在当今信息化和数字化时代,网络安全已经成为全球范围内的焦点问题。其中,账户接管攻击(ATO)作为一种针对个人或企业的高风险威胁,正迅速成为大多数黑客的首选攻击方式。ATO攻击通常通过窃取用户的凭证(如用户名、密码)以合法身份登录用户个人或企业系统,并在未经授权的情况下利用这些账户进行欺诈、数据窃取及其它非法活动。本文将详细分析ATO攻击的原理、常见攻击方式、其对个人和企业的危害,并讨论如何有效防范这类攻击。
ATO攻击原理
ATO攻击是攻击者通过获取合法用户身份凭证进入系统进行操作,合法用户身份凭据是ATO攻击的先决条件,那就要弄清楚合法用户身份凭证的获取方式及攻击步骤。
攻击者首先通过钓鱼邮件、恶意软件攻击、中间人攻击、漏洞攻击、暴力破解、数据泄露事件等获取到用户的登录用户名和密码。由于许多人在多个平台上重复使用相同的用户名和密码,一旦某一平台的用户名和密码被泄露,攻击者就可能利用这些信息在其他平台上进行登录攻击。
只要攻击者手中掌握了大量的用户名和密码,他们会使用自动化工具批量尝试这些用户名和密码登录多个网站、APP及其它服务,形成对应的网站/APP、用户名和密码的数据库,便于进行使用和出售。凭证填充攻击的成功率取决于用户密码的重复使用率,因此其常常在没有多因素认证(MFA)保护的情况下效果显著。
一旦成功进入目标账户,攻击者可以执行各种恶意活动,如改变账户信息、转移资金、购买商品或窃取敏感数据。这类行为通常会在不引起用户注意的情况下进行,使攻击者有足够时间完成其目的。
ATO攻击不仅仅影响到被接管的账户,还可能带来其他风险。攻击者可以使用受害者的账户进行进一步的欺诈活动,如发送恶意邮件或短信给联系人列表,或者在社交媒体平台上发布虚假信息,进而扩散攻击范围。
ATO常见攻击方式
这是最常见的获取用户凭证的手段。攻击者通常会通过伪造合法机构或公司的系统,通过发送虚假邮件或短信包含伪造链接,或者通过XSS攻击在合法网站中嵌入伪造链接,或者通过社交群组发送伪造链接,或者通过伪基站接管用户发送短信伪造链接等,诱导用户点击恶意链接并输入他们的登录凭证。
攻击者会通过在注册机、开源工具等正常软件中植入恶意软件代码片断(大多数都会做免杀),通过国内外搜索引擎、论坛、贴吧、IT网站、应用商店等进行分发,诱导用户下载恶意软件并感染用户的设备,对用户终端进行全面监控和远程操控,获取用户保存在终端本地上的用户名和密码,或通过记录键盘输入获取用户名和密码等方式,甚至通过内网渗透技术控制网络中其它终端及服务器,获取更多的登录凭证。
黑客通常会通过攻破公司数据库或利用已经公开的漏洞获取大规模用户数据。当这些数据通过专业人员或组织进行清洗或撞库匹配之后在黑市上流通,攻击者可以利用其中的凭证进行凭证填充攻击。
这种攻击手段依赖于心理操纵,而不是技术漏洞。攻击者通过电话、邮件或社交媒体与用户建立信任,或者进行脑控,进而诱导他们提供登录凭证或直接进行账户操作。
攻击者将在用户网络访问必经之路上安装探针捕获未加密流量数据,以便他们能够拦截和更改它们之间传输的敏感数据。
攻击者试图使获取的用户名和密码进行组合,通过长时间的尝试登录获取正确的用户名和密码组合,形成用户登录凭证数据库,自己使用或在黑市上出售。
ATO攻击防范方法
虽然ATO攻击威胁巨大,但通过合理的安全策略和技术手段,可以有效降低其风险。以下是一些关键的防范措施:
用户应养成创建复杂密码的习惯,并且避免在多个平台上使用相同的密码。企业则应该强制推行多因素认证,通知用户定期修改密码,以防止凭证被盗后轻易被利用。
企业应部署能够检测到异常登录行为的安全产品,及时发现并阻止可能的账户接管攻击。例如,可以通过分析用户的登录IP地址、设备指纹和行为模式,识别并拦截可疑操作或锁定账户。
企业应定期进行数据泄露检查,确保员工和客户的账户信息未在暗网上流通。如果发现泄露,应立即通知受影响的用户更改密码或锁定账户,并启用MFA。
加强用户的安全意识教育,尤其是在如何识别钓鱼邮件方面。企业应定期向员工和用户提供培训,并使用反钓鱼邮件的技术手段,如邮件过滤、反钓鱼平台等。
现有的很多网络安全厂商已经提供了专门用于检测和防护ATO攻击的工具,这些工具通常通过机器学习和行为分析技术来识别异常账户活动,并在检测到潜在的攻击时采取行动。
ATO攻击是目前最为普遍的攻击,甚至国内的一些安全厂商也面临此类问题,网络安全没有绝对的安全,都是在对抗中不断追求动态平衡,即使采取了以上的防范方法,也有可能被绕过,例如遭遇短信劫持、邮箱验证码劫持、AI换脸等技术攻击获取高价值目标信息,在攻防对抗中,少了不情报信息,就像军队打仗一样,要重视情报侦察,要做到知己知彼。针对ATO攻击,可以通过“暗网报告”通知网站成员泄露的登录凭据,敦促企业和个人用户及时更新其凭据。无论是否实施了MFA,通过锁定和重置登录凭据来保护泄露的账户都是一项必要的安全措施。此外,建议提醒受影响的用户立即更改密码。https://darkweb.vc网站可以为企业和个人用户提供有关登录凭据泄漏的高成本效益情报,这是一家位于新加坡的网络安全公司,可以通过该安全公司提供的服务,我们可以检测企业的用户信息是否泄露和获取重要情报信息,下面是一些官网的截图。
ATO攻击正在成为网络犯罪分子手中的利器,尤其是在凭证大规模泄露和用户重复使用密码的背景下,其攻击成功率和造成的破坏力令人担忧。个人和企业都应认识到这种威胁的严重性,并采取相应的防范措施,确保账户的安全性和隐私性。通过采用强密码策略、多因素认证、密码定期修改、定期监控以及用户教育等措施,能够大幅减少ATO攻击的成功率,从而为个人和企业构建更安全的数字化环境。
原文始发于微信公众号(兰花豆说网络安全):黑客使用ATO攻击越来越普遍了
评论