如何保护您的在线帐户免受撞库攻击

作者
Tweet
Share
Share
Pin
0 Shares

在当今数字时代,我们每个人都需要管理大量的网站和应用程序账户,这就需要我们创建独特的用户名和密码。 很多人为了方便,可能会倾向于在多个平台使用相同的登录信息。然而,这种做法背后隐藏着巨大的风险。

根据SpyCloud 2022年度身份泄露报告显示,他们分析了暗网上的超过150亿条被盗凭证,结果发现65%的被盗密码至少被用于两个账户。 虽然重复使用密码看似一种方便的记忆方法,但实际上却为潜在的灾难埋下了伏笔。一旦某个系统遭到破坏,你的账户信息被泄露,那么所有使用相同凭证的账户都会面临被攻击的风险。 请记住,被泄露的凭证通常会在暗网上低价出售,你很容易成为撞库攻击的受害者。

撞库攻击是一种网络攻击手段,攻击者利用窃取的在线账户或系统凭证,尝试访问其他不相关的在线账户或系统。 例如,攻击者可能获取了你的Twitter账户的用户名和密码,并利用这些信息尝试登录你的Paypal账户。 如果你在Twitter和Paypal上使用了相同的凭证,那么你的Paypal账户很可能因为你的Twitter账户泄露而被盗用。 这种攻击被称为撞库攻击,其根本原因在于许多用户在多个在线账户上重复使用相同的凭证。

进行撞库攻击的恶意行为者通常使用自动化机器人来执行和扩大攻击范围。 这使得他们能够利用大量的泄露凭证,并对多个在线平台发起攻击。 随着数据泄露事件的不断发生,以及泄露凭证在暗网上的交易日益活跃,撞库攻击变得越来越普遍。

撞库攻击是如何运作的?

撞库攻击的第一步是获取泄露的凭证。 这些用户名和密码可能来源于暗网交易、密码泄露网站、数据泄露事件或网络钓鱼攻击。 接下来,攻击者会设置机器人程序,来测试在不同网站上被盗的凭证。 自动化机器人是撞库攻击的首选工具,因为它们能够高速、隐秘地使用大量凭证进行尝试。 此外,使用机器人还可以避免IP地址因多次登录失败而被阻止。

在撞库攻击进行的同时,攻击者也会监控哪些凭证成功登录。 这样,他们就能轻易地获取在某些在线平台上有效的凭证,并利用它们来控制账户。 一旦攻击者获得账户的访问权限,他们就可以自行决定如何使用该账户,例如出售给其他攻击者、窃取敏感信息、进行身份盗用,或者在银行账户被盗用的情况下进行在线消费。

为什么撞库攻击如此有效?

撞库攻击的成功率并不高。 根据 Recorded Future 威胁研究部门 Insikt Group 的报告,撞库攻击的平均成功率在1%到3%之间。尽管如此,Akamai Technologies 在其2021年互联网现状/安全报告中指出,2020年全球范围内发生了1930亿次撞库攻击。

撞库攻击如此频繁且日益普遍的原因在于,大量泄露凭证的存在,以及高级自动化工具的广泛应用,这使得撞库攻击更加高效,几乎难以与人类的正常登录尝试区分开来。 即使只有1%的成功率,如果攻击者拥有100万个泄露凭证,他们仍然可以成功入侵大约1万个账户。 这些大量的泄露凭证在暗网上被交易,并且可以在多个平台上重复使用, 导致越来越多的账户受到侵害。 此外,人们继续在多个在线账户上重复使用相同凭证的行为,也使得撞库攻击变得更加有效。

撞库攻击 vs. 暴力破解

尽管撞库攻击和暴力破解都是账户接管攻击,并且OWASP(开放 Web 应用程序安全项目)将撞库攻击视为暴力破解的子集,但它们的执行方式不同。 在暴力破解攻击中,攻击者会尝试通过猜测用户名和密码来接管账户。 他们会尝试尽可能多的用户名和密码组合,而没有任何关于正确凭证的线索。 暴力破解攻击可能会使用常见的密码模式或常用密码短语,例如 Qwerty、password 或 12345。如果用户使用弱密码或系统默认密码,暴力破解攻击可能会成功。

另一方面,撞库攻击试图使用从其他系统或在线账户获取的泄露凭证来接管账户。 在撞库攻击中,攻击者并不需要猜测凭证。 撞库攻击的成功依赖于用户在多个在线账户上重复使用他们的凭证。 通常情况下,暴力破解攻击的成功率远低于撞库攻击。 使用强密码可以防止暴力破解攻击, 但是,如果强密码在多个账户之间共享,那么使用强密码就无法防止撞库攻击。 防止撞库攻击的有效方法是在不同的在线账户上使用唯一的凭证。

如何检测撞库攻击?

撞库攻击者通常使用模仿人类行为的机器人,因此很难区分登录尝试是真人还是机器人。 但是,仍然有一些迹象可以表明撞库攻击正在进行。 例如,网络流量的突然增加应该引起怀疑。 在这种情况下,应该监控网站的登录尝试。 如果发现来自多个IP地址对多个账户的登录尝试增加,或者登录失败率增加,这都可能表明正在发生撞库攻击。

撞库攻击的另一个迹象是用户抱怨被锁定在账户之外,或者收到并非由他们自己进行的登录尝试失败通知。 此外,监控用户活动,如果发现异常的用户活动,例如更改设置、个人资料信息、汇款和在线购买,这也可能表示撞库攻击。

如何防止撞库攻击?

以下是一些可以采取的措施来避免成为撞库攻击的受害者:

#1. 避免在多个账户上重复使用相同的凭证

撞库攻击的根本原因在于用户在多个在线账户之间共享凭证。 通过在不同的在线账户上使用唯一的凭证,可以轻松避免这种情况。 借助诸如Google密码管理器之类的密码管理工具,用户可以方便地使用独特且复杂的密码,而无需担心忘记它们。 企业也可以通过禁止使用电子邮件作为用户名来强制执行此措施。 这样,用户更有可能在不同平台上使用不同的凭证。

#2. 使用多因素身份验证(MFA)

多因素身份验证使用多种方法来验证尝试登录用户的身份。它将传统的用户名和密码验证方法,与通过电子邮件或短信发送给用户的秘密安全代码结合在一起,从而进一步确认用户的身份。 多因素身份验证可以有效地防止撞库攻击,因为它增加了额外的安全层。 当有人试图入侵你的账户时,你可能会收到安全代码的通知,即使你没有主动请求。 微软的一项研究表明,使用多因素身份验证可以将在线账户被盗的可能性降低99.9%。

#3. 设备指纹识别

设备指纹识别技术可以将对在线账户的访问与特定的设备绑定。 它会使用设备型号和编号、操作系统、语言和国家/地区等信息来识别用于访问账户的设备。 这会创建一个独特的设备指纹,然后将其与用户账户关联。 未经关联设备的许可,其他设备将无法访问该账户。

#4. 监控泄露的密码

当用户尝试创建在线平台的用户名和密码时,除了检查密码的强度,还可以将这些凭证与已公开的泄露密码进行比对。 这有助于防止用户使用将来可能被利用的凭证。 企业可以部署解决方案来监控用户凭证,以防止使用在暗网上泄露的凭证,并在发现匹配项时通知用户。 然后,可以要求用户通过各种方法验证自己的身份,更改凭证并实施多因素身份验证,以进一步保护他们的账户。

#5. 凭证哈希

凭证哈希是指在将用户的凭证存储到数据库之前对其进行加密。 这样可以防止在发生数据泄露事件时,凭证被滥用,因为存储的凭证将无法直接使用。 虽然这并不是万无一失的方法,但它可以给用户争取时间在数据泄露发生后更改密码。

撞库攻击的案例

以下是一些著名的撞库攻击案例:

  • 2020年,超过50万个Zoom账户的凭证被盗。 这次撞库攻击使用了从各种暗网论坛获取的用户名和密码,其中有些凭证可以追溯到2013年。 被盗的Zoom账户凭证在暗网上低价出售。
  • 加拿大税务局(CRA)数千个用户账户被入侵。2020年,约5500个CRA账户在两次单独的撞库攻击中被盗用,导致用户无法访问CRA提供的服务。
  • The North Face 的194095个用户账户被入侵。The North Face 是一家运动服装公司,该公司在2022年7月遭受了撞库攻击。 这次攻击导致用户的全名、电话号码、性别、会员积分、账单和送货地址、账户创建日期以及购买记录等信息被泄露。
  • 2019 年,Reddit遭受了撞库攻击。 一些Reddit用户的账户凭证被泄露后,他们的账户被锁定。

这些案例凸显了保护自己免受此类攻击的重要性。

总结

你可能看到过诸如Netflix、Hulu和Disney+之类的流媒体网站,或者 Grammarly、Zoom和Turnitin之类的在线服务的凭证卖家。 你是否好奇这些卖家是如何获得这些凭证的? 这些凭证很可能通过撞库攻击获得。如果你在多个在线账户上使用相同的凭证,现在是时候做出改变了。 为了更好地保护你自己,请对所有在线账户实施多因素身份验证,并避免购买泄露的凭证,因为这会为撞库攻击创造有利环境。