2018撞库攻击现状:不到一年出现数百亿登录尝试;金融行业首当其冲 – 作者:AngelaY

当前,撞库攻击现象日益严重,影响到各行各业多个领域。其中,金融领域受到的影响尤甚,僵尸网络带来大量欺诈性登录请求,威力堪比 DDoS 攻击。撞库攻击主要体现在黑客利用入侵或数据泄露获取的账号密码组合多次尝试登录大量在线网站。登录成功率与人们通常对账号密码的使用习惯有关,如果所有站点都使用相同密码,那么登录就会成功。犯罪分子通常会将攻击自动化,并利用僵尸网络在被入侵的系统上分散开展登录活动,最终目标都是登录到目标站点并冒充账号主人,进而窃取钱财或搜集信息。 

知名 CDN 运营商 Akamai 公司近日发布了 2018 年《互联网现状/安全 – 撞库攻击》报告,报告显示从 2017 年 11 月到 2018 年 6 月短短不到一年的时间内,就出现了超过 300 亿次的恶意登录尝试。仅仅 7 月和 8 月这两个月,僵尸利用窃取到的凭证所产生的自动化登录尝试就达到 83 亿次。目前,撞库攻击催生了数百亿恶意登录行为,其中金融行业成为了主要目标。有两大金融公司遭遇重大攻击,其中一个曾同时遭遇三个僵尸网络的攻击。

三大僵尸网络通过不同途径实施攻击

在第一个僵尸网络攻击中,攻击者明显增加了北美某大型信用社的网络流量。随后 Akamai 监测到,在一周的时间内,来自 1750 个网络服务供应商的约 2 万个 IP 地址共产生了 315178 次欺诈性登录尝试,共观察到 4382 个用户代理。

这些僵尸网络一共发起了 942296 次撞库攻击,在三个僵尸网络中排第三。因此,Akamai 将其标记为“哑巴僵尸”,因为其流量主要来自两个 IP 地址,所有的请求都使用了相同的用户代理,很容易识别并阻止。

第二个僵尸网络更加复杂,共从 1 万个不同的 IP 地址发送流量,并利用了 695 个用户代理。在三天之内,这个僵尸网络平均每秒发送 59 次请求,一共发起了 190487 次恶意登录尝试。

第三个僵尸网络则采取了“低速且慢速”的策略,每两分钟只发送一次登录尝试,一周内共发起 5286 次恶意登录尝试,使用了 188 个不同的用户代理以及 1500 个 IP 地址。这种低频行为难以识别,导致攻击者可以长期潜伏、实现目标。

AkamaiSOTI_low_slow (1).png

另一个遭遇撞库攻击的金融机构处境也很严峻。其历史记录显示 6 天内共有 700 万次合法登录,但遭遇攻击之后,共有 850 万欺诈登录,且大多发生在 48 小时内。监测发现,三分之一的流量来自越南和美国。发起攻击的僵尸网络包含 2 万个端点,以及来自 4933 个 ISP 的 IP 地址。由于 95% 的流量来自三星 Galaxy SM-G531H 智能手机等同类设备,使得这些恶意请求更容易识别和停止。

AkamaiSOTi_countries.png

由于目前很多工具都可以作为服务来提供,只要攻击者手握大量用户名和破解密码用于登录尝试,就能轻易实施撞库攻击。而调查显示,70% 的受访公司不采取强力措施因谷底撞库攻击的原因是担心防御工具会影响合法用户的试用体验。这意味着,未来的撞库攻击防御手段要在充分了解业务,不影响用户体验的情况下,才能迎来更好的市场,有效运行。

*参考来源:bleepingcomputer,转载请注明来自 FreeBuf.COM

来源:freebuf.com 2018-09-21 09:30:45 by: AngelaY

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论