據(jù)Bleeping Computer網(wǎng)站消息，一名叫查爾斯·奧努斯（Charles Onus）的尼日利亞人侵入一家人力資源公司的用戶(hù)賬戶(hù)并竊取工資存款，此案已在紐約南區(qū)地方法院接受審理。

根據(jù)起訴書(shū)和在法庭上的陳述，奧努斯從2017年7月開(kāi)始，陸續(xù)將這家公司的用戶(hù)工資竊取并轉(zhuǎn)移到了自己的銀行賬戶(hù)中，直到被捕時(shí)，已累計(jì)入侵了5500個(gè)用戶(hù)賬戶(hù)，總共轉(zhuǎn)移了80萬(wàn)美元。

奧努斯使用了簡(jiǎn)單而又粗暴的方式——撞庫(kù)來(lái)竊取賬戶(hù)。通過(guò)憑證填充，攻擊者使用從以前的數(shù)據(jù)泄露中獲取的用戶(hù)名和密碼組合來(lái)登錄賬戶(hù)。該方法不同于暴力破解或猜測(cè)密碼，因?yàn)樗簧婕捌平?，而是依?lài)于受害者往往在多個(gè)平臺(tái)上重復(fù)使用相同的憑證。

奧努斯已于2021年4月14日在機(jī)場(chǎng)被捕，并承認(rèn)了相關(guān)罪行，最終的裁決將在2022 年 5 月 12 日公布。

其實(shí)，阻止撞庫(kù)攻擊的一個(gè)簡(jiǎn)單方法是使用多因素認(rèn)證（MFA），除了用戶(hù)名和密碼，還需要一個(gè)單獨(dú)的驗(yàn)證碼，這類(lèi)驗(yàn)證碼通常通過(guò)短信或使用身份驗(yàn)證應(yīng)用程序發(fā)送給用戶(hù)，因此即使攻擊者的登錄名和密碼被盜，如果沒(méi)有 MFA 一次性密碼也無(wú)法登錄。

除此以外，用戶(hù)也盡量避免在多個(gè)平臺(tái)上使用相同或過(guò)于相似的賬戶(hù)密碼，也不要使用過(guò)于簡(jiǎn)單的密碼，比如根據(jù)Nord Security發(fā)布的《2021世界密碼排行》，123456依然是使用人數(shù)最多的密碼，這類(lèi)簡(jiǎn)單且連續(xù)的密碼往往給網(wǎng)絡(luò)犯罪分子提供了可乘之機(jī)。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/nigerian-hacker-pleads-guilty-to-stealing-payroll-deposits/