當前,全球范圍內(nèi)金融服務(wù)企業(yè)遭受撞庫攻擊的速度令人咋舌。2017年12月至2019年11月間,Akamai共觀察到85422079109次撞庫攻擊。而在針對金融服務(wù)業(yè)發(fā)起的撞庫攻擊中,高達75%的攻擊直接以API為目標。不幸的是,中國是API惡意登錄的三大“重災區(qū)”之一[1]。為何形勢如此嚴峻?網(wǎng)絡(luò)犯罪分子正在使用現(xiàn)成的自動化工具、僵尸網(wǎng)絡(luò)和受感染的賬戶憑據(jù)發(fā)起日益精密且隱秘的攻擊。許多企業(yè)正在使用多重身份驗證(MFA)增強訪問安全并抵御憑據(jù)盜竊。多重身份驗證雖然有用且必不可少,但不一定能夠阻止撞庫。如果精明的攻擊者發(fā)現(xiàn)了正確的用戶ID和密碼組合,directadmin漢化,那么他們必能找到其他方法來訪問賬戶并實施犯罪。
許多金融服務(wù)企業(yè)正在采取其他措施來抵御撞庫,比如使用高級爬蟲管理解決方案在犯罪分子獲得應用或關(guān)鍵系統(tǒng)訪問權(quán)限前發(fā)現(xiàn)并阻止他們。下文將介紹撞庫的原理并提供一些抵御撞庫攻擊的建議。
何為撞庫攻擊?
撞庫是一種常見的網(wǎng)絡(luò)攻擊方式,犯罪分子會使用自動化系統(tǒng)和被破解的登錄憑據(jù)訪問在線賬戶。撞庫的一個基本前提是,云主機租用,受害者常常為多個在線賬戶設(shè)置相同的用戶ID和密碼組合。因此,如果網(wǎng)絡(luò)犯罪分子掌握了您的電子商務(wù)網(wǎng)站或社交媒體應用的用戶ID和密碼,并且碰巧您的網(wǎng)上銀行業(yè)務(wù)也使用了相同的組合,那么他們就可以竊取您儲蓄賬戶中的錢。犯罪分子可以使用開源自動化工具對成千上萬個網(wǎng)站進行成千上萬次憑據(jù)盜竊嘗試,因為他們知道最終成功的可能性非常大。
犯罪分子可以通過猖獗的地下經(jīng)濟購買、出售和利用已被破解的賬戶憑據(jù)。暗網(wǎng)上銷售的被盜憑據(jù)達到數(shù)十億個。在中國,今年四月的一條涉及國內(nèi)多家銀行數(shù)百萬條客戶數(shù)據(jù)資料在暗網(wǎng)被標價兜售的消息,一時曾激起千層浪[2]。雖然該消息的真實性最終被駁,但這些數(shù)據(jù)確真真實實在暗網(wǎng)上被出售、加強個人金融信息保護的呼聲也越發(fā)高漲。事實上,Sentry MBA或SNIPR等免費自動化工具讓犯罪分子能更加輕松地嘗試登錄信息并驗證被盜憑據(jù)。低成本的“僵尸網(wǎng)絡(luò)即服務(wù)”平臺讓犯罪分子能夠大規(guī)模地發(fā)起撞庫活動。
Sentry MBA讓發(fā)起撞庫攻擊變得更容易
正如我在文章一開始所提到的,金融服務(wù)機構(gòu)經(jīng)常成為撞庫攻擊的目標。銀行賬戶、信用卡賬戶、經(jīng)紀賬戶和支付應用都是犯罪分子青睞的對象。如下圖所示,根據(jù)Akamai《2019年互聯(lián)網(wǎng)安全狀況報告:針對金融服務(wù)業(yè)的攻擊經(jīng)濟》,所有撞庫攻擊中約有6%針對的是金融服務(wù)企業(yè)(雖然乍看之下,這個比例似乎較低,但您得考慮與其他行業(yè)相比,金融服務(wù)業(yè)遭受一次攻擊所產(chǎn)生的潛在總成本)。在18個月的時間里,Akamai共發(fā)現(xiàn)超過35億次針對金融機構(gòu)的惡意登錄嘗試。
Akamai觀察到的撞庫攻擊(2017年12月至2019年4月)
網(wǎng)絡(luò)犯罪分子還會利用撞庫非法訪問API。根據(jù)Akamai《2020年互聯(lián)網(wǎng)安全狀況報告:金融服務(wù)——惡意接管嘗試》,攻擊者常常將提供保密數(shù)據(jù)和服務(wù)訪問的REST和SOAP端點作為攻擊目標,然后利用這些數(shù)據(jù)和服務(wù)實施金融犯罪。下圖顯示了Akamai在一年內(nèi)發(fā)現(xiàn)的惡意登錄嘗試。橙色表示針對API端點的嘗試。上半部分表示所有行業(yè),下半部分表示金融服務(wù)領(lǐng)域。
Akamai觀察到的惡意登錄嘗試(2017年12月至2019年11月)
抵御撞庫攻擊
撞庫攻擊可能會損害金融公司的聲譽并導致監(jiān)管處罰、法律成本和客戶流失,還會通過使用偽造的爬蟲流量令基礎(chǔ)設(shè)施癱瘓并破壞金融公司網(wǎng)站和網(wǎng)絡(luò)應用的性能。更糟糕的是,為了避免被發(fā)現(xiàn),攻擊者一直在改良自己的技術(shù),包括將登錄嘗試分配到數(shù)千個爬蟲、使用代理服務(wù)器、逐漸分散登錄嘗試等。
以下是幫助金融服務(wù)機構(gòu)抵御撞庫和降低風險的三條建議。
建議一:重新審視應用程序和網(wǎng)站登錄頁面
許多應用程序和網(wǎng)站設(shè)計者會在不經(jīng)意間確認用戶ID或其他可被用于發(fā)起攻擊的信息,這在無意中助了犯罪分子“一臂之力”。比如網(wǎng)絡(luò)犯罪分子可能會嘗試使用未經(jīng)驗證的用戶ID和密碼登錄賬戶。如果Web應用程序返回錯誤消息、顯示密碼不正確,那么犯罪分子就可以認為用戶ID是正確的、然后使用暴力密碼破解方法或其他機制獲得該賬戶的訪問權(quán)。
金融服務(wù)機構(gòu)應重新審視自己的身份驗證流程和登錄界面,確保自己沒有在“助紂為虐”。
建議二:強化多重身份驗證解決方案
