當(dāng)前，至少有150億個(gè)憑證在各種黑市和論壇上流傳，這為網(wǎng)絡(luò)犯罪分子提供了接管帳戶攻擊和身份出租服務(wù)的便利。

經(jīng)過(guò)安全公司Digital Shadows的調(diào)查報(bào)告顯示，多數(shù)泄露都是由于消費(fèi)者自身對(duì)數(shù)據(jù)不夠重視所導(dǎo)致的，于是黑客們可以利用這些憑證和數(shù)據(jù)，來(lái)發(fā)動(dòng)憑證填充攻擊。

報(bào)告顯示：暴力破解工具和帳戶檢查程序在黑市和論壇上都有售賣(mài)，平均售價(jià)為4美元，其中最受歡迎的市場(chǎng)是UnderWorld(以前為RichLogs)和Tenebris，但最大的市場(chǎng)仍然是Genesis Market。

部分用戶名和密碼組合都是免費(fèi)提供的，其中有50億張憑證是“獨(dú)一無(wú)二”“可售賣(mài)的”，這50億張憑證的平均售價(jià)是15.43美元，防病毒帳戶是20多美元，而其他類(lèi)型的帳戶(有線電視、社交媒體、流媒體、成人、音樂(lè)、文件共享和視頻游戲帳戶)通常不到10美元。

最昂貴的帳戶是用于域管理員訪問(wèn)的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上提供了最高級(jí)別的信任和控制，所以許多廣告公司通過(guò)拍賣(mài)來(lái)提供域名管理員的訪問(wèn)權(quán)限，并以高達(dá)12萬(wàn)美元(平均3139美元)的價(jià)格將其賣(mài)給出價(jià)最高者。

這些價(jià)格的定位取決于所在行業(yè)，其中對(duì)地方政府和金融部門(mén)的要價(jià)最高。

如今憑據(jù)很少以純文本形式出現(xiàn)，許多服務(wù)會(huì)檢查指紋數(shù)據(jù)以識(shí)別未經(jīng)授權(quán)的登錄嘗試。

于是黑市又開(kāi)發(fā)了新的模式，比如Genesis Market的用戶可以租用帳戶訪問(wèn)權(quán)限來(lái)代替購(gòu)買(mǎi)憑據(jù)，在一定時(shí)期內(nèi)，使用最近推出的ATO“即服務(wù)”模式，罪犯可以用不到10美元的價(jià)格租用一個(gè)身份，該服務(wù)還提供了受害者的“指紋數(shù)據(jù)”(例如cookie，IP地址，時(shí)區(qū))，使其看起來(lái)像合法的所有者登錄，從而更容易劫持帳戶和執(zhí)行交易而不會(huì)被發(fā)現(xiàn)。

從直接銷(xiāo)售數(shù)據(jù)到通過(guò)憑證填充獲得對(duì)其他帳戶的訪問(wèn)權(quán)，再到租用帳戶，使用數(shù)據(jù)創(chuàng)建綜合身份，再到進(jìn)行欺詐，網(wǎng)絡(luò)罪犯有各種各樣的賺錢(qián)方法。

除了破解密碼外，攻擊者們可以利用來(lái)自數(shù)據(jù)泄露的憑據(jù)列表，輕松地部署憑據(jù)填充(憑據(jù)重用)攻擊，從而使同一用戶可以訪問(wèn)更多帳戶，并有機(jī)會(huì)收集更多個(gè)人信息。

長(zhǎng)期以來(lái)，Sentry MBA一直是憑證填充攻擊的最?lèi)?ài)。它具有繞過(guò)某些安全防護(hù)(例如IP位置或速率限制)的功能。這使它可以嘗試使用數(shù)百萬(wàn)個(gè)用戶名和密碼的組合，以找到目標(biāo)網(wǎng)站的有效登錄名。

在網(wǎng)絡(luò)犯罪論壇上廣泛討論的另一種工具是OpenBullet，截至2020年，已占整個(gè)網(wǎng)絡(luò)犯罪論壇的35%，這是一種網(wǎng)站測(cè)試套件，可以在目標(biāo)Web應(yīng)用程序上運(yùn)行請(qǐng)求。它具有開(kāi)源特性，自定義選項(xiàng)和較低的CPU使用率，以及隨附的用于解析和抓取的工具，因此使其成為有吸引力的選擇。

下圖顯示了網(wǎng)絡(luò)犯罪分子在2020年提到的一組憑證驗(yàn)證工具。

對(duì)于普通用戶而言，防御ATO攻擊是一項(xiàng)輕松的任務(wù)，他們可以選擇強(qiáng)而唯一的密碼，并在支持該功能的服務(wù)上啟用兩因素身份驗(yàn)證(2FA)，但這不能完全消除風(fēng)險(xiǎn)。