近期證券商遭受駭客撞庫攻擊(Credential Stuffing Attack)資安事件頻傳,駭客於攻擊後利用合法身份登入並操作系統,進行account takeover之後的不法利益獲取,包括被竊帳號之非授權資金操作及登入網路系統後的後續行為,這次的攻擊行為與威脅除了影響企業商譽,客戶權益也遭受極大的損失。
期交所也提醒,為保護客戶權益,檢視取得憑證登錄防護力以及再次審核憑證相關系統檢核流程與異常登入帳戶等兩大控管措施,成為所有被攻擊券商強化資安首要之務。這次的事件也同時也受到銀行、電商、政府、醫療、製造業等客戶的高度關注。
根據 F5 SIRT 安全事件回應團隊所提供的資料顯示,2017 至 2019 年期間金融服務機構最常見的資安事件是帳號撞庫攻擊和暴力攻擊,佔整體的41% 。 F5 Shape Security研究估計,平均每天有 2.322 億次惡意登入嘗試,成功率為 0.05%,這意味著每天有 116,106 次成功的帳戶接管攻擊,這些攻擊平均可從個人帳戶竊取 400 美元。
撞庫攻擊行為模式與建立防線
駭客使用撞庫攻擊行為模式會有以下步驟,首先駭客於暗網購買外洩之帳密個資,第二步驟是使用自動化程式針對特定公開登入系統網頁實施撞庫攻擊,第三是在獲得成功驗證之帳號及個資,最後使用成功驗證之帳號個資,登入應用系統,進行不法利益行為及破壞。面對各式各樣的攻擊方法,防禦策略不僅只是在無止境的阻止 IP 位址、指令碼或機器人程式,使攻擊者失去動力並有效地打擊網路詐欺的方法之一,是破壞攻擊軟體的開發生命週期。
F5建議企業組織立即採取下列步驟,依序建立撞庫攻擊防線,以保障客戶及使用者帳號之數據價值:
- 建立AI機器人流量解析引擎
- 於現有或新購之F5 BIG-IP AWAF設定防護規則
- 於現有或新購之F5 BIG-IP AWAF納入撞庫攻擊偵測資料庫
- 時時監控、零信任資安政策
只要有利可圖,組織化的犯罪集團就會尋找並利用您應用程式中的弱點。F5目標是實作安全防禦對策,透過進階機器人偵測功能可以即時減少詐欺應用程式請求,並允許合法人工請求,而且不會產生額外的摩擦。建立撞庫攻擊防線刻不容緩,防止客戶機敏資訊外洩以及更巨大的商業損失。
Integrated Bot Defense (IBD) 通過識別和阻斷惡意機器人來保護您的應用服務免受自動化程式攻擊,例如: account takeover, 撞庫攻擊, 網路爬蟲等。
針對Bot自動化機器人程式流量提供詳盡與細部數據統計,精準分析惡意來源類型與存取標的主機路徑,協助管理者與應用開發人員作出適當的管理決策。
本文轉載自F5官網。