【原】撞庫的工作原理以及阻止方法

祺印說信安 2023-08-08 發(fā)布于河南

展開全文

2022 年 12 月，威脅行為者通過撞庫攻擊破壞了安全應(yīng)用程序，諾頓用戶陷入高度戒備狀態(tài)。諾頓的安全團(tuán)隊(duì)在檢測(cè)到諾頓密碼管理器用戶的一系列可疑登錄嘗試后，鎖定了大約925,000 個(gè)賬戶。

調(diào)查結(jié)束后，有消息稱網(wǎng)絡(luò)犯罪分子成功破解了“數(shù)千個(gè)賬戶”的密碼，使用戶的個(gè)人信息面臨風(fēng)險(xiǎn)。

由于惡意行為者試圖接管您的賬戶，撞庫攻擊占所有登錄嘗試的34% 。但它到底是如何運(yùn)作的，我們能做些什么來阻止這些活動(dòng)呢？讓我們來看看吧。

什么是撞庫攻擊，是如何運(yùn)作的？

憑證填充是一種常見的網(wǎng)絡(luò)攻擊，攻擊者使用自動(dòng)化軟件快速測(cè)試被盜登錄憑證列表，以獲得對(duì)在線賬戶的未經(jīng)授權(quán)的訪問。

那么，撞庫是如何工作的呢？攻擊者采取以下步驟：

從暗網(wǎng)上購(gòu)買或下載用戶名和密碼列表。數(shù)據(jù)泄露后，這些數(shù)據(jù)集在非法市場(chǎng)上出售。
設(shè)置自動(dòng)機(jī)器人以嘗試登錄多個(gè)用戶賬戶。機(jī)器人可以通過隱藏其 IP 地址來逃避檢測(cè)。
每當(dāng)機(jī)器人找到匹配項(xiàng)時(shí)即可訪問賬戶。此時(shí)，攻擊者可以竊取個(gè)人信息，例如信用卡號(hào)或社會(huì)保障號(hào)。
當(dāng)機(jī)器人嘗試成功的密碼組合來訪問其他帳戶時(shí)對(duì)其進(jìn)行監(jiān)控。由于65%的人依賴多個(gè)賬戶使用相同的密碼，因此使用相同的密碼對(duì)破解多個(gè)帳戶的可能性很高。

撞庫攻擊和暴力攻擊有什么區(qū)別？

暴力攻擊是另一種攻擊方法，與撞庫有一些細(xì)微的區(qū)別。

在撞庫中，攻擊者使用真實(shí)賬戶中泄露或被盜的密碼數(shù)據(jù)進(jìn)行登錄嘗試。但在暴力攻擊中，攻擊者通過猜測(cè)常用密碼和常用密碼短語字典來嘗試登錄。

此外，憑證填充威脅行為者知道他們擁有真正的憑證，并且只需要找到匹配的帳戶即可。而嘗試暴力攻擊的任何人都不會(huì)了解有關(guān)目標(biāo)正確憑據(jù)的任何背景信息。

因此，暴力攻擊依賴于盲目的運(yùn)氣或易于猜測(cè)的密碼。撞庫是一種數(shù)字游戲，但通過自動(dòng)化，可以帶來高額利潤(rùn)。

撞庫的后果是什么？

對(duì)于成為撞庫攻擊受害者的消費(fèi)者來說，犯罪者確實(shí)存在竊取敏感數(shù)據(jù)、損害其財(cái)務(wù)聲譽(yù)并以身份盜竊為目標(biāo)的風(fēng)險(xiǎn)。

如果成為撞庫目標(biāo)，需要注意以下六件事：

賬戶受損。如果威脅行為者獲得訪問權(quán)限，他們可以安裝間諜軟件、竊取或銷毀數(shù)據(jù)或冒充帳戶持有者發(fā)送垃圾郵件或?qū)ζ渌繕?biāo)發(fā)起網(wǎng)絡(luò)釣魚攻擊。
數(shù)據(jù)泄露。許多攻擊者試圖闖入金融機(jī)構(gòu)或高價(jià)值的政府目標(biāo)，因?yàn)樗麄兛梢詫⒎欠ㄔ诰€市場(chǎng)上的數(shù)據(jù)出售給身份竊賊和具有政治目的的團(tuán)伙。
賬戶鎖定。登錄嘗試失敗次數(shù)過多后，您帳戶的安全系統(tǒng)可能會(huì)將您鎖定。這可能會(huì)擾亂您的業(yè)務(wù)或限制對(duì)電子郵件或銀行等關(guān)鍵賬戶的訪問。
勒索軟件的要求。 國(guó)家支持的黑客組織可能會(huì)控制關(guān)鍵基礎(chǔ)設(shè)施或大型企業(yè)以索要贖金。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)增加。 被盜的用戶憑據(jù)可用于未來的攻擊，這使受害者和任何密切相關(guān)方在初次違規(guī)后面臨更大的風(fēng)險(xiǎn)。
對(duì)商業(yè)信譽(yù)造成負(fù)面影響。 如果您的公司遭受違規(guī)，消費(fèi)者信任度將急劇下降。當(dāng)成千上萬的用戶感受到他們的私人數(shù)據(jù)受到威脅時(shí)，一家公司可能會(huì)在股市上蒙受損失。2023 年，數(shù)據(jù)泄露的平均成本為445 萬美元。

3 個(gè)最近的撞庫示例

1、2022年7月，某大型戶外服裝公司

網(wǎng)絡(luò)犯罪分子利用撞庫攻擊這家戶外休閑服裝公司。這次攻擊泄露了近200,000 個(gè)客戶賬戶，暴露了包括姓名、電話號(hào)碼、性別、購(gòu)買歷史記錄、帳單地址和忠誠(chéng)度積分在內(nèi)的詳細(xì)信息。不久之后，該公司發(fā)出了有關(guān)數(shù)據(jù)泄露的通知信，敦促客戶更改密碼。

2. 2022年12月，某大型支付處理公司

一次攻擊影響了該支付處理器的近35,000 個(gè)用戶賬戶。雖然一些個(gè)人數(shù)據(jù)被泄露，但該公司報(bào)告沒有未經(jīng)授權(quán)的交易，但攻擊暴露了姓名、社會(huì)安全號(hào)碼和納稅識(shí)別號(hào)碼。

3. 2023年1月，知名快餐連鎖店

這家快餐連鎖店證實(shí)存在漏洞，訪問了超過71,000 個(gè)客戶賬戶。威脅行為者進(jìn)行了幾個(gè)月的撞庫攻擊，獲得了使用客戶獎(jiǎng)勵(lì)余額的權(quán)限。被盜數(shù)據(jù)還可能包括物理地址和客戶信用卡的最后四位數(shù)字。

安全團(tuán)隊(duì)可以采取哪些措施來阻止撞庫攻擊？

2022 年，金融領(lǐng)域的撞庫攻擊同比增長(zhǎng) 45% 。隨著蓬勃發(fā)展的公司建立自己的平臺(tái)并吸引更多用戶，潛在的收益對(duì)邪惡的網(wǎng)絡(luò)犯罪分子來說變得更具誘惑力。

安全團(tuán)隊(duì)可以采取以下六個(gè)步驟來應(yīng)對(duì)這種威脅：

1. 實(shí)施多重身份驗(yàn)證 (MFA)。

通過為用戶帳戶添加額外的安全層，可以使威脅行為者更難獲得訪問權(quán)限。即使某人擁有正確的憑據(jù)，他們也不太可能擁有手機(jī)、硬件密鑰或生物識(shí)別數(shù)據(jù)。在內(nèi)部使用 MFA 的公司可以鎖定其系統(tǒng)以防止撞庫。

2. 使用密碼管理器。

盡管最近流行的密碼管理器出現(xiàn)了一些漏洞，但這些應(yīng)用程序仍然是現(xiàn)代數(shù)字安全的主要內(nèi)容。每個(gè)人都可以使用密碼管理器為每個(gè)賬戶和設(shè)備創(chuàng)建和存儲(chǔ)長(zhǎng)的、獨(dú)特的、復(fù)雜的代碼，而不是依賴記憶或簡(jiǎn)單、易于猜測(cè)的密碼。

3. 鼓勵(lì)更好的密碼實(shí)踐。

通過在線內(nèi)容教育用戶固然很好，但安全團(tuán)隊(duì)必須言出必行，以保護(hù)消費(fèi)者數(shù)據(jù)。采取積極主動(dòng)的方法來消除密碼重復(fù)使用、共享代碼或?qū)⒌卿浶畔懺诩埳蠈p少內(nèi)部攻擊的機(jī)會(huì)。

4. 留意登錄嘗試周圍的異常行為。

一致的監(jiān)控方法可以挫敗欺詐行為。當(dāng)您發(fā)現(xiàn)登錄嘗試突然激增或異常模式時(shí)，可以阻止 IP 地址并警告合法用戶有關(guān)嘗試的黑客攻擊。鼓勵(lì)受感染的賬戶所有者更新其密碼將有助于打破攻擊生命周期。

5. 使用速率限制。

另一種防御機(jī)制是速率限制，可以阻止惡意機(jī)器人在短時(shí)間內(nèi)進(jìn)行過多的登錄嘗試。此安全功能將阻礙自動(dòng)攻擊的進(jìn)展，并且通常會(huì)阻礙攻擊者利用帳戶或通過拒絕服務(wù) (DoS)活動(dòng)淹沒網(wǎng)絡(luò)。

6.監(jiān)控暗網(wǎng)。

集合 #1-5 包含220 億個(gè)用戶名和密碼，其中許多可以通過攻擊者字典輕松破解。為了在新興網(wǎng)絡(luò)威脅面前領(lǐng)先一步，團(tuán)隊(duì)?wèi)?yīng)該監(jiān)控暗網(wǎng)中的此類集合，并在攻擊發(fā)生之前加固漏洞。