如何保护您的在线账户免受凭证填充攻击

由于许多网站和应用程序需要独特的用户凭据，即用户名和密码，因此可能会诱使人们在所有这些平台上使用相同的凭据。

事实上，根据SpyCloud于2022年发布的报告，该报告分析了犯罪地下网站上提供的超过150亿个被攻破的凭据，发现65%的被攻破密码被用于至少两个账户。

对于在不同平台上重复使用凭据的用户来说，这可能看起来是一种聪明的方式，可以避免忘记密码，但实际上，这是一场等待发生的灾难。

如果其中一个系统受到攻击并捕获了您的凭据，那么使用相同凭据的所有其他账户都面临遭受攻击的风险。请记住，被攻破的凭据在暗网上以低价出售，您很容易成为凭据填充的受害者。

凭据填充是一种网络攻击，恶意行为者使用被盗的在线账户或系统的凭据尝试访问其他不相关的在线账户或系统。

例如，恶意行为者获取了您的Twitter账户的用户名和密码，并使用这些被攻破的凭据尝试访问Paypal账户。

如果您在Twitter和Paypal上使用相同的凭据，由于您的Twitter凭据被攻破，您的Paypal账户将被接管。

如果您在多个在线账户上都使用了Twitter凭据，这些在线账户也可能遭受攻击。这种攻击被称为凭据填充，它利用了许多用户在多个在线账户上重复使用凭据的事实。

进行凭据填充攻击的恶意行为者通常使用机器人来自动化和扩展这个过程。这使得他们可以使用大量被攻破的凭据并针对多个在线平台。随着被攻破的凭据从数据泄露中泄露，并在暗网上被出售，凭据填充攻击变得普遍。

凭据填充的工作原理

凭据填充攻击始于获取被攻破的凭据。这些用户名和密码可以在暗网上购买，从密码泄露网站上获取，或从数据泄露和钓鱼攻击中获取。

下一步涉及设置机器人在不同的网站上测试被盗的凭据。自动化机器人是凭据填充攻击中的首选工具，因为机器人可以以高速对许多站点使用大量凭据进行凭据填充而不被察觉。

使用机器人可以避免在多次登录尝试失败后IP地址被屏蔽的挑战。

启动凭据填充攻击时，还会并行启动用于监视成功登录的自动化流程。这样，攻击者很容易获得在某些在线站点上有效的凭据，并使用它们接管平台上的账户。

一旦攻击者访问了一个账户，他们可以自行决定如何使用它。攻击者可以将凭据卖给其他攻击者，从账户中窃取信息，进行身份盗窃，或在银行账户受到攻击时使用该账户进行在线购物。

凭据填充攻击的有效性

凭据填充是一种成功率非常低的网络攻击。根据威胁研究部门Insikt Group发布的《黑市经济》报告，凭据填充攻击的平均成功率在1%到3%之间。

虽然阿卡迈技术的成功率很低，但在其2021年的《互联网/安全报告》中，阿卡迈指出，在2020年，全球范围内发生了1930亿次凭证填充攻击。

凭证填充攻击数量之所以如此之高并且越来越普遍，是因为可利用的被入侵凭证数量增加以及能够让凭证填充攻击更有效且几乎与人类登录尝试无法区分的先进机器人工具的出现。

例如，即使成功率只有1%，如果攻击者拥有100万个被入侵的凭证，他们可以入侵约1万个账户。大量被入侵的凭证在暗网上进行交易，并且此类大量被入侵的凭证可以在多个平台上重复使用。

这些大量被入侵的凭证导致被入侵账户的数量增加。再加上人们继续在多个在线账户上重复使用他们的凭证，使凭证填充攻击变得非常有效。

凭证填充攻击与暴力破解攻击的区别

尽管凭证填充攻击和暴力破解攻击都是账户劫持攻击，开放网络应用安全项目（OWASP）将凭证填充攻击视为暴力破解攻击的子集，但它们在执行方式上有所不同。

在暴力破解攻击中，恶意行为者尝试通过猜测用户名或密码或两者同时来接管一个账户。通常情况下，这是通过尝试尽可能多的用户名和密码组合，而没有上下文或线索来完成的。

暴力破解可能使用常用的密码模式或常用密码短语的字典，例如Qwerty、password或12345。如果用户使用弱密码或系统默认密码，暴力破解攻击可能会成功。

另一方面，凭证填充攻击试图通过使用从其他系统或在线账户获取的被入侵凭证来接管一个账户。在凭证填充攻击中，攻击者不会猜测凭证。凭证填充攻击的成功依赖于用户在多个在线账户上重复使用他们的凭证。

通常情况下，暴力破解攻击的成功率远远低于凭证填充攻击。可以通过使用strong passwords来防止暴力破解攻击。然而，如果强密码在多个账户上共享，强密码也无法防止凭证填充攻击。通过在在线账户上使用唯一的凭证可以防止凭证填充攻击。

如何检测凭证填充攻击

凭证填充攻击威胁行为者通常使用模仿人类代理的机器人，并且往往很难区分真实人类的登录尝试和机器人的登录尝试。然而，仍然有一些迹象可以表明存在正在进行的凭证填充攻击。

例如，网站流量突然增加应该引起怀疑。在这种情况下，监控网站的登录尝试，如果多个IP地址上的多个账户的登录尝试增加或登录失败率增加，可能表明存在正在进行的凭证填充攻击。

凭证填充攻击的另一个指标是用户抱怨被锁定账户或收到未经其授权的登录失败通知。

另外，监控用户活动，如果注意到异常用户活动，例如更改设置、配置信息、资金转账和在线购买，可能表明存在凭证填充攻击。

如何防止凭证填充攻击

有几种措施可以采取来避免成为凭证填充攻击的受害者。包括：

#1. 避免在多个账户中重复使用相同的凭证

凭证滥用依赖于用户在多个在线账户间共享凭证。通过在不同的在线账户上使用唯一的凭证，可以很容易地避免这种情况发生。

借助密码管理器（如Google Password Manager），用户可以使用独特且非常复杂的密码，而无需担心忘记凭证。公司也可以通过禁止使用电子邮件作为用户名来强制执行此要求。这样，用户更有可能在不同的平台上使用独特的凭证。

#2. 使用多因素身份验证（MFA）

多因素身份验证是使用多种方法来验证用户登录身份的方式。可以通过结合传统的用户名和密码验证方法以及通过电子邮件或短信与用户共享的秘密安全代码来实现。这样可以进一步确认用户的身份，从而有效地防止凭证滥用，并增加额外的安全层。

如果有人尝试入侵您的账户，多因素身份验证甚至可以提醒您，因为您会收到一个安全代码而无需请求。微软的一项研究表明，如果使用了多因素身份验证，在线账户被攻击的可能性要低99.9%。

#3. 设备指纹识别

设备指纹识别可以将对在线账户的访问与特定设备关联起来。通过使用设备型号、编号、操作系统、语言和国家等信息，可以识别用于访问账户的设备。

这样就创建了一个唯一的设备指纹，并将其与用户账户关联起来。未经与账户关联设备的授权，将不允许访问该账户。

#4. 监控泄露的密码

在用户为在线平台创建用户名和密码时，可以将凭证与已发布的泄露密码进行对比检查，而不仅仅检查密码的强度。这有助于防止使用可能被滥用的凭证。

组织可以实施解决方案，监控用户凭证与暗网上的泄露凭证是否匹配，并在发现匹配项时通知用户。然后，可以要求用户通过各种方法验证其身份，更改凭证，并进一步保护其账户，如使用多因素身份验证。

#5. 凭证哈希

这种方法是在将用户凭证存储在数据库之前对其进行扰乱。这有助于防止在系统数据泄露时滥用凭证，因为凭证将以无法使用的格式存储。

尽管这不是一种万无一失的方法，但它可以给用户时间来更改密码以防发生data breach。

凭证滥用攻击的示例

一些著名的凭证滥用攻击示例包括：

• 2020年有超过500,000个Zoom账户被盗。这种凭证填充攻击是使用从各种暗网论坛获取的用户名和密码执行的，这些凭证可以追溯到2013年的攻击。被盗的Zoom凭证在暗网上公开，并以低价出售给愿意购买的人。
• 数千个加拿大税务局（CRA）用户账户遭到攻击。2020年，大约有5500个CRA账户在两次单独的凭证攻击中遭到攻击，导致用户无法访问CRA提供的服务。
• 194,095个The North Face用户账户遭到攻击。The North Face是一家销售运动装的公司，于2022年7月遭受了凭证填充攻击。攻击导致用户的全名、电话号码、性别、忠诚度积分、账单和送货地址、账户创建日期和购买历史泄露。
• Reddit在2019年遭受了类似的攻击。几名Reddit用户因凭证填充攻击而被锁定账户。

这些攻击突显了保护自己免受类似攻击的重要性。

结论

你可能已经遇到过销售流媒体网站如Netflix、Hulu和Disney+或在线服务如Zoom和Turnitin等的凭证的销售商。你认为这些销售商是从哪里获取这些凭证的？

嗯，这些凭证很可能是通过凭证填充攻击获取的。如果你在多个在线账户上使用相同的凭证，那么现在是时候更改它们，以免成为受害者。

为了进一步保护自己，在所有在线账户上实施多因素认证并避免购买被攻击的凭证，因为这会为凭证填充攻击创造一个可行的环境。