當前，全球范圍內金融服務企業遭受撞庫攻擊的速度令人咋舌。2017年12月至2019年11月間，Akamai共觀察到85422079109次撞庫攻擊。而在針對金融服務業發起的撞庫攻擊中，高達75%的攻擊直接以API為目標。不幸的是，中國是API惡意登錄的三大“重災區”之一[1]。為何形勢如此嚴峻？網絡犯罪分子正在使用現成的自動化工具、僵尸網絡和受感染的賬戶憑據發起日益精密且隱秘的攻擊。許多企業正在使用多重身份驗證（MFA）增強訪問安全并抵御憑據盜竊。多重身份驗證雖然有用且必不可少，但不一定能夠阻止撞庫。如果精明的攻擊者發現了正確的用戶ID和密碼組合，directadmin漢化，那么他們必能找到其他方法來訪問賬戶并實施犯罪。

許多金融服務企業正在采取其他措施來抵御撞庫，比如使用高級爬蟲管理解決方案在犯罪分子獲得應用或關鍵系統訪問權限前發現并阻止他們。下文將介紹撞庫的原理并提供一些抵御撞庫攻擊的建議。

何為撞庫攻擊？

撞庫是一種常見的網絡攻擊方式，犯罪分子會使用自動化系統和被破解的登錄憑據訪問在線賬戶。撞庫的一個基本前提是，云主機租用，受害者常常為多個在線賬戶設置相同的用戶ID和密碼組合。因此，如果網絡犯罪分子掌握了您的電子商務網站或社交媒體應用的用戶ID和密碼，并且碰巧您的網上銀行業務也使用了相同的組合，那么他們就可以竊取您儲蓄賬戶中的錢。犯罪分子可以使用開源自動化工具對成千上萬個網站進行成千上萬次憑據盜竊嘗試，因為他們知道最終成功的可能性非常大。

犯罪分子可以通過猖獗的地下經濟購買、出售和利用已被破解的賬戶憑據。暗網上銷售的被盜憑據達到數十億個。在中國，今年四月的一條涉及國內多家銀行數百萬條客戶數據資料在暗網被標價兜售的消息，一時曾激起千層浪[2]。雖然該消息的真實性最終被駁，但這些數據確真真實實在暗網上被出售、加強個人金融信息保護的呼聲也越發高漲。事實上，Sentry MBA或SNIPR等免費自動化工具讓犯罪分子能更加輕松地嘗試登錄信息并驗證被盜憑據。低成本的“僵尸網絡即服務”平臺讓犯罪分子能夠大規模地發起撞庫活動。

Sentry MBA讓發起撞庫攻擊變得更容易

正如我在文章一開始所提到的，金融服務機構經常成為撞庫攻擊的目標。銀行賬戶、信用卡賬戶、經紀賬戶和支付應用都是犯罪分子青睞的對象。如下圖所示，根據Akamai《2019年互聯網安全狀況報告：針對金融服務業的攻擊經濟》，所有撞庫攻擊中約有6%針對的是金融服務企業（雖然乍看之下，這個比例似乎較低，但您得考慮與其他行業相比，金融服務業遭受一次攻擊所產生的潛在總成本）。在18個月的時間里，Akamai共發現超過35億次針對金融機構的惡意登錄嘗試。

Akamai觀察到的撞庫攻擊（2017年12月至2019年4月）

網絡犯罪分子還會利用撞庫非法訪問API。根據Akamai《2020年互聯網安全狀況報告：金融服務——惡意接管嘗試》，攻擊者常常將提供保密數據和服務訪問的REST和SOAP端點作為攻擊目標，然后利用這些數據和服務實施金融犯罪。下圖顯示了Akamai在一年內發現的惡意登錄嘗試。橙色表示針對API端點的嘗試。上半部分表示所有行業，下半部分表示金融服務領域。

Akamai觀察到的惡意登錄嘗試（2017年12月至2019年11月）

抵御撞庫攻擊

撞庫攻擊可能會損害金融公司的聲譽并導致監管處罰、法律成本和客戶流失，還會通過使用偽造的爬蟲流量令基礎設施癱瘓并破壞金融公司網站和網絡應用的性能。更糟糕的是，為了避免被發現，攻擊者一直在改良自己的技術，包括將登錄嘗試分配到數千個爬蟲、使用代理服務器、逐漸分散登錄嘗試等。

以下是幫助金融服務機構抵御撞庫和降低風險的三條建議。

建議一：重新審視應用程序和網站登錄頁面

許多應用程序和網站設計者會在不經意間確認用戶ID或其他可被用于發起攻擊的信息，這在無意中助了犯罪分子“一臂之力”。比如網絡犯罪分子可能會嘗試使用未經驗證的用戶ID和密碼登錄賬戶。如果Web應用程序返回錯誤消息、顯示密碼不正確，那么犯罪分子就可以認為用戶ID是正確的、然后使用暴力密碼破解方法或其他機制獲得該賬戶的訪問權。

金融服務機構應重新審視自己的身份驗證流程和登錄界面，確保自己沒有在“助紂為虐”。

建議二：強化多重身份驗證解決方案