第三步:信息售賣:被盜信息往往通過看似正規(guī)的渠道流入攻擊者的口袋

在驗(yàn)證過需要的賬戶信息的憑證之后,攻擊者會(huì)選擇出售賬戶信息或直接發(fā)起賬號(hào)接管攻擊從而獲取利益。當(dāng)攻擊者想要出售賬戶信息時(shí)也會(huì)通過相對(duì)隱蔽的方式,例如廣為大眾熟知的加密貨幣、積分轉(zhuǎn)移、禮品卡兌換等方式將賬戶信息轉(zhuǎn)換為其他資產(chǎn)。值得注意的是,除了上述幾種方式,“錢騾”也是攻擊者匿名轉(zhuǎn)移資金的常用工具。“錢騾”指的是以轉(zhuǎn)移或轉(zhuǎn)運(yùn)經(jīng)騙取得來的資金和高價(jià)值貨物謀取金錢利益的人。

有時(shí),普通人無意之中也可能被選為“錢騾”。典型的場景是,一個(gè)人錢包和信用卡被盜,但并沒有及時(shí)發(fā)現(xiàn),待他意識(shí)到之后才發(fā)現(xiàn)信用卡賬單上出現(xiàn)了其他地區(qū)的禮品卡交易信息。攻擊者就是這樣通過其信用卡轉(zhuǎn)移資金來避免后續(xù)追蹤的,而這個(gè)人是攻擊者的“錢騾”。

此外,“錢騾”不僅局限于人,還可以是機(jī)構(gòu)組織。以Blackhawk Network(黑鷹網(wǎng)絡(luò))為例,它是相對(duì)合法的組織,并不是一個(gè)犯罪組織。但是這類組織提供相應(yīng)金錢兌換和支付的行為,可以幫助某些不法分子或某些攻擊者提供相應(yīng)的積分轉(zhuǎn)換或金錢快速匯款等操作,也可以作為“錢騾”。

如何抵御ATO攻擊?將爬蟲程序抵御與新的人類用戶分析和風(fēng)險(xiǎn)評(píng)分相結(jié)合

面對(duì)來勢洶洶且手法隱蔽的ATO攻擊,企業(yè)又該如何保護(hù)好自己及客戶的賬戶信息?我們將攻擊過程拆解后,發(fā)現(xiàn)此類攻擊的防范其實(shí)有章可循。

如前所述,攻擊者通常會(huì)利用看似正常的IP地址偽裝自己,發(fā)送合法請(qǐng)求和相應(yīng)的頭部信息。這些IP地址的本地網(wǎng)絡(luò)與攻擊目標(biāo)相同,而且名譽(yù)良好,非常具有迷惑性。因此,企業(yè)需要考慮,哪些情況是攻擊者無法通過普通的IP地址設(shè)備完成的?如果企業(yè)為真實(shí)的用戶創(chuàng)建用戶畫像,限定用戶的登錄邊界,判定用戶在登錄時(shí)的行為和場景。那么當(dāng)用戶的賬號(hào)被攻擊者利用時(shí),攻擊者就無法持有與此類用戶相同或類似的相關(guān)信息或設(shè)備指紋進(jìn)行ATO攻擊,這就是新的人類用戶分析和風(fēng)險(xiǎn)評(píng)分技術(shù)。舉例而言,某個(gè)位于廣東的用戶,日常習(xí)慣通過移動(dòng)網(wǎng)絡(luò)使用iPhone手機(jī)登錄自己的賬戶,倘若他登錄成功后的五分鐘,他的賬號(hào)又通過一臺(tái)位于新加坡的電腦進(jìn)行登錄,這種情況就會(huì)被判定為可疑的登錄操作。

當(dāng)然,爬蟲程序抵御方案也是必要的網(wǎng)絡(luò)攻擊防護(hù)手段。因?yàn)楣粽咴谶M(jìn)行撞庫攻擊、賬戶密碼驗(yàn)證時(shí),通常會(huì)使用自動(dòng)化的爬蟲程序。通過爬蟲的管理方案,可以管理有益和有害的爬蟲,減輕爬蟲程序造成賬號(hào)密碼的泄漏風(fēng)險(xiǎn)。但爬蟲程序管理方案并不足以防范ATO攻擊,有時(shí)其他途徑也會(huì)造成賬戶密碼的泄漏。未來賬戶保護(hù)的技術(shù)需要將爬蟲程序抵御方法與新的人類用戶分析和風(fēng)險(xiǎn)評(píng)分相結(jié)合,去探索真實(shí)用戶的登錄行為,形成防御效果更好的縱深防護(hù)系統(tǒng),從而幫助企業(yè)的平臺(tái)、網(wǎng)站以及系統(tǒng)成功抵御ATO攻擊。

作者:李岳霖,Akamai高級(jí)技術(shù)顧問,CISSP認(rèn)證。主要從事大型企業(yè)、教育、電商、金融等相關(guān)行業(yè)的云基礎(chǔ)架構(gòu)、信息安全解決方案的規(guī)劃與建設(shè),具有多年網(wǎng)絡(luò)性能、媒體交付、互聯(lián)網(wǎng)攻擊防護(hù)、爬蟲管理、應(yīng)用訪問控制等工作經(jīng)驗(yàn)。

分享到

zhupb

相關(guān)推薦