撞库的工作原理以及阻止方法

admin 2023年8月12日09:09:12评论15 views字数 4032阅读13分26秒阅读模式

撞库的工作原理以及阻止方法

2022 年 12 月,威胁行为者通过撞库攻击破坏了安全应用程序,诺顿用户陷入高度戒备状态。诺顿的安全团队在检测到诺顿密码管理器用户的一系列可疑登录尝试后,锁定了大约925,000 个账户。

调查结束后,有消息称网络犯罪分子成功破解了“数千个账户”的密码,使用户的个人信息面临风险。

由于恶意行为者试图接管您的账户,撞库攻击占所有登录尝试的34% 。但它到底是如何运作的,我们能做些什么来阻止这些活动呢?让我们来看看吧。

什么是撞库攻击,是如何运作的?

凭证填充是一种常见的网络攻击,攻击者使用自动化软件快速测试被盗登录凭证列表,以获得对在线账户的未经授权的访问。

那么,撞库是如何工作的呢?攻击者采取以下步骤:

  1. 从暗网上购买或下载用户名和密码列表。数据泄露后,这些数据集在非法市场上出售。
  2. 设置自动机器人以尝试登录多个用户账户。机器人可以通过隐藏其 IP 地址来逃避检测。
  3. 每当机器人找到匹配项时即可访问账户。此时,攻击者可以窃取个人信息,例如信用卡号或社会保障号。
  4. 当机器人尝试成功的密码组合来访问其他帐户时对其进行监控。由于65%的人依赖多个账户使用相同的密码,因此使用相同的密码对破解多个帐户的可能性很高。

撞库攻击和暴力攻击有什么区别?

暴力攻击是另一种攻击方法,与撞库有一些细微的区别。

在撞库中,攻击者使用真实账户中泄露或被盗的密码数据进行登录尝试。但在暴力攻击中,攻击者通过猜测常用密码和常用密码短语字典来尝试登录。

此外,凭证填充威胁行为者知道他们拥有真正的凭证,并且只需要找到匹配的帐户即可。而尝试暴力攻击的任何人都不会了解有关目标正确凭据的任何背景信息。

因此,暴力攻击依赖于盲目的运气或易于猜测的密码。撞库是一种数字游戏,但通过自动化,可以带来高额利润。

撞库的后果是什么?

对于成为撞库攻击受害者的消费者来说,犯罪者确实存在窃取敏感数据、损害其财务声誉并以身份盗窃为目标的风险。

如果成为撞库目标,需要注意以下六件事:

  1. 账户受损。如果威胁行为者获得访问权限,他们可以安装间谍软件、窃取或销毁数据或冒充帐户持有者发送垃圾邮件或对其他目标发起网络钓鱼攻击。

  2. 数据泄露。许多攻击者试图闯入金融机构或高价值的政府目标,因为他们可以将非法在线市场上的数据出售给身份窃贼和具有政治目的的团伙。

  3. 账户锁定。登录尝试失败次数过多后,您帐户的安全系统可能会将您锁定。这可能会扰乱您的业务或限制对电子邮件或银行等关键账户的访问。

  4. 勒索软件的要求。 国家支持的黑客组织可能会控制关键基础设施或大型企业以索要赎金。

  5. 网络安全风险增加。 被盗的用户凭据可用于未来的攻击,这使受害者和任何密切相关方在初次违规后面临更大的风险。

  6. 对商业信誉造成负面影响。 如果您的公司遭受违规,消费者信任度将急剧下降。当成千上万的用户感受到他们的私人数据受到威胁时,一家公司可能会在股市上蒙受损失。2023 年,数据泄露的平均成本为445 万美元。

3 个最近的撞库示例

1、2022年7月,某大型户外服装公司

网络犯罪分子利用撞库攻击这家户外休闲服装公司。这次攻击泄露了近200,000 个客户账户,暴露了包括姓名、电话号码、性别、购买历史记录、帐单地址和忠诚度积分在内的详细信息。不久之后,该公司发出了有关数据泄露的通知信,敦促客户更改密码。

2. 2022年12月,某大型支付处理公司

一次攻击影响了该支付处理器的近35,000 个用户账户。虽然一些个人数据被泄露,但该公司报告没有未经授权的交易,但攻击暴露了姓名、社会安全号码和纳税识别号码。

3.  2023年1月,知名快餐连锁店

这家快餐连锁店证实存在漏洞,访问了超过71,000 个客户账户。威胁行为者进行了几个月的撞库攻击,获得了使用客户奖励余额的权限。被盗数据还可能包括物理地址和客户信用卡的最后四位数字。

安全团队可以采取哪些措施来阻止撞库攻击?

2022 年,金融领域的撞库攻击同比增长 45% 。随着蓬勃发展的公司建立自己的平台并吸引更多用户,潜在的收益对邪恶的网络犯罪分子来说变得更具诱惑力。

安全团队可以采取以下六个步骤来应对这种威胁:

1. 实施多重身份验证 (MFA)。

通过为用户帐户添加额外的安全层,可以使威胁行为者更难获得访问权限。即使某人拥有正确的凭据,他们也不太可能拥有手机、硬件密钥或生物识别数据。在内部使用 MFA 的公司可以锁定其系统以防止撞库。

2. 使用密码管理器。

尽管最近流行的密码管理器出现了一些漏洞,但这些应用程序仍然是现代数字安全的主要内容。每个人都可以使用密码管理器为每个账户和设备创建和存储长的、独特的、复杂的代码,而不是依赖记忆或简单、易于猜测的密码。

3. 鼓励更好的密码实践。

通过在线内容教育用户固然很好,但安全团队必须言出必行,以保护消费者数据。采取积极主动的方法来消除密码重复使用、共享代码或将登录信息写在纸上将减少内部攻击的机会。

4. 留意登录尝试周围的异常行为。

一致的监控方法可以挫败欺诈行为。当您发现登录尝试突然激增或异常模式时,可以阻止 IP 地址并警告合法用户有关尝试的黑客攻击。鼓励受感染的账户所有者更新其密码将有助于打破攻击生命周期。

5. 使用速率限制。

另一种防御机制是速率限制,可以阻止恶意机器人在短时间内进行过多的登录尝试。此安全功能将阻碍自动攻击的进展,并且通常会阻碍攻击者利用帐户或通过拒绝服务 (DoS)活动淹没网络。

6.监控暗网。

集合 #1-5 包含220 亿个用户名和密码,其中许多可以通过攻击者字典轻松破解。为了在新兴网络威胁面前领先一步,团队应该监控暗网中的此类集合,并在攻击发生之前加固漏洞。

安全团队必须保护和教育用户

恶意行为者可以建立一支自动化机器人大军,每天运行数千或数百万个欺诈性登录请求。2022 年初,Auth0每天检测到近 3 亿次撞库尝试。
为了应对这种日益严重的威胁,用户必须采用良好的密码实践和可靠的密码管理器。但数据保护的真正责任在于网站安全团队和应用程序提供商。
如果您的团队想要破坏攻击周期并阻止威胁行为者,您需要一种多方面的方法,将强大的访问控制、威胁监控和速率限制保护措施结合起来。最终,最强大的防御是建立在教育和安全文化的基础上。
>>>等级保护<<<
开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:什么是等级保护?
网络安全等级保护:等级保护工作从定级到备案
网络安全等级保护:等级测评中的渗透测试应该如何做
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:信息技术服务过程一般要求
网络安全等级保护:浅谈物理位置选择测评项
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
信息安全服务与信息系统生命周期的对应关系
>>>工控安全<<<
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)
业控制系统安全:DCS风险与脆弱性检测要求思维导图
>>>数据安全<<<
数据治理和数据安全
数据安全风险评估清单
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
金融数据安全:数据安全分级指南思维导图
金融数据安全:数据生命周期安全规范思维导图
>>>供应链安全<<<
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
供应链安全指南:建立基础,持续改进。
思维导图:ICT供应链安全风险管理指南思维导图
英国的供应链网络安全评估
>>>其他<<<
网络安全十大安全漏洞
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
网络安全等级保护:应急响应计划规范思维导图
安全从组织内部人员开始
VMware 发布9.8分高危漏洞补丁
影响2022 年网络安全的五个故事
2023年的4大网络风险以及如何应对
网络安全知识:物流业的网络安全
网络安全知识:什么是AAA(认证、授权和记账)?
美国白宫发布国家网络安全战略
开源代码带来的 10 大安全和运营风险
不能放松警惕的勒索软件攻击
10种防网络钓鱼攻击的方法
5年后的IT职业可能会是什么样子?
累不死的IT加班人:网络安全倦怠可以预防吗?
网络风险评估是什么以及为什么需要
美国关于乌克兰战争计划的秘密文件泄露
五角大楼调查乌克兰绝密文件泄露事件
湖南网安适用《数据安全法》对多个单位作出行政处罚
如何减少制造攻击面的暴露
来自不安全的经济、网络犯罪和内部威胁三重威胁
2023 年OWASP Top 10 API 安全风险
什么是渗透测试,能防止数据泄露吗?
SSH 与 Telnet 有何不同?
管理组织内使用的“未知资产”:影子IT
什么是数据安全态势管理 (DSPM)?
全国网络安全等级测评与检测评估机构目录(7月12日更新)

原文始发于微信公众号(河南等级保护测评):撞库的工作原理以及阻止方法

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月12日09:09:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   撞库的工作原理以及阻止方法https://cn-sec.com/archives/1951947.html

发表评论

匿名网友 填写信息