憑證填充攻擊解釋(以及如何防止它們)

撞庫攻擊的工作原理

了解如何防止撞庫攻擊的關鍵是了解它們是什麼,它們是如何執行的,以及它們是如何實現的 影響您的業務和數據.

簡而言之,憑據填充攻擊是對被盜用戶名和密碼的自動匹配,犯罪分子可以使用這些攻擊來查找有效的登錄憑據組合。 這種方法推動了帳戶接管攻擊,並且通常傾向於先於它們。 犯罪分子需要先訪問帳戶,然後才能接管帳戶並將其用於自己的目的。

撞庫攻擊佔所有在線攻擊類型的很大一部分,事實上, 幾乎所有數字流量的 5% 與這些攻擊有關。

最近撞庫攻擊的增加是由於通過定期數據洩露盜竊消費者的個人信息,在某些情況下是高利潤的。 在其在線帳戶中重複使用和回收密碼的消費者尤其面臨風險。

從本質上講,這意味著如果攻擊者可以訪問一個人跨多個在線帳戶使用的單個有效用戶名和密碼組合,那麼這些帳戶都可以在相對較短的時間內輕鬆入侵。

撞庫攻擊如何工作?

任何撞庫攻擊都包含三個主要階段:

  1. 數據收集
  2. 憑據匹配
  3. 攻擊貨幣化

攻擊者經常使用機器人來自動化憑證驗證過程並找到用戶名和密碼的有效組合。 這些功能強大的機器人可以將數千個密碼與用戶名匹配,以找到可用於獲得對數字帳戶的不必要訪問的有效組合。 這種方法允許攻擊者擴大他們的工作量並增加他們的投資回報率,同時對企業和個人造成相當大的損害。

撞庫攻擊有多常見?

這些數字攻擊在廣泛的行業和在線領域中非常普遍和普遍。 有時它們甚至由自動機器人而不是人類執行。 具有人工智能功能的高級機器人很容易被攻擊者使用,他們甚至可以訪問支持服務來協助他們進行攻擊。 這項技術使攻擊者可以輕鬆地使用機器人執行大規模攻擊,而他們自己的成本卻最低。

許多攻擊者還了解基本的欺詐防禦技術,並且可以利用這些知識來繞過和利用技術系統來謀取利益。 一旦他們破壞了網絡,他們就可以使用機器人在內部進行探索,竊取私人數據並破壞企業的運營和安全系統。

了解統計數據

免費數據洩露通知平台 HaveIBeenPwnd.com 網站 跟踪來自 8.5 多個數據洩露事件的超過 400 億個被洩露的憑據。 該服務僅跟踪來自向公眾開放或使用地下平台廣泛分發的數據集的憑據。 許多數據庫轉儲是私有的,只有小型黑客組織才能訪問它們。

憑證填充攻擊由完整的地下經濟支持,該經濟以出售被盜憑證和定制支持工具為中心,以幫助攻擊者進行攻擊。 這些工具使用“組合列表”,在洩露的數據集中找到的散列密碼被破解後,從不同的數據集中進行整理。 從本質上講,發起撞庫攻擊不需要任何專業知識或技能。 任何有足夠資金購買所需數據和工具的人都可以發起攻擊。

撞庫攻擊已經變得具有成本效益——每 200 個帳戶接管低至 100,000 美元(來源).

僅在 193 年,安全和內容交付公司 Akamai 在全球範圍內就發現了 2020 億次撞庫攻擊。 這個數字作為 比 360 年的數據增長 2019%. 儘管這種增長在一定程度上可以歸因於對更多客戶的更廣泛的監控。 一些行業,例如金融服務行業,尤其經常成為攻擊目標。 Akamai 在 2021 年 2020 月的報告中提到了這些攻擊的數量出現了幾次高峰,其中包括 XNUMX 年末的一天,發起了超過 XNUMX 億次攻擊。

如何發現攻擊

撞庫攻擊是通過自動化工具和殭屍網絡發起的,這些工具和殭屍網絡允許使用代理在多個不同的 IP 地址上分發惡意請求。 攻擊者還經常配置他們選擇的工具來模仿真實的用戶代理——標識 Web 請求所包含的操作系統和瀏覽器的標頭。

這一切都使得區分攻擊和真正的登錄嘗試變得具有挑戰性。 尤其是在訪問量很大的網站上,突然出現的登錄請求浪潮並沒有從通常的登錄行為中脫穎而出。 話雖如此,短時間內登錄失敗率的增加可能表明已經對網站發起了撞庫攻擊。

有許多 Web 應用程序防火牆和類似服務使用高級行為診斷來檢測可疑登錄行為。 加, 網站所有者可以採取自​​己的措施 以防止未來的攻擊。

閱讀更多

如何防止撞庫攻擊

你是機器人嗎?

撞庫攻擊是當今互聯網用戶數字賬戶面臨的最重大威脅之一,這也適用於企業。 組織、小型企業以及介於兩者之間的每個人都應採取保護措施來抵禦這些威脅,以確保他們的個人和組織數據是安全的。

一些最受歡迎的 憑證填充預防 技術包括:

  • 驗證碼
    驗證碼是一種常見的機器人形式,用於防止由其他機器人驅動的攻擊。 他們要求互聯網用戶在登錄時解決難題,以確保他們是人類。 驗證碼有多種版本,包括圖片、文本、音頻、數學和等。
  • 行為生物識別登錄
    一些企業採用分析典型用戶行為和網絡流量模式來檢測威脅。 他們可以使用這些數據來發現異常行為和可能對其係統的利用。
  • IP地址封鎖
    許多企業因可疑活動而封鎖了 IP 地址,而其他企業則選擇隔離可疑請求,直到可以對其進行審查和驗證。
  • 兩因素和多因素身份驗證
    2FA 和 MFA 使用只有用戶應該知道或有權訪問的附加信息提供附加的安全和身份驗證層。 這種身份驗證可以採用一次性 PIN、SMS、安全問題或生物識別讀數(如指紋或面部掃描)的形式。
  • 設備智能和指紋識別
    設備智能包括操作系統、IP 地址、瀏覽器類型等數據。 這些數據有助於創建可以鏈接到特定設備的唯一身份。 偏離這些典型數據可以標記可疑行為,並允許企業和個人主動採取行動並引入更多身份驗證措施。
  • 密碼和安全衛生
    密碼衛生應該成為每個企業員工安全意識培訓的一部分。 密碼重用是撞庫攻擊的主要促成因素,因此企業需要阻止這種做法,並確保其員工知道在工作中和以個人身份使用強而獨特的密碼是多麼重要。
    網絡用戶可以使用 安全密碼管理器 為他們擁有的每個在線帳戶生成複雜且不可預測的密碼。 密碼管理器將自動存儲這些密碼,並且如果用戶的電子郵件地址出現在公共數據轉儲中,也可能會通知用戶。

一些大公司已經開始採取主動措施,通過分析和監控公共數據轉儲來查看受影響的電子郵件地址是否也存在於他們自己的系統中。 對於在其服務器上找到的帳戶,他們需要重置密碼,並建議啟用多因素身份驗證以保護其數據可能已經受到損害的消費者。

這些預防措施的效果如何?

許多企業使用上述一種或幾種防禦方法來保護自己及其數據免受撞庫攻擊。 但是,這些方法並非 100% 有效。 它們存在的缺點證明在提供針對不斷演變的攻擊的持續保護方面僅部分有效。

這些預防措施帶來了整合挑戰並增加了技術成本,同時使風險決策複雜化,這可能進一步阻礙欺詐預防工作。 例如,多因素身份驗證的實施成本很高,而且容易延遲或丟失 SMS 和 OTP。

同樣,根據行為變化阻止 IP 地址可能會導致企業在不知不覺中阻止合法客戶和潛在客戶。 設備智能不能用作獨立的安全解決方案,因為當今大多數用戶都安裝了許多設備和瀏覽器。 驗證碼已經落後於不斷變化的機器人技術。 它們正迅速變得無效,因為它們經常在沒有阻止攻擊的情況下不必要地阻礙互聯網用戶。

要點:威懾是關鍵

在撞庫攻擊問題日益嚴重的時代,各種規模的企業都將努力在不斷擴大的補救成本與產生可行投資回報率的有效安全措施之間取得平衡。 這些攻擊對於攻擊者來說是非常可承受的。 但它們可能會使企業在財務損失和聲譽受損的情況下陷入癱瘓。

簡而言之,減少撞庫攻擊可能不足以保護企業免受傷害。 相反,他們必須專注於威懾犯罪分子,以確保他們的數據安全。 隨著攻擊方法的不斷發展,需要一種創新的欺詐威懾方法來為組織提供持久的保護。

根據上述 Akamai 互聯網狀況報告,撞庫攻擊不會發生。 由於無法完全阻止它們,因此企業應致力於使獲取匹配用戶名和密碼的過程盡可能具有挑戰性。 減少密碼重複使用和鼓勵創建強密碼是跨行業企業可用的一些最有效和負擔得起的威懾措施。

閱讀更多

作者照片

基因費伊的文章