如今,网络攻击的数量以及黑客和网络犯罪分子使用的技术种类繁多,令人担忧。即使组织越来越意识到并采取措施保护他们的业务,当涉及到非法用户试图未经授权访问敏感数据或个人数据时,他们仍然面临着一场艰苦的战斗。
随着越来越多的黑客攻击导致数据泄露,黑客可以获取有关用户凭据的敏感数据。这只会让组织的情况变得更糟,因为此类数据成为另一种称为撞库的网络攻击方法的基础。随着越来越多的用户登录凭据通过这些漏洞被公开,攻击者可以获得更多信息,他们可以使用这些信息来尝试破坏其他在线帐户的用户名和密码组合。
什么是撞库?
凭据填充是一种网络攻击,其中从泄漏中获得的合法用户的凭据用于登录到另一项服务。
攻击者通常使用来自先前数据泄露或暗网来源的数据来获取对用户凭证的访问权限,例如电子邮件地址、密码对和密码组合。然后,攻击者尝试使用这些窃取的凭据登录多个在线服务,例如流媒体服务、银行网站、社交媒体网络等。
这种形式的身份盗用假设许多用户经常在多个网站和服务中重复使用同一组凭据(用户名和密码)。攻击者经常使用恶意软件机器人来自动进行破坏并扩展其操作以破坏大量用户帐户。
攻击者采用的技术也变得更加复杂,机器人能够通过尝试从不同 IP 地址进行多次登录尝试来规避 IP 黑名单。
撞库攻击的类型
撞库攻击有多种形式。最常见的攻击类型是暴力攻击,它涉及尝试使用尽可能多的不同用户名和密码访问帐户。
这种类型的攻击是高度自动化的,并且在使用大量用户名/密码组合时非常有效。
其他类型的凭证填充攻击包括字典攻击,它涉及尝试将常见的单词或短语作为密码;欺骗攻击,攻击者试图通过伪装成合法用户来获得访问权限;和网络钓鱼攻击,攻击者发送包含恶意链接或附件的电子邮件以诱骗用户泄露其凭据。
此外,攻击者还可能使用更复杂的方法,例如密码破解工具或社会工程技术来获取对用户帐户的访问权限。为了防止撞库攻击,组织和用户都必须采用强大的身份验证措施,我们将在下面讨论。
凭据填充与蛮力攻击
尽管撞库属于暴力攻击的范畴,但有一些因素使其更加具体。顾名思义,暴力攻击试图通过猜测密码并尝试多种组合来登录帐户,通常是随机的,没有上下文或提示。另一方面,凭据填充会进行相同的暴力登录尝试,但有价值的信息除外,例如 密码列表 从其他违规行为泄露的用户数据中收集。
将暴力攻击视为基于随机猜测的尝试,通过尝试所有可能的组合,尝试使用密码登录帐户甚至 iPhone。在这个类比中,凭据填充意味着使用可用的用户名和密码列表或真实用户的密码组合,以更少的尝试次数做同样的事情,但更有效。
凭据填充与密码喷射
您经常会听到这两个术语可以互换使用。它们都是暴力密码攻击的形式,可以由机器人或手动执行,并且都可能对您的业务造成难以置信的损失。
但是,它们彼此略有不同。两者之间的主要区别在于,在撞库攻击中,黑客已经拥有一个帐户的有效登录详细信息,并使用它们来尝试获取对辅助帐户的访问权限。在密码喷洒攻击中,凭据是未知的。在这里,黑客试图使用各种常用密码登录。
凭据填充如何工作?
凭据填充始于攻击者从另一个来源获取用户名和密码的数据库——数据泄露、网络钓鱼攻击或凭据转储站点。然后使用自动化工具,攻击者针对许多网站测试这些被盗的凭据,包括社交媒体资料、电子商务市场和应用程序。如果成功登录,攻击者就会知道他们获取的数据是合法的,并继续以多种方式使用他们通过登录获得的访问权限。他们可以将这些新获取的数据出售给其他恶意行为者使用,从该帐户发送网络钓鱼消息或垃圾邮件,访问信用卡号等敏感财务信息,甚至窃取帐户持有人的财务信息。
凭据填充示例
即使拥有最先进的网络安全系统,黑客仍会尝试潜入在线帐户以获取人们的个人数据。不幸的是,它奏效了,而且成功率惊人。这里有些例子:
- 优步:2016 年,攻击者通过凭据填充获得了对客户和司机数据的访问权限,优步遭受了一次严重的数据保护漏洞。该公司不仅必须向攻击者支付 $100,000,而且还因违规被罚款 $120 万。
- 汇丰银行:这家大型银行公司在 2018 年发现其部分客户的凭据遭到破坏,当时攻击者窃取了广泛的个人数据,包括姓名、地址、帐号、交易报告等。
- Superdrug:2018年发生了另一起大数据泄露事件。这次它影响了大约20,000名Superdrug客户的数据。黑客获得了访问权限,然后向公司索要赎金。
撞库攻击的利害关系是什么?
除了个人可能因攻击者通过凭据填充访问其帐户而遭受的经济损失外,组织也可能面临严重后果。
事实上,根据 Ponemon Institute 的一份报告,由于应用程序停机、客户流失和凭据填充导致的 IT 成本,企业每年损失约 $6 百万。最重要的是,随着监管机构越来越多地要求组织对此类攻击负责,公司还可能根据 GDPR 等数据隐私法面临法律诉讼。
如何检测撞库攻击
有一些迹象表明您或您的组织正通过这种方法成为攻击目标,您可以留意这些迹象。
查找多个帐户的多次登录尝试
如果您观察到登录数量急剧且不寻常地上升,则很可能是有一个自动机器人正在执行撞库攻击。您可以在检测到重复登录尝试的先前会话中以时间延迟和 IP 地址禁令的形式设置障碍。但是一些机器人可以通过使它们看起来好像来自不同的设备和 IP 地址来模拟看似真实的登录。
在站点流量激增导致的停机期间保持警惕
如果您的网站流量激增导致服务器不堪重负而导致突然停机,这也可能表明存在大规模的启用僵尸网络的撞库攻击。
留意高于平常的登录失败率
由于人为错误和其他自然问题,预计一定比例的登录尝试会失败是合理的。但是,如果登录失败率明显高于正常水平,则可能再次出现机器人程序,它们试图通过凭据填充的方式强行登录。注意位置和流量模式以及在这些情况下尝试重复登录的速度。
撞库的原因
正如我们所讨论的,凭据填充是一种网络攻击,涉及使用窃取的用户名和密码来未经授权访问在线帐户。
这种形式的攻击正变得越来越普遍,因为数据泄露使黑客更容易获取大量用户凭据。
凭据填充的主要原因之一是密码重用,其中用户对多个帐户使用相同的用户名和密码组合。这使得攻击者更容易获得访问权限,因为他们只需要一组凭据即可在其他站点上进行尝试。此外,弱密码也是撞库攻击的主要因素;如果用户选择容易猜到的密码,例如“123456”或“password”,那么他们更容易受到此类攻击。
最后,购买或以其他方式从数据泄露中获取电子邮件地址和相关密码列表的恶意行为者也可以启用大规模撞库攻击。
为了防止撞库攻击,组织和用户都应该采用强大的身份验证措施,例如双因素身份验证和密码管理器;此外,用户不应在不同的服务中重复使用相同的密码,并始终为其在线帐户选择长而复杂的密码。
以下是我们的一些最有效的预防技巧:
有关如何防止凭据填充的提示
除了上述用于检测撞库攻击的技术之外,您还可以遵循一些简单的提示来完全防止它们。
强制执行多重身份验证 (MFA)
久经考验的多因素身份验证 (MFA) 仍然是防止撞库攻击的可靠方法。由于这些类型的攻击依赖于使用从其他地方获得的凭据登录系统,因此添加另一层身份验证(例如令牌、第二个密码或生物特征指纹或面部识别)有助于使攻击无效。将 MFA 视为双因素身份验证 (TFA) 的升级版本。
尝试设备指纹识别
可以根据收集到的有关用户设备和传入会话的信息发现特定的“指纹”,从而检测潜在的撞库攻击。指纹本质上是浏览器、语言、操作系统、时区等参数的组合,这些参数共同表明身份。例如,如果同一指纹在短时间内多次出现,或者当其他因素使其看起来可疑时,很可能是撞库攻击,您应该迅速采取行动阻止这些攻击。
部署验证码
简单的 CAPTCHA 程序可以在登录时测试真人的存在,也有助于防止凭据填充攻击。但只是在一定程度上,因为攻击者越来越擅长使用无头浏览器绕过 CAPTCHA 测试。
阻止无头浏览器的访问
无头浏览器是没有图形用户界面的浏览器,而是通过命令行界面控制网页,攻击者经常使用它们来绕过验证码和上述其他工具。使用它们使用的某些脚本,可以发现通过此类无头浏览器进行的攻击。为了采取额外的预防措施并进一步防止漏洞,您应该完全阻止对无头浏览器的访问。
执行 IP 黑名单
尽管可以访问从其他地方获得的受损凭据,但攻击者用来使撞库攻击看起来合法的 IP 地址可能仍然有限。因此,针对此类攻击采取措施的一种方法是阻止或沙盒尝试登录多个帐户的 IP。这也是日志历史派上用场的地方,它可用于将用于登录帐户的最后几个 IP 与可疑 IP 的 IP 进行比较。
限速非住宅流量源
另一种应对撞库攻击的方法是对来自 Amazon Web Services 等可疑来源的流量应用严格的速率限制。在大多数情况下,这些是机器人流量,并且速率限制限制了对网站的请求数量,以阻止可能是凭证填充的典型活动的大量活动。
避免使用电子邮件地址作为用户 ID
人们在帐户登录时使用他们的电子邮件地址作为用户 ID 并非闻所未闻。但这使得攻击者很容易将凭据填充作为一种策略,因为他们可以尝试在多个网站上使用电子邮件 ID 作为用户名。让您的用户清楚他们应该避免使用电子邮件地址作为帐户 ID 或用户名,甚至可以通过将其作为帐户创建和登录的标准来防止这种情况发生。
强制使用强密码
另一种帮助防止网络攻击的方法是确保所有用户帐户都有强密码。密码越长,黑客就越难破解。确保密码的长度至少为 8 个字符,并使用字母、数字和符号的组合是执行此操作的好方法。
采用机器人检测和管理工具
防止撞库的最有效保护是使用全面的 机器人检测和管理 服务。这些将速率限制与 IP 信誉数据库相结合,以阻止可疑的登录尝试,同时让合法登录正常进行。 CDNetworks 优惠 Bot Shield(机器人防护与管理),一种基于云的机器人程序管理解决方案,可以识别恶意机器人程序流量,包括来自撞库的流量,并发送通知让您立即采取行动。
此外,一些解决方案如 CDNetworks Application Shield(DDoS防护及Web应用防火墙) 还可以将 Web 应用程序防火墙 (WAF) 与内容分发网络 (CDN) 集成,以防止撞库攻击。
