由于有如此多的网站和应用程序需要唯一的用户凭据,即用户名和密码,因此可能很想在所有这些平台上使用相同的凭据。
事实上,根据 SpyCloud 的 2022 年度身份暴露报告,该报告分析了地下犯罪网站上超过 150 亿个被盗凭证,发现 65% 的被盗密码至少用于两个账户。
对于在不同平台上重复使用凭据的用户来说,这似乎是一种避免忘记密码的巧妙方法,但实际上,这是一场等待发生的灾难。
如果其中一个系统遭到破坏并且您的凭据被捕获,则使用相同凭据的所有其他帐户都有被破坏的风险。请记住,被泄露的凭据在深网上以低价出售,您可能很容易成为撞库的受害者。
凭据填充是一种网络攻击,恶意行为者使用窃取的在线帐户或系统凭据来尝试访问其他不相关的在线帐户或系统。
这方面的一个例子是恶意行为者获取了您的 Twitter 帐户的用户名和密码,并使用这些泄露的凭据尝试访问 Paypal 帐户。
如果您在 Twitter 和 Paypal 上使用相同的凭据,您的 Paypal 帐户将因为您的 Twitter 凭据遭到破坏而被接管。
如果您在多个在线帐户上使用您的 Twitter 凭据,这些在线帐户也可能会受到损害。这种攻击称为凭据填充,它利用了许多用户在多个在线帐户上重复使用凭据这一事实。
进行凭证填充攻击的恶意行为者通常使用机器人来自动化和扩展该过程。这使他们能够使用大量受损凭据并针对多个在线平台。随着受损凭据因数据泄露而泄露并在深网上出售,凭据填充攻击变得普遍。
凭据填充的工作原理
凭据填充攻击始于获取受损凭据。这些用户名和密码可以在深网上购买,从密码转储站点访问,或者从数据泄露和网络钓鱼攻击中获取。
下一步涉及设置机器人来测试不同网站上被盗的凭据。自动化机器人是撞库攻击的首选工具,因为机器人可以使用大量凭据对许多站点高速秘密执行撞库。
在多次登录尝试失败后 IP 地址被阻止的挑战也可以通过使用机器人来避免。
当发起撞库攻击时,监控成功登录的自动化流程也会与撞库攻击同时启动。通过这种方式,攻击者可以轻松获得在某些在线站点上有效的凭据,并使用它们接管平台上的帐户。
一旦攻击者获得了帐户的访问权限,他们可以自行决定如何使用该帐户。攻击者可以将凭据出售给其他攻击者,从帐户中窃取敏感信息,提交身份,或者在银行帐户被盗用的情况下使用该帐户进行在线购买。
为什么撞库攻击有效
凭据填充是一种成功率非常低的网络攻击。事实上,根据Recorded Future 的威胁研究部门 Insikt Group 的撞库攻击经济报告,撞库攻击的平均成功率在 1% 到 3% 之间。
尽管成功率很低,但 Akamai Technologies 在其 2021 年互联网现状/安全报告中指出,2020 年,Akamai 在全球发生了 1930 亿次撞库攻击。
撞库攻击数量众多以及它们变得越来越普遍的原因是因为可用的受损凭证的数量以及对高级机器人工具的访问使撞库攻击更加有效并且几乎与人类登录尝试无法区分。
例如,即使只有 1% 的低成功率,如果攻击者有 100 万个泄露凭据,他们也可以破坏大约 10,000 个帐户。大量被泄露的凭据在深网上进行交易,而且如此大量的被泄露凭据可以在多个平台上重复使用。
这些大量受损的凭据导致受损帐户数量增加。再加上人们继续在多个在线帐户上重复使用他们的凭据这一事实,凭据填充攻击变得非常有效。
凭据填充与。蛮力攻击
尽管凭据填充和暴力攻击都是帐户接管攻击,并且开放 Web 应用程序安全项目 (OWASP) 将凭据填充视为暴力攻击的一个子集,但两者的执行方式不同。
在暴力攻击中,恶意行为者试图通过猜测用户名或密码或两者来接管帐户。这通常是通过尝试尽可能多的可能的用户名和密码组合来完成的,而没有上下文或关于它们可能是什么的线索。
暴力破解可能会使用常用的密码模式或常用密码短语的字典,例如 Qwerty、password 或 12345。如果用户使用弱密码或系统默认密码,则强力攻击可能会成功。
另一方面,凭据填充攻击试图通过使用从其他系统或在线帐户获取的受损凭据来接管帐户。在凭据填充攻击中,攻击不会猜测凭据。凭据填充攻击的成功依赖于用户在多个在线帐户上重复使用他们的凭据。
通常,暴力攻击的成功率远低于凭据填充。使用强密码可以防止暴力攻击。但是,如果强密码在多个帐户之间共享,则使用强密码无法防止凭据填充。通过在在线帐户上使用唯一凭据可以防止凭据填充。
如何检测撞库攻击
凭据填充威胁参与者通常使用模仿人类代理的机器人,而且通常很难区分登录尝试是真人还是机器人。但是,仍有迹象表明正在进行的凭证填充攻击。
例如,网络流量的突然增加应该引起怀疑。在这种情况下,监控对网站的登录尝试,如果从多个 IP 地址对多个帐户的登录尝试增加或登录失败率增加,这可能表明正在进行撞库攻击。
撞库攻击的另一个迹象是用户抱怨被锁定在他们的帐户之外,或者收到并非由他们完成的登录尝试失败的通知。
此外,监控用户活动,如果您注意到异常的用户活动,例如更改他们的设置、个人资料信息、汇款和在线购买,这可能表示撞库攻击。
如何防止撞库
可以采取多种措施来避免成为撞库攻击的受害者。这包括:
#1。避免在多个帐户中重复使用相同的凭据
凭据填充取决于用户在多个在线帐户之间共享凭据。通过在不同的在线帐户上使用唯一的凭据,可以轻松避免这种情况。
借助 Google 密码管理器等密码管理器,用户仍然可以使用唯一且非常独特的密码,而不必担心忘记其凭据。公司还可以通过防止使用电子邮件作为用户名来强制执行此操作。这样,用户更有可能在不同平台上使用唯一凭证。
#2。使用多因素身份验证 (MFA)
多因素身份验证是使用多种方法来验证尝试登录的用户的身份。这可以通过将用户名和密码的传统身份验证方法与通过电子邮件或短信与用户共享的秘密安全代码相结合来实现以进一步确认他们的身份。这在防止凭据填充方面非常有效,因为它增加了额外的安全层。
当有人试图破坏您的帐户时,它甚至可以让您知道,因为您无需提出请求即可获得安全代码。MFA 非常有效,以至于 Microsoft 的一项研究表明,如果使用 MFA,在线帐户被盗用的可能性降低 99.9%。
#3。设备指纹识别
设备指纹识别可用于将对在线帐户的访问与特定设备相关联。设备指纹识别使用设备型号和编号、使用的操作系统、语言和***/地区等信息来识别用于访问帐户的设备。
这会创建一个唯一的设备指纹,然后将其与用户帐户相关联。未经与该帐户关联的设备授予许可,不允许使用其他设备访问该帐户。
#4。监控泄露的密码
当用户试图为在线平台创建用户名和密码时,而不是仅仅检查密码的强度,可以根据已发布的泄露密码对凭证进行反检查。这有助于防止使用以后可能被利用的凭据。
组织可以实施解决方案来监控用户凭据以防止深网上泄露的凭据,并在发现匹配项时通知用户。然后可以要求用户通过各种方法验证他们的身份,更改凭据并实施 MFA 以进一步保护他们的帐户
#5。凭证散列
这涉及在将用户凭据存储在数据库中之前对其进行加扰。这有助于防止在系统发生数据泄露时滥用凭据,因为凭据将以无法使用的格式存储。
虽然这不是万无一失的方法,但它可以让用户有时间在数据泄露的情况下更改密码。
撞库攻击示例
凭证填充攻击的一些著名示例包括:
2020 年窃取了超过 500,000 个Zoom 凭据。这种凭据填充攻击是使用从各种深网论坛获得的用户名和密码执行的,从攻击中获得的凭据可追溯到 2013 年。被盗的 zoom 凭据可在黑暗中使用网络并低价出售给有意愿的买家
妥协数以千计的加拿大税局(CRA) 用户帐户。2020 年,大约 5500 个 CRA 账户在两次单独的凭证攻击中遭到破坏,导致用户无法访问 CRA 提供的服务。
194,095 个The North Face 用户帐户遭到入侵。The North Face 是一家销售运动服的公司,它在 2022 年 7 月遭受了撞库攻击。这次攻击导致用户的全名、电话号码、性别、忠诚度积分、账单和送货地址、帐户创建日期、和购买历史。
2019 年的Reddit 撞库攻击。一些 Reddit 用户的凭据因撞库攻击而被泄露后,他们的帐户被锁定。
这些攻击凸显了保护自己免受类似攻击的重要性。
结论
您可能遇到过 Netflix、Hulu 和 disney+ 等流媒体网站或Grammarly、Zoom 和 Turnitin 等在线服务凭证的卖家。您认为卖家从哪里获得凭证?
好吧,此类凭据很可能是通过凭据填充攻击获得的。如果您在多个在线帐户中使用相同的凭据,那么在您成为受害者之前是时候更改它们了。
为了进一步保护您自己,请对您的所有在线帐户实施多因素身份验证并避免购买受损的凭据,因为这会为凭据填充攻击创造有利环境。
