2018撞庫攻擊現狀:不到一年出現數百億登入嘗試;金融行業首當其衝
當前,撞庫攻擊現象日益嚴重,影響到各行各業多個領域。其中,金融領域受到的影響尤甚,殭屍網路帶來大量欺詐性登入請求,威力堪比 DDoS 攻擊。撞庫攻擊主要體現在黑客利用入侵或資料洩露獲取的賬號密碼組合多次嘗試登入大量線上網站。登入成功率與人們通常對賬號密碼的使用習慣有關,如果所有站點都使用相同密碼,那麼登入就會成功。犯罪分子通常會將攻擊自動化,並利用殭屍網路在被入侵的系統上分散開展登入活動,最終目標都是登入到目標站點並冒充賬號主人,進而竊取錢財或蒐集資訊。
知名 CDN 運營商 Akamai 公司近日釋出了 2018 年《網際網路現狀/安全 – 撞庫攻擊》報告,報告顯示 從 2017 年 11 月到 2018 年 6 月短短不到一年的時間內,就出現了超過 300 億次的惡意登入嘗試。僅僅 7 月和 8 月這兩個月,殭屍利用竊取到的憑證所產生的自動化登入嘗試就達到 83 億次。 目前,撞庫攻擊催生了數百億惡意登入行為,其中金融行業成為了主要目標。有兩大金融公司遭遇重大攻擊,其中一個曾同時遭遇三個殭屍網路的攻擊。
三大殭屍網路通過不同途徑實施攻擊
在第一個殭屍網路 攻擊中,攻擊者明顯增加了北美某大型信用社的網路流量。隨後 Akamai 監測到,在一週的時間內,來自 1750 個網路服務供應商的約 2 萬個 IP 地址共產生了 315178 次欺詐性登入嘗試,共觀察到 4382 個使用者代理。
這些殭屍網路一共發起了 942296 次撞庫攻擊,在三個殭屍網路中排第三。因此,Akamai 將其標記為“啞巴殭屍”,因為其流量主要來自兩個 IP 地址,所有的請求都使用了相同的使用者代理,很容易識別並阻止。
第二個殭屍網路更加複雜,共從 1 萬個不同的 IP 地址傳送流量,並利用了 695 個使用者代理。在三天之內,這個殭屍網路平均每秒傳送 59 次請求,一共發起了 190487 次惡意登入嘗試。
第三個殭屍網路則採取了“低速且慢速”的策略,每兩分鐘只發送一次登入嘗試,一週內共發起 5286 次惡意登入嘗試,使用了 188 個不同的使用者代理以及 1500 個 IP 地址。這種低頻行為難以識別,導致攻擊者可以長期潛伏、實現目標。
另一個遭遇撞庫攻擊的金融機構處境也很嚴峻。其歷史記錄顯示 6 天內共有 700 萬次合法登入,但遭遇攻擊之後,共有 850 萬欺詐登入,且大多發生在 48 小時內。監測發現,三分之一的流量來自越南和美國。發起攻擊的殭屍網路包含 2 萬個端點,以及來自 4933 個 ISP 的 IP 地址。由於 95% 的流量來自三星 Galaxy SM-G531H 智慧手機等同類裝置,使得這些惡意請求更容易識別和停止。