联邦调查局 (FBI) 警告说,网络犯罪分子使用住宅代理进行大规模撞库攻击而不被跟踪、标记或阻止的趋势正在上升。
该警告是上周晚些时候在该局的互联网犯罪投诉中心 (IC3) 上作为私营行业通知发布的,以提高需要实施针对撞库攻击的防御的互联网平台管理员的意识。
凭据填充是一种攻击类型,威胁行为者使用以前数据泄露中暴露的大量用户名/密码组合来尝试访问其他在线平台。
由于人们通常在每个站点上使用相同的密码,因此网络犯罪分子有充分的机会接管帐户,而无需破解密码或钓鱼任何其他信息。
“利用有效用户凭证的恶意行为者有可能访问多个行业的众多账户和服务——包括媒体公司、零售、医疗保健、餐饮集团和食品配送——以欺诈手段获取商品、服务和访问其他在线资源,如金融以合法账户持有人为代价的账户”,详细说明了 FBI 的声明。
使用住宅代理
由于撞库攻击具有区别于常规登录尝试的特定特征,因此网站可以轻松检测并阻止它们。
为了超越基本保护措施,FBI 警告说,威胁行为者正在使用住宅代理将其实际 IP 地址隐藏在通常与家庭用户相关的 IP 地址后面,而这些地址不太可能出现在阻止列表中。
代理是接受和转发请求的在线服务器,看起来像是来自它们的连接,而不是实际的发起者(攻击者)。
住宅代理比数据中心托管的代理更可取,因为它们使保护机制更难区分可疑和常规消费者流量。
通常,网络犯罪分子可以通过入侵调制解调器或其他物联网等合法住宅设备 或 通过恶意软件 在他们不知情的情况下将家庭用户的计算机转换为代理,从而使这些代理可供网络犯罪分子使用 。
使用这些工具,网络犯罪分子可以自动执行凭据填充攻击,机器人会尝试使用以前被盗的登录凭据跨多个站点进行登录。
此外,其中一些代理工具提供了暴力破解帐户密码的选项或包含修改攻击以适应特定要求的“配置”,例如具有唯一字符、最小密码长度等。
在 OpenBullet 凭证填充工具中创建配置
联邦调查局表示,撞库攻击不仅限于网站,而且由于安全性差,已经看到针对移动应用程序的攻击。
“网络犯罪分子还可能针对公司的移动应用程序以及网站,” FBI 顾问警告说。
“移动应用程序的安全协议通常比传统的 Web 应用程序更弱,通常允许更高的登录尝试率,称为每分钟检查 (CPM),从而促进更快的帐户验证。”
在一项涉及 FBI 和澳大利亚联邦警察的联合行动中,这些机构调查了两个网站,其中包含通过撞库攻击获得的超过 300,000 组独特的凭据。
FBI 表示,这些网站拥有超过 175,000 名注册用户,并为其服务创造了超过 400,000 美元的销售额。
管理员应该做什么
FBI 的建议敦促管理员遵循某些做法,以帮助保护其用户免于因撞库攻击而丢失帐户,即使他们使用弱密码也是如此。
关键点包括:
提供 MFA(多因素身份验证)并鼓励甚至强制所有帐户采用它。
下载广泛可用的泄露凭据并将其与客户帐户进行比较,以查找匹配项并强制重置密码。
使用指纹检查以确保尝试登录的人是帐户的所有者。
识别和监控撞库攻击工具使用的默认用户代理字符串。
搜索并发现代理工具用于您的网站的配置,并实施有针对性的更改以使其毫无价值。
实施“影子禁令”以限制可疑用户/帐户在平台上可以做什么而不阻止他们。
普通用户可以通过在其帐户上激活 MFA、使用强大且唯一的密码以及对网络钓鱼尝试保持警惕来保护自己。
