紐約州總檢察長警告小心「憑證填充」網路攻擊
黑客用偷來的用戶名和密碼測試多個網站 影響110萬帳戶 安全原則:應避免使用同一組密碼在不同帳戶
【大紀元2022年01月06日訊】(大紀元記者蔡溶紐約報導)紐約州總檢察長詹樂霞(Letitia James)5日宣布對網絡攻擊「憑證填充」的全面調查結果,這是一種將大量「偷來的」憑據「填充」到多個網站中的網絡攻擊,調查發現有17家知名公司的超過110萬個在線帳戶遭到入侵。
「憑證填充」(credential stuffing)涉及使用從其它在線服務竊取的用戶名和密碼,自動執行填充操作,重複針對在線帳戶測試數百萬個登錄憑據。「憑證填充」已迅速成為線上主要的攻擊威脅之一。
詹樂霞表示,幾乎每個網站和應用程序都使用密碼來對用戶進行身分驗證,不幸的是,大多數人在不同的帳戶上使用同一套密碼。因此網絡犯罪分子會將從一家公司竊取的密碼用於其它在線帳戶,進行測試。
「目前,有超過150億份被盜憑證在互聯網上流傳,用戶的個人信息處於危險之中。」詹樂霞說,企業有責任採取措施保護其客戶的在線帳戶。因此,州總檢察長辦公室發布指南,分享調查過程中的發現,列出公司可以應對的幾個關鍵保護措施。
典型的憑證填充攻擊
憑證填充涉及將大量盜竊的密碼和用戶名塞入多個網站。在典型的憑證填充攻擊中,黑客可能會使用自動化的憑證填充軟件,以及從暗網或黑客論壇下載的被盜憑證列表(登錄名和用戶名組合),提交數十萬甚至數百萬次登錄嘗試。
儘管成功率很低,但通過大量的登錄嘗試,單次攻擊仍然可以入侵數千個帳戶。檢察長辦公室(OAG)表示,一家大型內容交付網絡的運營商報告稱,僅在2020年,就有超過1930億次「憑證填充」攻擊,攻擊的規模可想而知。
獲得帳戶訪問權限的黑客可以有多種方式使用這些帳戶,例如,可以查看與帳戶相關的個人信息,包括姓名、地址和過去的購買記錄,並在網絡釣魚攻擊中使用這些信息。如果帳戶中存儲有信用卡或禮品卡,黑客可能會盜刷,或者將你的個人信息賣給暗網上的其他人。
紐約州檢察總長的調查
詹樂霞辦公室用了幾個月的時間,監控了幾個使用「憑證填充」的在線社區。發現了數千個包含客戶登錄憑據的帖子,黑客發起憑據填充攻擊、測試這些憑據,確認可用於訪問網站或應用程序上的客戶帳戶。
從這些帖子中,檢察長辦公室(OAG)收集了17家知名在線零售商、連鎖餐廳和食品配送服務的被盜帳戶憑據。總的來說,OAG收集了超過110萬個客戶帳戶的憑據,所有這些用戶似乎都在攻擊中遭到破壞。
OAG向17家公司發出警報,敦促他們調查並立即採取措施保護受影響的客戶。其中兩家公司的調查顯示,大多數攻擊以前未被發現。
如何保護自己免受填充攻擊?OAG的建議
由於「憑證填充」攻擊已日益普遍,對大多數企業來說,這些攻擊是不可避免的。因此,每個維護在線客戶帳戶的企業都應該有一個數據安全計劃,OAG建議三種有效的保護措施:(1)機器人檢測服務;(2)多因素身分驗證(比如向你的手機號碼發送代碼),以及(3)無密碼身分驗證(比如一次性密碼)。
但沒有任何防護措施是100%有效的,OAG建議,企業必須有一種有效的方法來檢測繞過防禦系統的流氓登錄。大多數「憑證填充」攻擊可以通過監控客戶流量中的攻擊跡象,例如登錄嘗試失敗的流量峰值來識別。
此外,防止黑客使用客戶存儲的支付信息的最有效保護措施之一是在購買時重新驗證,例如,要求客戶重新輸入信用卡號或安全碼。企業接受的每種付款方式都需要重新驗證,這一點至關重要。
最後,OAG建議企業做一個書面的事件響應計劃,列明響應「憑證填充」攻擊的流程。這些流程應包括調查(例如,確定是否有流氓登錄以及哪些客戶帳戶被登錄)、補救(例如,阻止黑客繼續登錄受影響的帳戶)和通知(例如,警告其帳戶可能受到影響的客戶)。
沒有留言:
張貼留言