡改也难以溯源。

难以溯源，犯罪成本就变得很低；比特币等可以交易，存在利益链条。但这也不是完全无法追踪，安鹏指出，“比如，由比特币转换成实际货币的过程，会留下交易记录，可以针对一些异常线索，展开追踪。”

除了“勒索病毒”，还要关注哪些“攻击”？

业内：每月都要定期更新，查漏洞打“补丁”

此次事件发生后，记者采访了某大行渠道部陈经理。陈经理告诉记者，近期，他所在的银行总行专门下发邮件，要求全行加强网络安全意识。邮件指出，要加强银行核心系统病毒库的升级、及时更新，并着重强调各级机构加强网络安全监控，务必做到互联网终端与内网的隔离。同时，进一步提升员工安全意识，比如日常工作中不要点击来历不明的邮件链接、安全使用U盘等事项。

除了“勒索病毒”外，金融机构还容易受到哪些网络方面的攻击？

安鹏介绍，除“勒索病毒”外，金融机构还容易遭受DDOS攻击（分布式拒绝服务攻击），或遭受攻击导致数据泄露。安鹏介绍，黑客通过跳板攻击的方式恶意掌控大量“肉鸡（受控服务器）”，不停地访问机构的服务接口，导致服务器过载，正常的服务请求中断。

“‘肉鸡’可能分布在全球各地，所有者甚至对此毫不知情。”安鹏举例称，“比较典型的是，（比特币）‘挖矿’的矿机被黑客掌控，作为跳板；还有很多企业内部有一些服务器，这些服务器如果不及时打“补丁”、升级病毒库，很有可能自己的系统被黑客利用而不知情。”

DDOS攻击的目的是什么？安鹏表示，“假如两家企业业务重合，其中一家业务瘫痪，另一家就会获得用户。也可能用于国家间的对抗，如果想让整个金融系统瘫痪，黑客就可能对这个国家的金融系统发起DDOS攻击。”

此外，机构面临的另一种网络安全威胁是数据泄露。安鹏表示，“造成数据泄露的原因是多方面的。一部分来自内部，一部分来自外部。来自内部的情况下，内部人员有意无意情况下造成数据泄露。来自外部的情况下，例如，受到黑客攻击，包括勒索病毒等，将数据加密以后发到暗网上去售卖也是有的。”

现实中，银行等金融机构的网络遭受黑客、木马攻击导致崩溃等情况是否常见？

上述某大行渠道部陈经理告诉记者，偶尔会有网络卡顿的情况，但系统遭受攻击的情况没遇到过，总体很安全。“唯独有一次，在办理业务时，系统白屏了，短暂中断，当时还有很多网络说法。”该人士笑称，说明银行系统中断的情况还是很罕见的。

不过，银行系统遭遇黑客入侵、勒索软件、木马等导致崩溃或中断的情况也真实发生过。某城商行分行杨行长回忆说，有一次，他们的系统就遭遇了这样的危机。“啊！系统断了，怎么回事？！”他还原了当时的情况，“在办业务途中，因为木马植入，全行系统都中断了，但时间比较短。”

此外，还有一些很特殊、很戏剧化的情况，也会造成银行网络中断。“比如，我行的网络曾因老鼠咬断网线而中断过，监管部门还过来检查了。”陈经理向记者补充道，“当然了，老鼠不会泄露银行信息，但黑客入侵的话，存在客户信息被盗用的风险。”

出现网络中断时，对于正在办理的业务有影响吗？

陈经理举了两个例子，说明系统中断对业务的影响很有限。“一种情况是，假如客户正在进行柜面取款业务，刚刷完卡，系统就中断了，那么在系统恢复后，继续办理即可，没什么影响。另一种情况是，如果客户已经确认了交易，提交了信息，这个时候如果网络中断的话，那么系统恢复后会提示办理人员立即核对流水，有没有重复交易。这个可以理解为系统内置的一种防护措施，保障柜面资金和客户资金安全。”

他表示，当系统中断恢复后，系统自身和银行相关部门都会提醒进行业务流水检查，发现异常交易并及时处理，不存在利用系统漏洞盗取银行资金的情况。他还透露，银行系统的风险识别机制越来越智能了，同样的业务在30分钟内重复提交，系统会提示，或直接拒绝。这样可以避免因为网络延迟或者系统故障而造成的重复交易。

对于系统中断是否会影响正在办理的业务，上述某城商行分行杨行长向记者表示，“没有影响，客户不必担心这一点。我们的系统每个月都会进行更新修复、查找不足、打“补丁”等。技术始终在进步，如果系统落后，就会增加被入侵的风险。”

那么，网络攻击对金融业有何危害呢？

安鹏表示，数据泄露对机构造成的危害主要表现在声誉损失上面，但其实对业务开展没有什么影响。因为数据本身就具有可复制的属性，遭遇泄露，系统里依然有这些数据，还可以继续使用。DDOS攻击，可能意味着短暂的交易中断，例如，网银如果遭受攻击，用户将暂时无法查询存款或进行交易；勒索病毒的危害可能比数据泄露更大一些，因为会影响业务开展。数据如果全被加密，网上交易就全部中断了。

陈经理坦言，“系统白屏事件”也引发了一些舆论的质疑，有人怀疑银行系统是否存在安全隐患，是否会泄露客户信息。他说，他们也及时向客户和社会解释了事件的原因和处理结果，强调了银行系统的安全性和稳定性，以及银行对客户信息的保密性和尊重性。同时，还会定期向客户推送一些网络安全知识和防范措施，提醒客户注意保护自己的信息和资金安全。

杨行长也持有同样的观点。“银行系统被入侵导致中断的事件，即使没有造成什么实际损失，也会给银行带来一些潜在的影响，从经济效应、社会效应等方面，都有可能产生风险。例如，客户资金可能会因突发事件而流失，还可能由于客户恐慌而造成声誉风险，这对银行而言是难以承受的。”

主动防御，内外隔离

工程师：银行系统的“Plan B”是化解危机的法宝

那么，金融机构面对这些网络威胁，该如何抵御呢？

安鹏认为，数据是关键之一。“实际上，业务系统的数据，相对来讲是在系统内部的，一般在数据中心内一些核心的服务机房里面。所以对于这些系统的防护，是可以有一些监测和防护手段的。有了这重防护，即使某个办公人员的笔记本数据被加密，重装系统再同步一下数据库里的数据即可。数据保护好了，外围系统被攻击，就格式化系统。”

“备份也是应对勒索病毒很好的办法，但备份的成本也很高。要将全部数据备份，需要单独采购一个服务器。”

对于如何防止病毒入侵，安鹏表示，“从网络安全的角度来讲，还是要做到不能有漏洞，而且要有一个整体的设计和规划，就是所谓的‘点攻面防’。什么是‘点攻面防’？就是在整个系统里不能有‘软柿子’，只要病毒找到一个‘软柿子’就可以攻击成功。所以，为了应对‘点攻’，要开展‘面防’，不能头痛医头脚痛医脚。”

“病毒入侵时，都是找系统漏洞。无论是操作系统，还是应用软件，都可能会有一些漏洞。这个漏洞可能会让黑客远程执行一些具备破坏性的代码，比如加密文件。但前提是，病毒一定是先利用了漏洞，成功执行了这部分代码，才能做到这一点。”

“银行网络的风险防控措施，从大的方面来看，可以分为内部管理和外部维护两个层面。”杨行长告诉记者，内部管理主要是加强内部传输管理和内部软件管理，防止内外部人员利用U盘或其他移动终端植入病毒和木马；外部维护主要是定期更新软件，检查系统漏洞、打“补丁”，以及设置防火墙、实时更新病毒库等，监测和拦截可疑的访问和交易，防止黑客入侵和攻击。

“银行人员要通过内部系统进行沟通往来，如果没有严格的内部管理，没有统一的传输要求，很容易植入病毒。”该行长表示。他坦言，银行的系统虽然安全系数很高，但也存在被黑客入侵的风险。随着病毒越来越“高明”，银行要尽量前移风险防控关口，发现系统漏洞及时打“补丁”，如果内部修复和应对机制滞后，出现大面积病毒感染时才重视，为时已晚。

大行和中小银行在网络安全和危机处理方面有哪些优势和劣势？

陈经理认为，对于大行来说，系统大多经历了不断发现“BUG（程序错误）”而后修复“BUG”的过程。由于积累了足够的经验教训和各地案例，“错题库”丰富一些，可以搭建起部分中小银行尚未了解到的防控措施。

而杨行长认为，对于中小银行来说，优势在于组织结构和业务架构相对更简单，更扁平，遇到网络安全危机时能够及时传导至各级，解决问题的效率更高。

此外，银行网络安全防控要有应急演练和备用网络，做到内外隔离。

“我们的系统是不识别外部U盘的。”陈经理介绍，该行主要通过局域网、外来网络接入、移动终端管理等方面来布局网络安全风控措施，以防止外部病毒和木马的入侵。

“银行机房是重地，随进随出都要登记。”从物理层面，银行会对网络进行定期巡检维护和风险漏洞排查。银行机房也是开业前监管部门现场核查的重点区域之一。

银行系统，主要分为对外办理业务的系统，和对内办公的OA系统。“我行已经整合成一个系统了，统称核心系统，但用的局域网不同，对外的称为生产端，对内的称为办公端，二者严格隔离，这也是风控手段之一。”他表示。

据悉，针对网络中断这种突发情况的应急演练，是银行网络安全防控措施之一。陈经理介绍道，应急演练又分了很多层面，营业网点主要针对网络用户终端，对于银行渠道部等部门来说，要安排部署系统中断期间银行的运营流程，对于技术部门，则主要针对网络突然崩溃等情况，同时启用防止灾害的备用网络，俗称防灾备线，“相当于银行系统的一个Plan B（第二行动方案、备选方案）”。

他透露，他们的系统有多个备用网络，如果主网络出现故障，就会自动切换到备用网络，保证系统的连续性和稳定性。这些备用网络都是经过严格测试和验证的，不会出现数据丢失或者不一致的情况。

银行系统的“Plan B”，可能也是此次工银美国化解危机的法宝。上海银联的王工程师告诉《每日经济新闻》记者，“主流的银行都会采用类似‘两地三中心’这样的系统配置。正常情况下，会在主营的主机上进系统，如果发现自然灾害或黑客入侵等网络灾害的情况，会立即切断主系统，将业务切入到灾备系统中。”他分析道，就此次工银美国系统受攻击的情况而言，可能是将现在正在运行的系统主动切换到其他灾备系统上。

“根据监管要求，银行至少要每隔两年完成一次灾备切换演练，并报告演练结果。”王工程师说，虽然监管要求是至少两年要进行一次灾备演练测试，但银联每年都会将信息传导给银行，进行主备机的切换演练，验证整个业务运行流程。

以信用卡业务为例，为了确保业务能够在灾备系统中有效运行，一般情况下，银行会将80%以上的主营业务放在主运行系统上进行交易接收，将很少一部分安全性要求不太高、交易成功率要求没有那么高的业务放在灾备系统运行。“这样的话，有问题就能及时发现。”

他表示，一般情况下，银行会通过一根或多根专线来进行业务处理和系统之间的交互，总体还是很安全的，受网络攻击的概率很低。网络前端有一道防火墙，并定期和实时更新病毒库。比如陌生IP频繁访问，就能实现一系列监控。

在网络的外围，系统都需要设计相应的IP。为什么会通过专门的线路？“正常情况下，即使你知道银行系统的IP地址，但在访问系统之前，对于专线来说，IP是陌生的，可能直接就被防火墙阻断了。”王工程师举例道，比如银行的系统要和银联的信用卡系统进行交互，要开通网络策略，那么，银行会将系统IP提供给我们，我们把IP部署到防火墙策略中，相当于双方约定好，将银行IP地址写入我们的防火墙白名单。

封面图片来源：视觉中国-VCG211101902712