犯罪分子可以通過猖獗的地下經(jīng)濟(jì)購(gòu)買、出售和利用已被破解的賬戶憑據(jù)���。暗網(wǎng)上銷售的被盜憑據(jù)達(dá)到數(shù)十億個(gè)�����。在中國(guó)��,今年四月的一條涉及國(guó)內(nèi)多家銀行數(shù)百萬條客戶數(shù)據(jù)資料在暗網(wǎng)被標(biāo)價(jià)兜售的消息����,一時(shí)曾激起千層浪[2]��。雖然該消息的真實(shí)性最終被駁��,但這些數(shù)據(jù)確真真實(shí)實(shí)在暗網(wǎng)上被出售、加強(qiáng)個(gè)人金融信息保護(hù)的呼聲也越發(fā)高漲�。事實(shí)上,Sentry MBA或SNIPR等免費(fèi)自動(dòng)化工具讓犯罪分子能更加輕松地嘗試登錄信息并驗(yàn)證被盜憑據(jù)�。低成本的“僵尸網(wǎng)絡(luò)即服務(wù)” 平臺(tái)讓犯罪分子能夠大規(guī)模地發(fā)起撞庫活動(dòng)。
Sentry MBA讓發(fā)起撞庫攻擊變得更容易
正如我在文章一開始所提到的�����,金融服務(wù)機(jī)構(gòu)經(jīng)常成為撞庫攻擊的目標(biāo)��。銀行賬戶��、信用卡賬戶�、經(jīng)紀(jì)賬戶和支付應(yīng)用都是犯罪分子青睞的對(duì)象。如下圖所示����,根據(jù)Akamai《2019年互聯(lián)網(wǎng)安全狀況報(bào)告:針對(duì)金融服務(wù)業(yè)的攻擊經(jīng)濟(jì)》,所有撞庫攻擊中約有6%針對(duì)的是金融服務(wù)企業(yè)(雖然乍看之下���,這個(gè)比例似乎較低,但您得考慮與其他行業(yè)相比�,金融服務(wù)業(yè)遭受一次攻擊所產(chǎn)生的潛在總成本)。在18個(gè)月的時(shí)間里�����,Akamai共發(fā)現(xiàn)超過35億次針對(duì)金融機(jī)構(gòu)的惡意登錄嘗試!
Akamai觀察到的撞庫攻擊(2017年12月至2019年4月)
網(wǎng)絡(luò)犯罪分子還會(huì)利用撞庫非法訪問API�����。根據(jù)Akamai《2020年互聯(lián)網(wǎng)安全狀況報(bào)告:金融服務(wù)——惡意接管嘗試》����,攻擊者常常將提供保密數(shù)據(jù)和服務(wù)訪問的REST和SOAP端點(diǎn)作為攻擊目標(biāo),然后利用這些數(shù)據(jù)和服務(wù)實(shí)施金融犯罪���。下圖顯示了Akamai在一年內(nèi)發(fā)現(xiàn)的惡意登錄嘗試����。橙色表示針對(duì)API端點(diǎn)的嘗試����。上半部分表示所有行業(yè),下半部分表示金融服務(wù)領(lǐng)域��。
Akamai觀察到的惡意登錄嘗試(2017年12月至2019年11月)
抵御撞庫攻擊
撞庫攻擊可能會(huì)損害金融公司的聲譽(yù)并導(dǎo)致監(jiān)管處罰�、法律成本和客戶流失,還會(huì)通過使用偽造的爬蟲流量令基礎(chǔ)設(shè)施癱瘓并破壞金融公司網(wǎng)站和網(wǎng)絡(luò)應(yīng)用的性能�。更糟糕的是,為了避免被發(fā)現(xiàn),攻擊者一直在改良自己的技術(shù)���,包括將登錄嘗試分配到數(shù)千個(gè)爬蟲����、使用代理服務(wù)器����、逐漸分散登錄嘗試等。
以下是幫助金融服務(wù)機(jī)構(gòu)抵御撞庫和降低風(fēng)險(xiǎn)的三條建議��。
建議一:重新審視應(yīng)用程序和網(wǎng)站登錄頁面
許多應(yīng)用程序和網(wǎng)站設(shè)計(jì)者會(huì)在不經(jīng)意間確認(rèn)用戶ID或其他可被用于發(fā)起攻擊的信息����,這在無意中助了犯罪分子“一臂之力”。比如網(wǎng)絡(luò)犯罪分子可能會(huì)嘗試使用未經(jīng)驗(yàn)證的用戶ID和密碼登錄賬戶����。如果Web應(yīng)用程序返回錯(cuò)誤消息、顯示密碼不正確���,那么犯罪分子就可以認(rèn)為用戶ID是正確的��、然后使用暴力密碼破解方法或其他機(jī)制獲得該賬戶的訪問權(quán)����。
金融服務(wù)機(jī)構(gòu)應(yīng)重新審視自己的身份驗(yàn)證流程和登錄界面���,確保自己沒有在“助紂為虐”���。
建議二:強(qiáng)化多重身份驗(yàn)證解決方案
即便網(wǎng)絡(luò)犯罪分子獲得了有效的登錄憑據(jù),多重身份驗(yàn)證解決方案也能防止金融服務(wù)應(yīng)用程序被非法訪問�。雖然多重身份驗(yàn)證效果顯著,但它有時(shí)也無法阻止撞庫���,甚至?xí)m得其反���,為攻擊者提供幫助。
許多多重身份驗(yàn)證程序都要求用戶先輸入用戶ID和密碼組合�����,然后再根據(jù)提示輸入其他憑證���,例如通過電子郵件或短信發(fā)送的驗(yàn)證碼���。犯罪分子可以利用多重身份驗(yàn)證對(duì)用戶ID和密碼組合的驗(yàn)證(大多數(shù)多重身份驗(yàn)證解決方案在生成驗(yàn)證碼之前會(huì)先驗(yàn)證用戶ID和密碼組合)�����。在確認(rèn)用戶ID和密碼后�����,犯罪分子可以通過魚叉式釣魚攻擊直接瞄準(zhǔn)受害者�����、在暗網(wǎng)上出售經(jīng)過驗(yàn)證的憑據(jù)或嘗試其他惡意行為��。為了達(dá)到全面保護(hù)的目的�����,金融服務(wù)機(jī)構(gòu)應(yīng)使用多重身份驗(yàn)證與其他保護(hù)措施相結(jié)合的多層深度防御安全架構(gòu)����。另外����,還必須防止攻擊者通過查詢網(wǎng)絡(luò)服務(wù)器響應(yīng)發(fā)現(xiàn)有效的憑據(jù)。
建議三:部署爬蟲管理解決方案以獲得超強(qiáng)保護(hù)
為了獲得針對(duì)撞庫的超強(qiáng)保護(hù)����,金融服務(wù)機(jī)構(gòu)應(yīng)在多層安全解決方案中加入基于網(wǎng)絡(luò)的爬蟲管理解決方案���。犯罪分子會(huì)通過分布式僵尸網(wǎng)絡(luò)執(zhí)行復(fù)雜的撞庫攻擊�。爬蟲管理解決方案在網(wǎng)絡(luò)邊緣檢測(cè)和控制非法爬蟲流量,在攻擊者進(jìn)入金融服務(wù)機(jī)構(gòu)應(yīng)用程序或使基礎(chǔ)設(shè)施癱瘓之前阻止它們���。頂尖的爬蟲管理平臺(tái)能夠使用人工智能和機(jī)器學(xué)習(xí)來檢測(cè)和阻止高級(jí)撞庫攻擊���。
總結(jié)
為了盜取金融服務(wù)賬戶、竊取保密數(shù)據(jù)和實(shí)施交易欺詐���,網(wǎng)絡(luò)犯罪分子正在發(fā)起精密復(fù)雜的撞庫攻擊��。金融服務(wù)機(jī)構(gòu)的應(yīng)對(duì)之策包括重新審視其身份驗(yàn)證流程以及在多層安全架構(gòu)中加入強(qiáng)大的爬蟲管理平臺(tái)����。Akamai Bot Manager(Akamai爬蟲管理器)等領(lǐng)先的爬蟲管理解決方案能夠在復(fù)雜的撞庫爬蟲到達(dá)應(yīng)用程序或數(shù)據(jù)中心之前��,發(fā)現(xiàn)并阻止它們��。Akamai解決方案運(yùn)用機(jī)器學(xué)習(xí)和行為分析來智能識(shí)別和化解撞庫攻擊�,而且不會(huì)影響合法的爬蟲流量�。Akamai Bot Manager基于Akamai智能邊緣平臺(tái)�����,覆蓋全球約325000臺(tái)服務(wù)器���,因此具備全球級(jí)的可擴(kuò)展性與性能�。該解決方案每小時(shí)管理超過5.6億個(gè)爬蟲請(qǐng)求���,對(duì)不斷進(jìn)化的爬蟲環(huán)境擁有無與倫比的可視性��。
