2022 年 12 月,威胁行为者通过撞库攻击破坏了安全应用程序,诺顿用户陷入高度戒备状态。诺顿的安全团队在检测到诺顿密码管理器用户的一系列可疑登录尝试后,锁定了大约925,000 个账户。
调查结束后,有消息称网络犯罪分子成功破解了“数千个账户”的密码,使用户的个人信息面临风险。
由于恶意行为者试图接管您的账户,撞库攻击占所有登录尝试的34% 。但它到底是如何运作的,我们能做些什么来阻止这些活动呢?让我们来看看吧。
什么是撞库攻击,是如何运作的?
凭证填充是一种常见的网络攻击,攻击者使用自动化软件快速测试被盗登录凭证列表,以获得对在线账户的未经授权的访问。
那么,撞库是如何工作的呢?攻击者采取以下步骤:
- 从暗网上购买或下载用户名和密码列表。数据泄露后,这些数据集在非法市场上出售。
- 设置自动机器人以尝试登录多个用户账户。机器人可以通过隐藏其 IP 地址来逃避检测。
- 每当机器人找到匹配项时即可访问账户。此时,攻击者可以窃取个人信息,例如信用卡号或社会保障号。
- 当机器人尝试成功的密码组合来访问其他帐户时对其进行监控。由于65%的人依赖多个账户使用相同的密码,因此使用相同的密码对破解多个帐户的可能性很高。
撞库攻击和暴力攻击有什么区别?
暴力攻击是另一种攻击方法,与撞库有一些细微的区别。
在撞库中,攻击者使用真实账户中泄露或被盗的密码数据进行登录尝试。但在暴力攻击中,攻击者通过猜测常用密码和常用密码短语字典来尝试登录。
此外,凭证填充威胁行为者知道他们拥有真正的凭证,并且只需要找到匹配的帐户即可。而尝试暴力攻击的任何人都不会了解有关目标正确凭据的任何背景信息。
因此,暴力攻击依赖于盲目的运气或易于猜测的密码。撞库是一种数字游戏,但通过自动化,可以带来高额利润。
撞库的后果是什么?
对于成为撞库攻击受害者的消费者来说,犯罪者确实存在窃取敏感数据、损害其财务声誉并以身份盗窃为目标的风险。
如果成为撞库目标,需要注意以下六件事:
- 账户受损。如果威胁行为者获得访问权限,他们可以安装间谍软件、窃取或销毁数据或冒充帐户持有者发送垃圾邮件或对其他目标发起网络钓鱼攻击。
- 数据泄露。许多攻击者试图闯入金融机构或高价值的政府目标,因为他们可以将非法在线市场上的数据出售给身份窃贼和具有政治目的的团伙。
- 账户锁定。登录尝试失败次数过多后,您帐户的安全系统可能会将您锁定。这可能会扰乱您的业务或限制对电子邮件或银行等关键账户的访问。
- 勒索软件的要求。 国家支持的黑客组织可能会控制关键基础设施或大型企业以索要赎金。
- 网络安全风险增加。 被盗的用户凭据可用于未来的攻击,这使受害者和任何密切相关方在初次违规后面临更大的风险。
- 对商业信誉造成负面影响。 如果您的公司遭受违规,消费者信任度将急剧下降。当成千上万的用户感受到他们的私人数据受到威胁时,一家公司可能会在股市上蒙受损失。2023 年,数据泄露的平均成本为445 万美元。
3个最近的撞库示例
1、2022年7月,某大型户外服装公司
网络犯罪分子利用撞库攻击这家户外休闲服装公司。这次攻击泄露了近200,000 个客户账户,暴露了包括姓名、电话号码、性别、购买历史记录、帐单地址和忠诚度积分在内的详细信息。不久之后,该公司发出了有关数据泄露的通知信,敦促客户更改密码。
2. 2022年12月,某大型支付处理公司
一次攻击影响了该支付处理器的近35,000 个用户账户。虽然一些个人数据被泄露,但该公司报告没有未经授权的交易,但攻击暴露了姓名、社会安全号码和纳税识别号码。
3. 2023年1月,知名快餐连锁店
这家快餐连锁店证实存在漏洞,访问了超过71,000 个客户账户。威胁行为者进行了几个月的撞库攻击,获得了使用客户奖励余额的权限。被盗数据还可能包括物理地址和客户信用卡的最后四位数字。
安全团队可以采取哪些措施来阻止撞库攻击?
2022 年,金融领域的撞库攻击同比增长 45% 。随着蓬勃发展的公司建立自己的平台并吸引更多用户,潜在的收益对邪恶的网络犯罪分子来说变得更具诱惑力。
安全团队可以采取以下六个步骤来应对这种威胁:
1. 实施多重身份验证 (MFA)。
通过为用户帐户添加额外的安全层,可以使威胁行为者更难获得访问权限。即使某人拥有正确的凭据,他们也不太可能拥有手机、硬件密钥或生物识别数据。在内部使用 MFA 的公司可以锁定其系统以防止撞库。
2. 使用密码管理器。
尽管最近流行的密码管理器出现了一些漏洞,但这些应用程序仍然是现代数字安全的主要内容。每个人都可以使用密码管理器为每个账户和设备创建和存储长的、独特的、复杂的代码,而不是依赖记忆或简单、易于猜测的密码。
3. 鼓励更好的密码实践。
通过在线内容教育用户固然很好,但安全团队必须言出必行,以保护消费者数据。采取积极主动的方法来消除密码重复使用、共享代码或将登录信息写在纸上将减少内部攻击的机会。
4. 留意登录尝试周围的异常行为。
一致的监控方法可以挫败欺诈行为。当您发现登录尝试突然激增或异常模式时,可以阻止 IP 地址并警告合法用户有关尝试的黑客攻击。鼓励受感染的账户所有者更新其密码将有助于打破攻击生命周期。
5. 使用速率限制。
另一种防御机制是速率限制,可以阻止恶意机器人在短时间内进行过多的登录尝试。此安全功能将阻碍自动攻击的进展,并且通常会阻碍攻击者利用帐户或通过拒绝服务 (DoS)活动淹没网络。
6.监控暗网。
集合 #1-5 包含220 亿个用户名和密码,其中许多可以通过攻击者字典轻松破解。为了在新兴网络威胁面前领先一步,团队应该监控暗网中的此类集合,并在攻击发生之前加固漏洞。
安全团队必须保护和教育用户
恶意行为者可以建立一支自动化机器人大军,每天运行数千或数百万个欺诈性登录请求。2022 年初,Auth0每天检测到近 3 亿次撞库尝试。
为了应对这种日益严重的威胁,用户必须采用良好的密码实践和可靠的密码管理器。但数据保护的真正责任在于网站安全团队和应用程序提供商。
如果您的团队想要破坏攻击周期并阻止威胁行为者,您需要一种多方面的方法,将强大的访问控制、威胁监控和速率限制保护措施结合起来。最终,最强大的防御是建立在教育和安全文化的基础上。
