全球商业社会的安全高度依赖于国际金融行业的稳定性与可靠性，而这种稳定性又是建立在信任和国际公认的监管框架之上的。一旦金融机构遭受入侵，后果可能从服务暂时中断延伸至声誉受损和客户流失，甚至造成更严重的影响。

对金融机构的攻击所带来的损害具备全球蔓延的可能性，例如2023年中国银行——中国工商银行美国分行遭遇的网络攻击，就一度扰乱了美国国债市场的正常交易。据美联储纽约分行估计，平均而言，若任何一家大型银行有一天无法处理支付，其所在网络中将有高达38%的银行受到影响，包括突破它们的日终储备金阈值。

当犯罪分子获取包括家庭住址、银行余额等敏感信息时，后果可能变得致命，潜在责任呈指数级上升。以美国最大加密货币交易所Coinbase为例，该公司持有全球价值最高的比特币存款，在2025年5月11日发生数据泄露事件，导致近70,000名账户持有人的姓名、地址、电话号码、电子邮件、余额及交易信息遭到暴露。Coinbase预计此次事件的补救与赔偿成本在1.8亿至4亿美元之间，同时还面临大量信息被泄露用户发起的集体诉讼。

2019年，波士顿咨询集团指出金融服务公司每年遭受的网络攻击数量高达其他行业的300倍。

随着2020年上半年COVID-19改变商业格局，针对金融机构的网络攻击总量增加了238%以上，其中勒索软件攻击的增长尤为惊人——从2020年2月初到4月底激增900%。此外，82%的受访金融机构表示攻击手段正变得日趋复杂。

时至2024年，根据CrowdStrike发布的《2024威胁狩猎报告》，金融服务行业在入侵频率排名中位列前三，相关事件数量较2023年增加25%，而针对特定金融系统和机构的定向入侵更同比上升109%。

美国金融行业无疑是遭受网络威胁最严重的地区，其在2024年经历了最强劲的恶意网络活动激增，占全球总量的19.10%，同时成为勒索软件攻击和信息窃取活动的首要目标。

新兴市场，尤其是南亚和拉丁美洲，正面临信息窃取程序攻击的持续增加，这表明攻击者也逐渐瞄准数字银行普及率正在提升而安全控制相对薄弱的地区。针对巴西、印度和巴基斯坦等国的攻击呈上升趋势，这些地区在数字金融服务快速推广的背景下，安全文化成熟度仍显不足。

加密货币采用率较高的地区威胁加剧，反映出攻击者对寻求替代金融服务人群的兴趣日益增长。

就勒索软件攻击而言，美国作为目标的主导地位更为显著，占全部攻击的60.47%。美英两国合计占比达70.94%。研究显示勒索组织主要专注于拥有发达金融市场的英语国家。在亚太地区，印度尼西亚（5.81%）、印度（4.65%）、中国（2.33%）和日本（1.16%）也遭受战略性攻击，但其比例远低于西方目标。

1.金融行业面临的威胁性质正发生根本性转变

网络钓鱼和商业电子邮件入侵仍是攻击者的主要初始入侵手段，但两者都因人工智能的强化而更具威胁——攻击工具利用模仿、敲诈和规避策略展开行动。借助FraudGPT、BlackmailerV3及ElevenLabs等工具，恶意软件、深度伪造视频、钓鱼网站和合成语音的生成已实现自动化，从而催生出更具扩展性、更逼真且更有效的攻击活动。

2.攻击目标也在发生变化

SOCRadar 2025年对暗网金融相关活动的分析显示，有效凭证的销售已远超被盗信用卡信息。类似报告指出，被盗凭证和企业直接访问权限的地下交易激增。造成这一现象的原因包括：

一个凭证可能访问多个账户乃至社交媒体，而信用卡仅对应单一账户。

使用有效凭证进入系统可降低攻击者被发现的概率，使其能够利用系统内置工具进行恶意活动，避免触发安全警报。这种方式让攻击者得以长期潜伏、提升权限，往往不被察觉。

3.第三方和第四方攻击 

金融机构日益依赖第三方供应商实现核心功能，金融科技公司已成为生态系统中支撑支付、合规和欺诈检测等环节的重要部分。外部系统的快速集成在带来效率的同时，也创造了新的相互依赖性与脆弱点，导致单一供应商的漏洞可能波及整个金融网络。

以美国为例，SecurityScorecard在2024年12月的一份报告中明确指出，该年度美国97%的大型银行曾遭遇第三方违规事件，而实际遭受入侵的供应商仅占6%。几乎所有受调查银行还经历了第四方违规，这些违规可追溯至仅占总数2%的供应商。该机构另一报告显示，2024年欧洲所有顶级金融服务公司都曾因供应商遭遇入侵。

网络保险公司At-Bay于2025年4月发布的索赔数据进一步指出，金融欺诈——通常发生于网络钓鱼攻击之后——仍是最常见的保险索赔原因，而最具破坏力的攻击类型始终是直接勒索软件攻击。

而通过第三方发起的间接勒索软件攻击正在迅速“崛起”，显著推高了企业及其保险机构的风险水平。该类攻击的一大优势在于，攻击者往往能够隐蔽操作而不被发现。加上对系统有效凭证的访问权限，从第三或第四方发起的入侵使攻击者能够获取关键上下文信息，从而入侵电子邮件链接或援引未结发票信息，进而制作出可信度更高、更难以辨识的欺诈内容。

4.被盗数据经济价值提高

在日益武器化的威胁态势中，被盗数据还具有额外的经济价值，可用于双重甚至多重勒索。

以往勒索软件多采用单一手段，即加密数据并索要解密费用，如今则常伴随数据外泄，构成双重勒索：一方面以泄露数据施压，另一方面借助客户、合作伙伴或监管机构向受害者追讨。

在所谓的“四重勒索”这一新兴模式中，攻击者还会发起多次网络或物理攻击以进一步胁迫受害者。

被盗凭证和其他敏感数据的价值如此之高，以致部分攻击组织甚至已完全放弃加密环节。例如2024年，BianLian等传统勒索团体转向纯数据窃取外泄（DXF）勒索。而曾从事双重勒索的Meow组织也重新出现，专注于按不同价格点出售数据，允许受害者购回信息以避免曝光。

这一转变与2024年信息窃取程序的演进密切相关。该类恶意软件可渗透系统窃取凭证、财务数据、会话Cookie和个人信息，并在后台隐蔽运行后将数据传至攻击者服务器。据CheckPoint统计，2024年信息窃取程序的感染尝试增加58%，其中68%的攻击源自电子邮件（最常见为HTML附件），假冒网页和恶意网站次之，“密码喷洒”也是主要手段之一。

值得注意的是，超过70%感染信息窃取程序的设备为个人设备，而非企业受管设备。

此外，作为提高赎金筹码的手段，数据销毁型攻击也在增加。2024年全球54%的金融机构遭遇了包括删除数据、销毁硬盘、终止连接及执行隐藏踪迹的恶意代码在内的攻击，相比2023年上升了12.5%。

无论是植入信息窃取程序、以恶意软件加密系统还是外泄数据用于销售，这些攻击行为都有一个共同的初始入侵媒介——必须有人被说服点击链接、下载文件或以其他方式打开让攻击者进入的大门。例如，员工可能打开了包含感染性HTML代码的附件，或点击了仿冒银行登录页面的链接，并在虚假页面中输入凭证从而泄露信息。正是这种人为错误的风险，为攻击者打开了第一道入口。

在KnowBe4发布的《2025年分行业网络钓鱼基准报告》中，用户的“易受网络钓鱼攻击百分比（Phish-prone Percentage ，PPP）”基线为33.1%，即三分之一的计算机用户可能点击恶意链接。进一步按行业与组织规模划分后，2025年金融服务行业的数据尤为令人担忧：

在大型企业（1000-9999名员工）中，初始PPP达38.4%。

超大型企业（超过10,000名员工）中更是高达44.7%，意味着近半数员工可能点击恶意链接或下载受感染文件。

中小型组织的风险略低，1-249人企业PPP为23.1%。

250-999人企业为28.9%，但仍意味着约三分之一的员工构成重大风险。

保护企业及其终端用户免受数据泄露威胁，不仅需要识别攻击者者试图利用的漏洞，更需赋能组织中处于潜在入口点的人员，使其能够在遭受攻击时及时“关上门”。这本质上是对人为风险的管理。

有效的安全意识培训是人为风险管理的基础。通过教育员工识别威胁、辨别网络钓鱼企图和社会工程策略，增强其对安全最佳实践的认识，并在真实场景中开展识别可疑活动的演练，已被证明是降低人为风险、保护公司系统及用户个人数据最强大且最具成本效益的首要措施之一。研究显示，在实施结合教育内容与模拟网络钓鱼测试的培训90天后，金融服务行业的PPP显著下降：小型组织降至18.8%，中型组织降至19.5%，超千人员工的组织降至19.8%。经过一年培训，下降更为明显：小型组织仅3.1%，中型3.8%，大型组织也降至4.8%。