纽约州总检察长詹乐霞(Letitia James)5日宣布对“撞库(凭证填充)”网络攻击的全面调查结果,这是一种将大量“偷来的”凭据“填充”到多个网站中的网络攻击,调查发现有17家知名公司的超过110万个在线账户遭到入侵。
“凭证填充”(credential stuffing)涉及使用从其它在线服务窃取的用户名和密码,自动执行填充操作,重复针对在线账户测试数百万个登录凭据。“凭证填充”已迅速成为线上主要的攻击威胁之一。
詹乐霞表示,几乎每个网站和应用程序都使用密码来对用户进行身份验证,不幸的是,大多数人在不同的账户上使用同一套密码。因此网络犯罪分子会将从一家公司窃取的密码用于其它在线账户,进行测试。
“目前,有超过150亿份被盗凭证在互联网上流传,用户的个人信息处于危险之中。”詹乐霞说,企业有责任采取措施保护其客户的在线账户。因此,州总检察长办公室发布指南,分享调查过程中的发现,列出公司可以应对的几个关键保护措施。
典型的凭证填充攻击,暗网下载被盗凭证列表
凭证填充涉及将大量盗窃的密码和用户名在多个网站尝试登录。在典型的凭证填充攻击中,黑客可能会使用自动化的凭证填充软件,以及从暗网或黑客论坛下载的被盗凭证列表(登录名和用户名组合),提交数十万甚至数百万次登录尝试。
尽管成功率很低,但通过大量的登录尝试,单次攻击仍然可以入侵数千个账户。检察长办公室(OAG)表示,一家大型内容交付网络的运营商报告称,仅在2020年,就有超过1930亿次“凭证填充”攻击,攻击的规模可想而知。
获得账户访问权限的黑客可以有多种方式使用这些账户,例如,可以查看与账户相关的个人信息,包括姓名、地址和过去的购买记录,并在网络钓鱼攻击中使用这些信息。如果账户中存储有信用卡或礼品卡,黑客可能会盗刷,或者将你的个人信息卖给暗网上的其他人。
纽约州检察总长的调查
詹乐霞办公室用了几个月的时间,监控了几个使用“凭证填充”的在线社区。发现了数千个包含客户登录凭据的帖子,黑客发起凭据填充攻击、测试这些凭据,确认可用于访问网站或应用程序上的客户账户。
从这些帖子中,检察长办公室(OAG)收集了17家知名在线零售商、连锁餐厅和食品配送服务的被盗账户凭据。总的来说,OAG收集了超过110万个客户账户的凭据,所有这些用户似乎都在攻击中遭到破坏。
OAG向17家公司发出警报,敦促他们调查并立即采取措施保护受影响的客户。其中两家公司的调查显示,大多数攻击以前未被发现。
如何保护自己免受填充攻击?OAG的建议
由于“凭证填充”攻击已日益普遍,对大多数企业来说,这些攻击是不可避免的。因此,每个维护在线客户账户的企业都应该有一个数据安全计划,OAG建议三种有效的保护措施:(1)机器人检测服务;(2)多因素身份验证(比如向你的手机号码发送代码),以及(3)无密码身份验证(比如一次性密码)。
但没有任何防护措施是100%有效的,OAG建议,企业必须有一种有效的方法来检测绕过防御系统的流氓登录。大多数“凭证填充”攻击可以通过监控客户流量中的攻击迹象,例如登录尝试失败的流量峰值来识别。
此外,防止黑客使用客户存储的支付信息的最有效保护措施之一是在购买时重新验证,例如,要求客户重新输入信用卡号或安全码。企业接受的每种付款方式都需要重新验证,这一点至关重要。
最后,OAG建议企业做一个书面的事件响应计划,列明响应“凭证填充”攻击的流程。这些流程应包括调查(例如,确定是否有流氓登录以及哪些客户账户被登录)、补救(例如,阻止黑客继续登录受影响的账户)和通知(例如,警告其账户可能受到影响的客户)。