数据结构
网络
关系型数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究什么是凭证填充攻击?(工作原理及预防措施)
什么是凭证填充攻击?
凭证填充攻击是一种黑客攻击方式,黑客通过入侵系统获取用户凭证,然后尝试将其用于其他系统。与其他类型的相关黑客攻击一样,凭证填充攻击依赖于黑客入侵网络并窃取敏感的用户信息,例如密码和用户名。
凭证填充攻击发生在黑客从一个站点或系统获取被盗信息,并将其用于暴力破解攻击以获取对多个其他系统的访问权限时。黑客有时会检查密码或用户名是否可以用于另一个网站,或者它是否与原始网站相关。
例如,黑客可能会获取特定商家的用户名和密码列表,并尝试将这些用户名和密码用于银行网站。其假设是,通过尝试许多此类攻击,黑客将能够确定是否有任何用户重复使用密码或用户权限,从而允许黑客使用被盗的登录数据访问各种系统。在某些情况下,凭证填充攻击可能导致身份盗窃。
凭证填充攻击是如何运作的?
凭证填充攻击利用大量泄露的用户名/密码配对列表。在某些数据泄露事件中,不正确的凭证存储会导致整个密码数据库泄露。在其他情况下,窃贼利用密码猜测尝试来破解某些用户的凭证。凭证填充攻击者还可以使用网络钓鱼和其他类似的攻击来获取用户名和密码。
这些用户和密码列表会被提供给一个僵尸网络,该僵尸网络尝试使用这些凭证登录特定的目标站点。例如,从旅游网站窃取的凭证可能会被用来检查大型银行机构。如果任何用户在两个站点上都使用了相同的凭证,则攻击者可能能够成功登录其帐户。
在检测到有效的用户名/密码对后,欺诈者可以根据相关帐户的不同目的使用它们。某些凭证允许攻击者访问公司网络和系统,而其他凭证则允许他们使用帐户所有者的银行帐户。此访问权限可被凭证填充攻击组织使用,或出售给第三方。
是什么使凭证填充攻击如此有效?
根据统计数据,凭证填充攻击的成功率相对较低。根据许多估计,此比率约为 0.1%,这意味着攻击者尝试入侵每千个帐户,只会成功一次。尽管成功率很低,但攻击者之间交易的大量凭证集合使得凭证填充攻击仍然值得进行。
这些数据库包含数百万甚至数十亿个登录凭证。如果攻击者拥有 100 万组凭证,他们可能能够入侵约 1000 个帐户。
即使一小部分被破解的帐户提供了有价值的数据(通常是信用卡信息或可用于网络钓鱼攻击的敏感数据),此攻击也是值得的。此外,攻击者可以使用相同的凭证集对多个服务重复此操作。由于机器人技术的进步,凭证填充攻击也成为了一种潜在的攻击手段。
故意延迟时间和阻止进行多次失败登录尝试的用户 IP 地址是集成到 Web 应用程序登录表单中的常见安全机制。现代凭证填充软件通过同时部署机器人从各种设备类型和 IP 地址尝试多次登录来绕过这些安全措施。
恶意机器人的目的是将攻击者的登录尝试与正常的登录活动混合在一起,并且非常成功。登录尝试总数的增加通常是目标公司受到攻击的唯一指标。即使如此,目标组织也很难阻止这些尝试,而不会影响合法用户访问服务的能力。
凭证填充攻击之所以成功,主要是由于人们重复使用密码。根据研究,大多数用户会将他们的登录凭证重复用于多个服务,一些估计高达 85%。只要这种做法存在,凭证填充攻击就会持续有利可图。
暴力破解攻击与凭证填充攻击
凭证填充攻击是一种使用暴力破解的网络攻击。但是,两者在实践中存在很大差异,保护系统免受其侵害的最佳方法也存在差异。暴力破解攻击试图通过更改密码的字符和数字来猜测密码。
您可以使用暴力破解保护、验证码或要求用户使用更强的密码来保护自己免受失败的登录尝试。但是,由于密码已知,因此强密码无法阻止网络罪犯通过凭证填充攻击访问帐户。
即使是验证码或暴力破解防御在保护用户方面的能力也有限,因为用户以可预测的方式更改密码,并且攻击者拥有被盗密码来进行迭代。
如何预防凭证填充攻击?
凭证填充攻击危及个人和企业安全。当凭证填充攻击成功时,攻击者可以访问用户的帐户,该帐户可能包含敏感信息或能够代表用户进行金融交易或执行其他特权操作的能力。尽管密码重复使用的危害已被广泛宣传,但大多数用户并没有改变他们的密码习惯。
如果密码在个人和商业帐户之间过度使用,凭证填充攻击可能会危及企业。为了降低凭证填充攻击的风险,企业可以采取以下措施:
多因素身份验证 (MFA) − 凭证填充攻击依赖于攻击者仅使用用户名和密码即可登录帐户的能力。MFA 或 2FA 使这些攻击更具挑战性,因为攻击者需要一个一次性代码才能成功登录
验证码 − 大多数凭证填充攻击都是自动化的。登录页面上的验证码可以阻止某些自动化流量访问站点并测试可能的密码。
反机器人解决方案 − 除了验证码之外,组织还可以使用反机器人解决方案来阻止凭证填充流量。这些工具利用行为异常来区分人类和自动化的站点用户,并限制可疑流量。
监控网站流量 − 凭证填充攻击涉及许多失败的登录尝试。组织监控登录页面流量的能力可能会决定其阻止或限制这些攻击的能力。
使用泄露凭证列表的凭证填充机器人 − 凭证填充机器人通常使用数据泄露中泄露的凭证列表。可以将用户密码与弱密码列表或“HaveIBeenPwned”等服务进行检查,以查看它们是否容易受到凭证填充攻击。
248 次浏览
