身份和存取管理公司Okta的「安全身份狀況報告(State of Secure Identity Report)」指出,僅在2022年前三個月就記錄到超過100億次的憑證填充(Credential Stuffing)攻擊。這佔了所有登入嘗試網路流量的34%。
什麼是憑證填充(Credential Stuffing)攻擊?
憑證填充攻擊,也被稱之為撞庫攻擊,是一項利用殭屍網路(botnet)以自動化方式不斷使用偷來的登入憑證試圖登入網路服務的一種攻擊技巧,它會利用自動化軟體加上被盜的帳密,將這些憑證“填充”到各個網站的登入頁面,直到找到匹配的登錄組合。
這項手法使用大量被盜外流的電子郵件地址和密碼,再搭配自動化腳本,以疲勞轟炸的方式不斷試圖登入網路服務,直到某一組帳號密碼成功匹配為止。
國中畢業的24歲嫌犯,自學憑證填充攻擊,盜刷購物台會員23萬元
刑事警察局在2021 年6月底偵破一起知名購物台會員遭盜刷事件,只有國中畢業學歷的24歲嫌犯,從網路上自學憑證填充攻擊,非法登入會員帳號,造成5名會員損失23萬元。
嫌犯利用許多人將同一組帳號密碼於不同網站服務的習慣,入侵被害用戶網購平臺帳戶,並藉由暴力破解信用卡背面檢查碼。該嫌犯其實也曾經針對國內多家知名網購平臺進行憑證填充(Credential Stuffing)攻擊/撞庫攻擊。
每當非法登入成功,即變更受害者的聯絡電子信箱,使被盜刷者當下,無法收到電商寄出的通知信。
提醒用戶,不要再將信用卡號儲存至電商網站,可降低信用卡號個資外流風險。
零售平台受憑證填充攻擊比率達 80%
根據Okta的報告,零售平台受憑證填充攻擊的影響最大:雖然大多數平台遇到的憑證填充攻擊平均不到登入嘗試的10%,但在零售業的比率卻達到80%。不僅如此,金融、能源和軟體產業也都出現相當高的攻擊比率。
這些攻擊凸顯出這些平台採取更強大網路安全防護措施的必要性,更別說一般消費者必須要使用多因子身份驗證(MFA)和更強的密碼。
防範憑證填充攻擊的方法
- 養成良好的密碼習慣。避免在不同的網路帳號上使用相同的電子郵件與密碼組合,此外也要經常更換密碼。
- 盡可能啟用雙重認證 (2FA),畢竟,多一層保護總是多一分安全保障。
本文轉載自趨勢科技部落格。