2022 年 12 月，威脅行為者通過撞庫攻擊破壞了安全應(yīng)用程序，諾頓用戶陷入高度戒備狀態(tài)。諾頓的安全團(tuán)隊(duì)在檢測到諾頓密碼管理器用戶的一系列可疑登錄嘗試后，鎖定了大約925,000 個賬戶。

調(diào)查結(jié)束后，有消息稱網(wǎng)絡(luò)犯罪分子成功破解了“數(shù)千個賬戶”的密碼，使用戶的個人信息面臨風(fēng)險。

由于惡意行為者試圖接管您的賬戶，撞庫攻擊占所有登錄嘗試的34% 。但它到底是如何運(yùn)作的，我們能做些什么來阻止這些活動呢？讓我們來看看吧。

什么是撞庫攻擊，是如何運(yùn)作的？

憑證填充是一種常見的網(wǎng)絡(luò)攻擊，攻擊者使用自動化軟件快速測試被盜登錄憑證列表，以獲得對在線賬戶的未經(jīng)授權(quán)的訪問。

那么，撞庫是如何工作的呢？攻擊者采取以下步驟：

1. 從暗網(wǎng)上購買或下載用戶名和密碼列表。數(shù)據(jù)泄露后，這些數(shù)據(jù)集在非法市場上出售。
2. 設(shè)置自動機(jī)器人以嘗試登錄多個用戶賬戶。機(jī)器人可以通過隱藏其 IP 地址來逃避檢測。
3. 每當(dāng)機(jī)器人找到匹配項(xiàng)時即可訪問賬戶。此時，攻擊者可以竊取個人信息，例如信用卡號或社會保障號。
4. 當(dāng)機(jī)器人嘗試成功的密碼組合來訪問其他帳戶時對其進(jìn)行監(jiān)控。由于65%的人依賴多個賬戶使用相同的密碼，因此使用相同的密碼對破解多個帳戶的可能性很高。

撞庫攻擊和暴力攻擊有什么區(qū)別？

暴力攻擊是另一種攻擊方法，與撞庫有一些細(xì)微的區(qū)別。

在撞庫中，攻擊者使用真實(shí)賬戶中泄露或被盜的密碼數(shù)據(jù)進(jìn)行登錄嘗試。但在暴力攻擊中，攻擊者通過猜測常用密碼和常用密碼短語字典來嘗試登錄。

此外，憑證填充威脅行為者知道他們擁有真正的憑證，并且只需要找到匹配的帳戶即可。而嘗試暴力攻擊的任何人都不會了解有關(guān)目標(biāo)正確憑據(jù)的任何背景信息。

因此，暴力攻擊依賴于盲目的運(yùn)氣或易于猜測的密碼。撞庫是一種數(shù)字游戲，但通過自動化，可以帶來高額利潤。

撞庫的后果是什么？

對于成為撞庫攻擊受害者的消費(fèi)者來說，犯罪者確實(shí)存在竊取敏感數(shù)據(jù)、損害其財務(wù)聲譽(yù)并以身份盜竊為目標(biāo)的風(fēng)險。

如果成為撞庫目標(biāo)，需要注意以下六件事：

1. 賬戶受損。如果威脅行為者獲得訪問權(quán)限，他們可以安裝間諜軟件、竊取或銷毀數(shù)據(jù)或冒充帳戶持有者發(fā)送垃圾郵件或?qū)ζ渌繕?biāo)發(fā)起網(wǎng)絡(luò)釣魚攻擊。
2. 數(shù)據(jù)泄露。許多攻擊者試圖闖入金融機(jī)構(gòu)或高價值的政府目標(biāo)，因?yàn)樗麄兛梢詫⒎欠ㄔ诰€市場上的數(shù)據(jù)出售給身份竊賊和具有政治目的的團(tuán)伙。
3. 賬戶鎖定。登錄嘗試失敗次數(shù)過多后，您帳戶的安全系統(tǒng)可能會將您鎖定。這可能會擾亂您的業(yè)務(wù)或限制對電子郵件或銀行等關(guān)鍵賬戶的訪問。
4. 勒索軟件的要求。 國家支持的黑客組織可能會控制關(guān)鍵基礎(chǔ)設(shè)施或大型企業(yè)以索要贖金。
5. 網(wǎng)絡(luò)安全風(fēng)險增加。 被盜的用戶憑據(jù)可用于未來的攻擊，這使受害者和任何密切相關(guān)方在初次違規(guī)后面臨更大的風(fēng)險。
6. 對商業(yè)信譽(yù)造成負(fù)面影響。 如果您的公司遭受違規(guī)，消費(fèi)者信任度將急劇下降。當(dāng)成千上萬的用戶感受到他們的私人數(shù)據(jù)受到威脅時，一家公司可能會在股市上蒙受損失。2023 年，數(shù)據(jù)泄露的平均成本為445 萬美元。

3個最近的撞庫示例

1、2022年7月，某大型戶外服裝公司

網(wǎng)絡(luò)犯罪分子利用撞庫攻擊這家戶外休閑服裝公司。這次攻擊泄露了近200,000 個客戶賬戶，暴露了包括姓名、電話號碼、性別、購買歷史記錄、帳單地址和忠誠度積分在內(nèi)的詳細(xì)信息。不久之后，該公司發(fā)出了有關(guān)數(shù)據(jù)泄露的通知信，敦促客戶更改密碼。

2. 2022年12月，某大型支付處理公司

一次攻擊影響了該支付處理器的近35,000 個用戶賬戶。雖然一些個人數(shù)據(jù)被泄露，但該公司報告沒有未經(jīng)授權(quán)的交易，但攻擊暴露了姓名、社會安全號碼和納稅識別號碼。

3.  2023年1月，知名快餐連鎖店

這家快餐連鎖店證實(shí)存在漏洞，訪問了超過71,000 個客戶賬戶。威脅行為者進(jìn)行了幾個月的撞庫攻擊，獲得了使用客戶獎勵余額的權(quán)限。被盜數(shù)據(jù)還可能包括物理地址和客戶信用卡的最后四位數(shù)字。

安全團(tuán)隊(duì)可以采取哪些措施來阻止撞庫攻擊？

2022 年，金融領(lǐng)域的撞庫攻擊同比增長 45% 。隨著蓬勃發(fā)展的公司建立自己的平臺并吸引更多用戶，潛在的收益對邪惡的網(wǎng)絡(luò)犯罪分子來說變得更具誘惑力。

安全團(tuán)隊(duì)可以采取以下六個步驟來應(yīng)對這種威脅：

1. 實(shí)施多重身份驗(yàn)證 (MFA)。

通過為用戶帳戶添加額外的安全層，可以使威脅行為者更難獲得訪問權(quán)限。即使某人擁有正確的憑據(jù)，他們也不太可能擁有手機(jī)、硬件密鑰或生物識別數(shù)據(jù)。在內(nèi)部使用 MFA 的公司可以鎖定其系統(tǒng)以防止撞庫。

2. 使用密碼管理器。

盡管最近流行的密碼管理器出現(xiàn)了一些漏洞，但這些應(yīng)用程序仍然是現(xiàn)代數(shù)字安全的主要內(nèi)容。每個人都可以使用密碼管理器為每個賬戶和設(shè)備創(chuàng)建和存儲長的、獨(dú)特的、復(fù)雜的代碼，而不是依賴記憶或簡單、易于猜測的密碼。

3. 鼓勵更好的密碼實(shí)踐。

通過在線內(nèi)容教育用戶固然很好，但安全團(tuán)隊(duì)必須言出必行，以保護(hù)消費(fèi)者數(shù)據(jù)。采取積極主動的方法來消除密碼重復(fù)使用、共享代碼或?qū)⒌卿浶畔懺诩埳蠈p少內(nèi)部攻擊的機(jī)會。

4. 留意登錄嘗試周圍的異常行為。

一致的監(jiān)控方法可以挫敗欺詐行為。當(dāng)您發(fā)現(xiàn)登錄嘗試突然激增或異常模式時，可以阻止 IP 地址并警告合法用戶有關(guān)嘗試的黑客攻擊。鼓勵受感染的賬戶所有者更新其密碼將有助于打破攻擊生命周期。

5. 使用速率限制。

另一種防御機(jī)制是速率限制，可以阻止惡意機(jī)器人在短時間內(nèi)進(jìn)行過多的登錄嘗試。此安全功能將阻礙自動攻擊的進(jìn)展，并且通常會阻礙攻擊者利用帳戶或通過拒絕服務(wù) (DoS)活動淹沒網(wǎng)絡(luò)。

6.監(jiān)控暗網(wǎng)。

集合 #1-5 包含220 億個用戶名和密碼，其中許多可以通過攻擊者字典輕松破解。為了在新興網(wǎng)絡(luò)威脅面前領(lǐng)先一步，團(tuán)隊(duì)?wèi)?yīng)該監(jiān)控暗網(wǎng)中的此類集合，并在攻擊發(fā)生之前加固漏洞。

安全團(tuán)隊(duì)必須保護(hù)和教育用戶

惡意行為者可以建立一支自動化機(jī)器人大軍，每天運(yùn)行數(shù)千或數(shù)百萬個欺詐性登錄請求。2022 年初，Auth0每天檢測到近 3 億次撞庫嘗試。

為了應(yīng)對這種日益嚴(yán)重的威脅，用戶必須采用良好的密碼實(shí)踐和可靠的密碼管理器。但數(shù)據(jù)保護(hù)的真正責(zé)任在于網(wǎng)站安全團(tuán)隊(duì)和應(yīng)用程序提供商。

如果您的團(tuán)隊(duì)想要破壞攻擊周期并阻止威脅行為者，您需要一種多方面的方法，將強(qiáng)大的訪問控制、威脅監(jiān)控和速率限制保護(hù)措施結(jié)合起來。最終，最強(qiáng)大的防御是建立在教育和安全文化的基礎(chǔ)上。