根據(jù)紐約州的一項調查顯示，在針對17家不同公司的一系列憑證篡改攻擊中，已經(jīng)有超過110萬個在線賬戶遭到了破壞。

憑證填充攻擊，如去年對Spotify的攻擊，攻擊者使用自動腳本對在線賬戶進行了大量的用戶名和密碼組合的嘗試，并試圖接管它們。一旦進入到賬戶內(nèi)，網(wǎng)絡犯罪分子就可以利用被攻擊的賬戶達到各種目的。并以此作為入口，深入到受害者的機器和網(wǎng)絡，提取出賬戶的敏感信息。如果是電子郵件賬戶，他們還可能冒充受害者來攻擊他人。

由于用戶使用了重復的密碼和使用一些常見的容易猜解的密碼，如 "123456"，這種攻擊往往會成功。它們給企業(yè)造成的損失很高，Ponemon研究所的 "憑證填充攻擊成本" 報告發(fā)現(xiàn)，企業(yè)平均每年會因憑證填充攻擊而損失600萬美元，這些都表現(xiàn)為應用程序停機、客戶流失和IT成本增加。

安全意識倡導者James McQuiggan通過電子郵件說："由于在野有超過84億個密碼，其中有超過35億個密碼與實際的電子郵件地址緊密相關，這為網(wǎng)絡犯罪分子提供了一個很方便的攻擊載體，來針對各種在線網(wǎng)站的客戶賬戶進行利用攻擊。這些類型的攻擊可以獲得用戶的個人信息，他們的稅務信息，當然還有他們相關的直系親屬的社會安全號碼。此外，網(wǎng)絡犯罪分子認識到，許多組織或用戶不會使用其他額外的安全措施，而且還會在各種網(wǎng)站賬戶中使用相同的密碼"。

為了研究這個問題的嚴重程度，總檢察長辦公室開始對地下網(wǎng)絡犯罪論壇中專門進行憑證填充攻擊的攻擊活動進行了長達數(shù)月的審查。

根據(jù)周三的媒體聲明，總檢察長辦公室的網(wǎng)站出現(xiàn)了數(shù)以千計的帖子，其中包含了攻擊者在憑證填充攻擊中測試過的客戶登錄憑證，并確認這些憑證可用于訪問網(wǎng)站或應用程序上的賬戶。

該辦公室補充說，受影響的17家機構是知名的在線零售商、連鎖餐廳和食品配送服務公司。

OAG提醒相關公司，盡早通知消費者重新設置密碼。這些公司自己的內(nèi)部調查顯示，大多數(shù)攻擊以前都沒有被發(fā)現(xiàn)，因此幾乎所有的公司都實施或計劃實施其他的保障措施，包括：機器人檢測服務、多因素認證和無密碼認證。

紐約總檢察長Letitia James說："現(xiàn)在，有超過150億個被盜的證書在互聯(lián)網(wǎng)上流傳，因此用戶的個人信息一直處于危險之中。企業(yè)有責任采取適當?shù)拇胧﹣肀Ｗo其客戶的在線賬戶的安全性，我們必須盡一切努力來保護消費者的個人信息和他們的隱私"。

研究人員補充說，用戶也應該提防后續(xù)的網(wǎng)絡攻擊。

安全專家Ron Bradley通過電子郵件說："像今天的許多人一樣，我有一個社區(qū)專用應用程序，它會提醒我在社區(qū)里發(fā)生的事情。經(jīng)常會有人發(fā)布威脅者檢查汽車和家庭門鎖的視頻......事實上，互聯(lián)網(wǎng)上有數(shù)十億個被泄露的憑證，很容易獲得。威脅者將不斷利用這些資源，試圖破壞數(shù)字資產(chǎn)"。

如何防范憑證填充攻擊

Bradley提供了一些額外的建議。在這種情況下，身份和訪問管理(IAM)的存在是無比重要的。企業(yè)必須要對數(shù)據(jù)實施多層保護，特別是在訪問敏感數(shù)據(jù)的時候。

他說，以下的內(nèi)容是理想的保護方法：

• 使用強密碼是很好的，但是使用口令會更好。
• 應該使用多因素認證進行特權訪問。
• 控制面向互聯(lián)網(wǎng)的應用程序的登錄次數(shù)，防止進行密碼爆破的嘗試。
• 必須定期部署和驗證檢測響應機制。

安全人員總結道："這些只是保護你的數(shù)據(jù)所需的一些基本的控制措施，重要的是要記住你的數(shù)字資產(chǎn)邊界就像擠壓氣球一樣。你可以收緊一邊，但另一邊就會膨脹。安全人員最大的挑戰(zhàn)就在于如何找到這個中間地帶。當?shù)谌絽⑴c進來時，這項任務就會變得越來越困難，因為你必須要確保他們遵循的控制措施不低于你所指定的控制措施。"

每個人都應該停止使用那些已被泄露的舊密碼，查看一個人的賬戶是否可能被攻擊的最簡單方法是查看HaveIBeenPwned.com網(wǎng)站，該網(wǎng)站追蹤了過去15年中出現(xiàn)過數(shù)據(jù)泄露的電子郵件地址和電話號碼。

本文翻譯自：https://threatpost.com/compromised-accounts-17-major-companies/177417/