2022 年 12 月，威脅行為者通過撞庫攻擊破壞了安全應用程序，諾頓用戶陷入高度戒備狀態。諾頓的安全團隊在檢測到諾頓密碼管理器用戶的一系列可疑登錄嘗試后，鎖定了大約925,000 個賬戶。

調查結束后，有消息稱網絡犯罪分子成功破解了“數千個賬戶”的密碼，使用戶的個人信息面臨風險。

由于惡意行為者試圖接管您的賬戶，撞庫攻擊占所有登錄嘗試的34% 。但它到底是如何運作的，我們能做些什么來阻止這些活動呢？讓我們來看看吧。

什么是撞庫攻擊，是如何運作的？

憑證填充是一種常見的網絡攻擊，攻擊者使用自動化軟件快速測試被盜登錄憑證列表，以獲得對在線賬戶的未經授權的訪問。

那么，撞庫是如何工作的呢？攻擊者采取以下步驟：

1. 從暗網上購買或下載用戶名和密碼列表。數據泄露后，這些數據集在非法市場上出售。
2. 設置自動機器人以嘗試登錄多個用戶賬戶。機器人可以通過隱藏其 IP 地址來逃避檢測。
3. 每當機器人找到匹配項時即可訪問賬戶。此時，攻擊者可以竊取個人信息，例如信用卡號或社會保障號。
4. 當機器人嘗試成功的密碼組合來訪問其他帳戶時對其進行監控。由于65%的人依賴多個賬戶使用相同的密碼，因此使用相同的密碼對破解多個帳戶的可能性很高。

撞庫攻擊和暴力攻擊有什么區別？

暴力攻擊是另一種攻擊方法，與撞庫有一些細微的區別。

在撞庫中，攻擊者使用真實賬戶中泄露或被盜的密碼數據進行登錄嘗試。但在暴力攻擊中，攻擊者通過猜測常用密碼和常用密碼短語字典來嘗試登錄。

此外，憑證填充威脅行為者知道他們擁有真正的憑證，并且只需要找到匹配的帳戶即可。而嘗試暴力攻擊的任何人都不會了解有關目標正確憑據的任何背景信息。

因此，暴力攻擊依賴于盲目的運氣或易于猜測的密碼。撞庫是一種數字游戲，但通過自動化，可以帶來高額利潤。

撞庫的后果是什么？

對于成為撞庫攻擊受害者的消費者來說，犯罪者確實存在竊取敏感數據、損害其財務聲譽并以身份盜竊為目標的風險。

如果成為撞庫目標，需要注意以下六件事：

1. 賬戶受損。如果威脅行為者獲得訪問權限，他們可以安裝間諜軟件、竊取或銷毀數據或冒充帳戶持有者發送垃圾郵件或對其他目標發起網絡釣魚攻擊。
2. 數據泄露。許多攻擊者試圖闖入金融機構或高價值的政府目標，因為他們可以將非法在線市場上的數據出售給身份竊賊和具有政治目的的團伙。
3. 賬戶鎖定。登錄嘗試失敗次數過多后，您帳戶的安全系統可能會將您鎖定。這可能會擾亂您的業務或限制對電子郵件或銀行等關鍵賬戶的訪問。
4. 勒索軟件的要求。 國家支持的黑客組織可能會控制關鍵基礎設施或大型企業以索要贖金。
5. 網絡安全風險增加。 被盜的用戶憑據可用于未來的攻擊，這使受害者和任何密切相關方在初次違規后面臨更大的風險。
6. 對商業信譽造成負面影響。 如果您的公司遭受違規，消費者信任度將急劇下降。當成千上萬的用戶感受到他們的私人數據受到威脅時，一家公司可能會在股市上蒙受損失。2023 年，數據泄露的平均成本為445 萬美元。

3個最近的撞庫示例

1、2022年7月，某大型戶外服裝公司

網絡犯罪分子利用撞庫攻擊這家戶外休閑服裝公司。這次攻擊泄露了近200,000 個客戶賬戶，暴露了包括姓名、電話號碼、性別、購買歷史記錄、帳單地址和忠誠度積分在內的詳細信息。不久之后，該公司發出了有關數據泄露的通知信，敦促客戶更改密碼。

2. 2022年12月，某大型支付處理公司

一次攻擊影響了該支付處理器的近35,000 個用戶賬戶。雖然一些個人數據被泄露，但該公司報告沒有未經授權的交易，但攻擊暴露了姓名、社會安全號碼和納稅識別號碼。

3.  2023年1月，知名快餐連鎖店

這家快餐連鎖店證實存在漏洞，訪問了超過71,000 個客戶賬戶。威脅行為者進行了幾個月的撞庫攻擊，獲得了使用客戶獎勵余額的權限。被盜數據還可能包括物理地址和客戶信用卡的最后四位數字。

安全團隊可以采取哪些措施來阻止撞庫攻擊？

2022 年，金融領域的撞庫攻擊同比增長 45% 。隨著蓬勃發展的公司建立自己的平臺并吸引更多用戶，潛在的收益對邪惡的網絡犯罪分子來說變得更具誘惑力。

安全團隊可以采取以下六個步驟來應對這種威脅：

1. 實施多重身份驗證 (MFA)。

通過為用戶帳戶添加額外的安全層，可以使威脅行為者更難獲得訪問權限。即使某人擁有正確的憑據，他們也不太可能擁有手機、硬件密鑰或生物識別數據。在內部使用 MFA 的公司可以鎖定其系統以防止撞庫。

2. 使用密碼管理器。

盡管最近流行的密碼管理器出現了一些漏洞，但這些應用程序仍然是現代數字安全的主要內容。每個人都可以使用密碼管理器為每個賬戶和設備創建和存儲長的、獨特的、復雜的代碼，而不是依賴記憶或簡單、易于猜測的密碼。

3. 鼓勵更好的密碼實踐。

通過在線內容教育用戶固然很好，但安全團隊必須言出必行，以保護消費者數據。采取積極主動的方法來消除密碼重復使用、共享代碼或將登錄信息寫在紙上將減少內部攻擊的機會。

4. 留意登錄嘗試周圍的異常行為。

一致的監控方法可以挫敗欺詐行為。當您發現登錄嘗試突然激增或異常模式時，可以阻止 IP 地址并警告合法用戶有關嘗試的黑客攻擊。鼓勵受感染的賬戶所有者更新其密碼將有助于打破攻擊生命周期。

5. 使用速率限制。

另一種防御機制是速率限制，可以阻止惡意機器人在短時間內進行過多的登錄嘗試。此安全功能將阻礙自動攻擊的進展，并且通常會阻礙攻擊者利用帳戶或通過拒絕服務 (DoS)活動淹沒網絡。

6.監控暗網。

集合 #1-5 包含220 億個用戶名和密碼，其中許多可以通過攻擊者字典輕松破解。為了在新興網絡威脅面前領先一步，團隊應該監控暗網中的此類集合，并在攻擊發生之前加固漏洞。

安全團隊必須保護和教育用戶

惡意行為者可以建立一支自動化機器人大軍，每天運行數千或數百萬個欺詐性登錄請求。2022 年初，Auth0每天檢測到近 3 億次撞庫嘗試。

為了應對這種日益嚴重的威脅，用戶必須采用良好的密碼實踐和可靠的密碼管理器。但數據保護的真正責任在于網站安全團隊和應用程序提供商。

如果您的團隊想要破壞攻擊周期并阻止威脅行為者，您需要一種多方面的方法，將強大的訪問控制、威脅監控和速率限制保護措施結合起來。最終，最強大的防御是建立在教育和安全文化的基礎上。