身份驗證公司Okta最新發布的《2025年用戶身份趨勢報告》顯示,2024年機器人程式占比高達46%的用戶註冊嘗試,而虛假註冊規模達到「令人震驚」的程度。Okta指出,註冊詐欺嘗試的激增可能是AI驅動攻擊工作流程的結果。
該報告以全球6,750名消費者的調查結果,結合Okta Auth0平台的營運遙測數據分析編製。
虛假註冊攻擊趨勢分析
報告顯示,2024年機器人註冊攻擊呈現劇烈波動趨勢。4月6日達到最高峰,惡意註冊嘗試激增至近93%,相較之下,2月29日則降至最低點的14%。特別值得關注的是,除了該日之外,全年其他時間的註冊濫用比例都維持在30%以上。
Okta歐洲、中東和非洲地區首席安全官Stephen McDermid表示,這份報告結果突顯了AI如何挑戰我們信任數位互動真實性的能力。他認為全球正進入一個不僅要問『誰』,更要問『什麼』才能真正信任的時代。這個新的攻擊面顯示應從靜態策略轉向以身份為核心的動態策略。
不同行業遭受註冊欺詐的程度存在顯著差異。零售及電商行業受影響最為嚴重,虛假註冊比例高達69%,其次是金融服務業的64%。能源及公用事業sector面臨56%的惡意註冊比例,而製造業則為54%。
Okta分析認為,零售商和金融服務業的註冊獎勵措施以及會員專屬優惠可能吸引了惡意行為者的關注。
註冊詐欺的多重危害
註冊詐欺不僅僅是消耗註冊獎勵,還可能帶來更嚴重的安全威脅:
- 帳戶探測:協助網路犯罪分子發現現有用戶帳戶
- 繞過安全控制:使用培養的帳戶在後期繞過安全措施
- 拒絕服務攻擊:透過消耗系統資源執行DoS攻擊
儘管64%的用戶擔心身份詐欺、72%的用戶在註冊前會評估該平台或公司的安全措施,但過度的安全措施卻可能影響用戶體驗:
- 近四分之一的用戶因註冊或登入問題「經常」或「總是」放棄線上購買
- 62%的用戶認為填寫冗長的登入/註冊表單是最大的挫折來源
防禦策略建議
面對機器人驅動的註冊攻擊,Okta建議組織採取綜合性的防禦措施。在技術防護方面,企業應投資DDoS緩解服務,並部署基於行為分析、威脅情報和回饋循環的機器人過濾技術。同時實施速率限制控制,當達到風險閾值時增加驗證碼要求。
在存取控制層面,組織需要加強可疑IP門檻設定,實施存取控制清單封鎖濫用IP位址,並使用網路應用程式防火牆規則在邊緣封鎖惡意活動。為了優化用戶體驗,Okta特別建議企業鼓勵客戶使用通行金鑰進行註冊,這種方式既能提升安全性又能簡化流程。
產業影響與未來趨勢
這份報告反映了當前數位身份驗證領域面臨的重大挑戰。隨著AI技術的普及,傳統的身份驗證方法正面臨前所未有的考驗。企業需要在保持用戶體驗流暢的同時,建立更加智能和動態的安全防護機制。
對於台灣企業而言,特別是電商和金融科技公司,這些數據提醒我們需要更加關注註冊流程的安全性,並投資於先進的反機器人攻擊技術,以應對日益複雜的AI驅動威脅。
本文轉載自infosecurity-magazine。