新威胁三角:影子 AI、深度伪造与供应链风险重构金融业安全
导语:2025年,金融机构面临的网络威胁呈现"智能化、系统化、供应链化"三大特征。经济利益驱动的攻击持续占据主导地位,而AI技术的双刃剑效应正在重塑攻防格局。
一、总体威胁态势:经济动机主导,数据泄露代价高昂
2025年,经济利益驱动的攻击仍是银行、保险公司和支付机构面临的首要网络威胁。数据显示:
表格
| 指标 | 数据 |
|---|---|
| 具有经济动机的入侵事件 | 约90% |
| 其中数据泄露占比 | 64% |
| 其中勒索软件占比 | 36% |
| 单次数据泄露平均成本 | 556万美元 |
金融业已成为全球数据泄露成本第二高的行业。从窃取的数据类型来看:
个人数据:54%(最常遭窃取)
机构内部数据:35%
凭证类数据:22%
攻击者利用这些数据实施下游欺诈、凭证转售,并维持对受害网络的持久访问权限。
初始入侵手段分布与往年基本保持一致:
黑客技术:45%
恶意软件:37%
社会工程:25%
二、AI加速攻击进程:从"辅助工具"到"核心引擎"
2025年,威胁行为体已将AI深度整合到攻击生命周期的多个环节——从侦察、漏洞发现到入侵后活动,AI正在全面加速攻击进程。
1. 自适应恶意软件崛起
基于机器学习的自动化漏洞扫描大幅缩短了漏洞披露与实际利用的时间差,给运行大型异构IT环境的机构带来巨大压力。当年发现的先进恶意软件已具备运行时动态调整行为的能力,可主动规避安全防护措施。这类自适应恶意程序使基于特征码的检测手段失效,并显著延长了攻击者在受害网络的驻留时间。
2. 生成式AI赋能欺诈与社会工程
生成式AI显著提升了欺诈和社会工程攻击的效果:
钓鱼攻击、商务邮件诈骗(BEC)和虚假账单欺诈开始使用上下文准确、语言流畅的AI生成内容,消除了传统邮件过滤依赖的诸多特征指标
深度伪造(Deepfake)技术已被用于冒充高管或客户经理的声音与视频,胁迫员工授权交易或泄露敏感信息
地下市场的"欺诈即服务"(Fraud-as-a-Service)产品降低了技术门槛,使针对金融机构的攻击保持高成功率
3. "影子AI"引发新型内部风险
企业内部未经管控的AI应用(即"影子AI")正引发新的安全风险:
2025年约20%的AI相关安全事件源于未经安全评估或治理的AI模型与应用
在遭遇AI安全事件的企业中,97%缺乏完善的AI访问控制机制
三、第三方风险系统化蔓延:供应链成为"软肋"
2025年,约30%影响金融机构的入侵事件涉及供应链环节,较往年显著上升。文件传输解决方案、托管服务平台和基于API的服务因具有敏感数据特权访问权限,成为常见入侵路径。
典型案例:
摩根大通、花旗集团和摩根士丹利等多家美国大型银行因共享第三方服务商遭入侵而面临客户数据泄露风险
加密货币交易所Bybit因攻击者利用第三方钱包基础设施的签名环节漏洞,导致15亿美元资产被盗——成为当年最严重的第三方安全事件之一
四、勒索软件策略转型:从"加密锁死"到"数据窃取勒索"
2025年约12.8%的B2B金融机构遭遇勒索软件攻击。攻击者的策略正在发生显著转变:
表格
| 地区 | 攻击特征 |
|---|---|
| 欧洲 | 常见变种包括 Akira、Datacarry 和 BlackLock,多采用加密+数据窃取组合策略 |
| 美国 | 更侧重数据窃取而非系统加密——即使银行服务未中断,数据失窃仍会触发强制披露义务和监管调查 |
攻击者越来越多地采用"加密+数据窃取"组合策略,以公开敏感数据为要挟向受害机构施压,即使支付赎金也无法保证数据不被泄露。
五、黑客活动与国家级攻击:地缘政治加剧网络施压
2025年,银行机构承受了69%针对金融业的黑客活动攻击。
黑客组织活跃态势
NoName057(16)、Keymous+ 和 DarkStorm Team等组织对欧洲金融机构发起大规模DDoS攻击
攻击强度在选举期和政治紧张期达到峰值,呈现明显的政治关联性
国家级APT威胁
国家级APT组织持续利用0Day漏洞和长期渗透策略针对金融机构实施情报收集。地缘政治不稳定使全年破坏性活动维持高位,金融机构已成为国家间网络对抗的重要战场。