信息來源:51CTO
當(dāng)前,至少有150億個(gè)憑證在各種黑市和論壇上流傳,這為網(wǎng)絡(luò)犯罪分子提供了接管帳戶攻擊和身份出租服務(wù)的便利。
經(jīng)過安全公司Digital Shadows的調(diào)查報(bào)告顯示,多數(shù)泄露都是由于消費(fèi)者自身對(duì)數(shù)據(jù)不夠重視所導(dǎo)致的,于是黑客們可以利用這些憑證和數(shù)據(jù),來發(fā)動(dòng)憑證填充攻擊。
報(bào)告顯示:暴力破解工具和帳戶檢查程序在黑市和論壇上都有售賣,平均售價(jià)為4美元,其中最受歡迎的市場(chǎng)是UnderWorld(以前為RichLogs)和Tenebris,但最大的市場(chǎng)仍然是Genesis Market。
部分用戶名和密碼組合都是免費(fèi)提供的,其中有50億張憑證是“獨(dú)一無二”“可售賣的”,這50億張憑證的平均售價(jià)是15.43美元,防病毒帳戶是20多美元,而其他類型的帳戶(有線電視、社交媒體、流媒體、成人、音樂、文件共享和視頻游戲帳戶)通常不到10美元。
最昂貴的帳戶是用于域管理員訪問的,因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上提供了最高級(jí)別的信任和控制,所以許多廣告公司通過拍賣來提供域名管理員的訪問權(quán)限,并以高達(dá)12萬美元(平均3139美元)的價(jià)格將其賣給出價(jià)最高者。
這些價(jià)格的定位取決于所在行業(yè),其中對(duì)地方政府和金融部門的要價(jià)最高。
如今憑據(jù)很少以純文本形式出現(xiàn),許多服務(wù)會(huì)檢查指紋數(shù)據(jù)以識(shí)別未經(jīng)授權(quán)的登錄嘗試。
于是黑市又開發(fā)了新的模式,比如Genesis Market的用戶可以租用帳戶訪問權(quán)限來代替購買憑據(jù),在一定時(shí)期內(nèi),使用最近推出的ATO“即服務(wù)”模式,罪犯可以用不到10美元的價(jià)格租用一個(gè)身份,該服務(wù)還提供了受害者的“指紋數(shù)據(jù)”(例如cookie,IP地址,時(shí)區(qū)),使其看起來像合法的所有者登錄,從而更容易劫持帳戶和執(zhí)行交易而不會(huì)被發(fā)現(xiàn)。
從直接銷售數(shù)據(jù)到通過憑證填充獲得對(duì)其他帳戶的訪問權(quán),再到租用帳戶,使用數(shù)據(jù)創(chuàng)建綜合身份,再到進(jìn)行欺詐,網(wǎng)絡(luò)罪犯有各種各樣的賺錢方法。
除了破解密碼外,攻擊者們可以利用來自數(shù)據(jù)泄露的憑據(jù)列表,輕松地部署憑據(jù)填充(憑據(jù)重用)攻擊,從而使同一用戶可以訪問更多帳戶,并有機(jī)會(huì)收集更多個(gè)人信息。
長(zhǎng)期以來,Sentry MBA一直是憑證填充攻擊的最愛。它具有繞過某些安全防護(hù)(例如IP位置或速率限制)的功能。這使它可以嘗試使用數(shù)百萬個(gè)用戶名和密碼的組合,以找到目標(biāo)網(wǎng)站的有效登錄名。
在網(wǎng)絡(luò)犯罪論壇上廣泛討論的另一種工具是OpenBullet,截至2020年,已占整個(gè)網(wǎng)絡(luò)犯罪論壇的35%,這是一種網(wǎng)站測(cè)試套件,可以在目標(biāo)Web應(yīng)用程序上運(yùn)行請(qǐng)求。它具有開源特性,自定義選項(xiàng)和較低的CPU使用率,以及隨附的用于解析和抓取的工具,因此使其成為有吸引力的選擇。
下圖顯示了網(wǎng)絡(luò)犯罪分子在2020年提到的一組憑證驗(yàn)證工具。
對(duì)于普通用戶而言,防御ATO攻擊是一項(xiàng)輕松的任務(wù),他們可以選擇強(qiáng)而唯一的密碼,并在支持該功能的服務(wù)上啟用兩因素身份驗(yàn)證(2FA),但這不能完全消除風(fēng)險(xiǎn)。