如今,网络攻击的数量和黑客使用的技术种类繁多,令人担忧。即使组织越来越意识到并采取措施保护他们的业务,他们也一直面临着一场艰苦的战斗。
随着越来越多的黑客攻击导致数据泄露,有关用户凭据的敏感数据会被黑客利用。这只会让组织的情况变得更糟,因为此类数据成为另一种称为撞库的网络攻击方法的基础。随着越来越多的用户凭据通过这些漏洞被公开,攻击者可以获得更多信息,他们可以使用这些信息来尝试破坏其他服务上的用户名和密码组合。
什么是撞库?
凭据填充是一种网络攻击,其中从泄漏中获得的用户凭据用于登录另一项服务。这种方法的工作假设是许多用户经常在多个网站和服务中重复使用他们的凭据——用户名和密码。攻击者经常使用机器人来自动破坏并扩展他们的操作以破坏大量用户帐户。
攻击者采用的技术也变得更加复杂,机器人能够通过尝试从不同 IP 地址进行多次登录尝试来规避 IP 黑名单。
凭据填充与蛮力攻击
尽管撞库属于暴力攻击的范畴,但有一些因素使其更加具体。顾名思义,暴力攻击试图通过猜测密码并尝试多种组合来登录帐户,通常是随机的,没有上下文或提示。另一方面,凭据填充会进行相同的暴力登录尝试,但有价值的信息除外,例如 密码列表 从其他违规行为泄露的用户数据中收集。
将暴力攻击视为基于随机猜测的尝试,通过尝试所有可能的组合,尝试使用密码登录帐户甚至 iPhone。在这个类比中,凭据填充意味着使用可用的用户名和密码列表或真实用户的密码组合,以更少的尝试次数做同样的事情,但更有效。
凭据填充如何工作?
凭据填充始于攻击者从另一个来源获取用户名和密码的数据库——数据泄露、网络钓鱼攻击或凭据转储站点。然后使用自动化工具,攻击者针对许多网站测试这些凭据,包括社交媒体配置文件、电子商务市场和应用程序。如果成功登录,攻击者就会知道他们获取的数据是合法的,并继续以多种方式使用他们通过登录获得的访问权限。他们可以将这些新获取的数据出售给其他恶意行为者使用,从该帐户发送网络钓鱼消息或垃圾邮件,访问信用卡号等敏感财务信息,甚至窃取帐户持有人的财务信息。
撞库攻击的利害关系是什么?
除了个人可能因攻击者通过凭据填充访问其帐户而遭受的经济损失外,组织也可能面临严重后果。
事实上,根据 Ponemon Institute 的一份报告,由于应用程序停机、客户流失和凭据填充导致的 IT 成本,企业每年损失约 $6 百万。最重要的是,随着监管机构越来越多地要求组织对此类攻击负责,公司还可能根据 GDPR 等数据隐私法面临法律诉讼。
如何检测撞库攻击
有一些迹象表明您或您的组织正通过这种方法成为攻击目标,您可以留意这些迹象。
查找多个帐户的多次登录尝试
如果您观察到登录数量急剧且不寻常地上升,则很可能是有一个自动机器人正在执行撞库攻击。您可以在检测到重复登录尝试的先前会话中以时间延迟和 IP 地址禁令的形式设置障碍。但是一些机器人可以通过使它们看起来好像来自不同的设备和 IP 地址来模拟看似真实的登录。
在站点流量激增导致的停机期间保持警惕
如果您的网站流量激增导致服务器不堪重负而导致突然停机,这也可能表明存在大规模的启用僵尸网络的撞库攻击。
留意高于平常的登录失败率
由于人为错误和其他自然问题,预计一定比例的登录尝试会失败是合理的。但是,如果登录失败率明显高于正常水平,则可能再次出现机器人程序,它们试图通过凭据填充的方式强行登录。注意位置和流量模式以及在这些情况下尝试重复登录的速度。
有关如何防止凭据填充的提示
除了上述用于检测撞库攻击的技术之外,您还可以遵循一些简单的提示来完全防止它们。
强制执行多重身份验证 (MFA)
久经考验的多因素身份验证 (MFA) 仍然是防止撞库攻击的可靠方法。由于这些类型的攻击依赖于使用从其他地方获得的凭据登录系统,因此添加另一层身份验证(例如令牌、第二个密码或生物特征指纹或面部识别)有助于使攻击无效。
尝试设备指纹识别
可以根据收集到的有关用户设备和传入会话的信息发现特定的“指纹”,从而检测潜在的撞库攻击。指纹本质上是浏览器、语言、操作系统、时区等参数的组合,这些参数共同表明身份。例如,如果同一指纹在短时间内多次出现,或者当其他因素使其看起来可疑时,很可能是撞库攻击,您应该迅速采取行动阻止这些攻击。
部署验证码
简单的 CAPTCHA 程序可以在登录时测试真人的存在,也有助于防止凭据填充攻击。但只是在一定程度上,因为攻击者越来越擅长使用无头浏览器绕过 CAPTCHA 测试。
阻止无头浏览器的访问
无头浏览器是没有图形用户界面的浏览器,而是通过命令行界面控制网页,攻击者经常使用它们来绕过验证码和上述其他工具。使用它们使用的某些脚本,可以发现通过此类无头浏览器进行的攻击。为了采取额外的预防措施,您应该完全阻止对无头浏览器的访问。
执行 IP 黑名单
尽管可以访问从其他地方获得的凭据,但攻击者用来使撞库攻击看起来合法的 IP 地址可能仍然有限。因此,针对此类攻击采取措施的一种方法是阻止或沙盒尝试登录多个帐户的 IP。这也是日志历史派上用场的地方,它可用于将用于登录帐户的最后几个 IP 与可疑 IP 的 IP 进行比较。
限速非住宅流量源
另一种应对撞库攻击的方法是对来自 Amazon Web Services 等可疑来源的流量应用严格的速率限制。在大多数情况下,这些是机器人流量,并且速率限制限制了对网站的请求数量,以阻止可能是凭证填充的典型活动的大量活动。
避免使用电子邮件地址作为用户 ID
人们在帐户登录时使用他们的电子邮件地址作为用户 ID 并非闻所未闻。但这使得攻击者很容易将凭据填充作为一种策略,因为他们可以尝试在多个网站上使用电子邮件 ID 作为用户名。让您的用户清楚他们应该避免使用电子邮件地址作为帐户 ID 或用户名,甚至可以通过将其作为帐户创建和登录的标准来防止这种情况发生。
采用机器人检测和管理工具
防止撞库的最有效保护是使用全面的 机器人检测和管理 服务。这些将速率限制与 IP 信誉数据库相结合,以阻止可疑的登录尝试,同时让合法登录正常进行。 CDNetworks 优惠 Bot Shield(机器人防护与管理),一种基于云的机器人程序管理解决方案,可以识别恶意机器人程序流量,包括来自撞库的流量,并发送通知让您立即采取行动。
此外,一些解决方案如 CDNetworks Application Shield(DDoS防护及Web应用防火墙) 还可以将 Web 应用程序防火墙 (WAF) 与内容分发网络 (CDN) 集成,以防止撞库攻击。
