第三步：信息售賣：被盜信息往往通過看似正規(guī)的渠道流入攻擊者的口袋

在驗(yàn)證過需要的賬戶信息的憑證之后，攻擊者會(huì)選擇出售賬戶信息或直接發(fā)起賬號(hào)接管攻擊從而獲取利益。當(dāng)攻擊者想要出售賬戶信息時(shí)也會(huì)通過相對(duì)隱蔽的方式，例如廣為大眾熟知的加密貨幣、積分轉(zhuǎn)移、禮品卡兌換等方式將賬戶信息轉(zhuǎn)換為其他資產(chǎn)。值得注意的是，除了上述幾種方式，“錢騾”也是攻擊者匿名轉(zhuǎn)移資金的常用工具?！板X騾”指的是以轉(zhuǎn)移或轉(zhuǎn)運(yùn)經(jīng)騙取得來的資金和高價(jià)值貨物謀取金錢利益的人。

有時(shí)，普通人無意之中也可能被選為“錢騾”。典型的場(chǎng)景是，一個(gè)人錢包和信用卡被盜，但并沒有及時(shí)發(fā)現(xiàn)，待他意識(shí)到之后才發(fā)現(xiàn)信用卡賬單上出現(xiàn)了其他地區(qū)的禮品卡交易信息。攻擊者就是這樣通過其信用卡轉(zhuǎn)移資金來避免后續(xù)追蹤的，而這個(gè)人是攻擊者的“錢騾”。

此外，“錢騾”不僅局限于人，還可以是機(jī)構(gòu)組織。以Blackhawk Network（黑鷹網(wǎng)絡(luò)）為例，它是相對(duì)合法的組織，并不是一個(gè)犯罪組織。但是這類組織提供相應(yīng)金錢兌換和支付的行為，可以幫助某些不法分子或某些攻擊者提供相應(yīng)的積分轉(zhuǎn)換或金錢快速匯款等操作，也可以作為“錢騾”。

如何抵御ATO攻擊？將爬蟲程序抵御與新的人類用戶分析和風(fēng)險(xiǎn)評(píng)分相結(jié)合

面對(duì)來勢(shì)洶洶且手法隱蔽的ATO攻擊，企業(yè)又該如何保護(hù)好自己及客戶的賬戶信息？我們將攻擊過程拆解后，發(fā)現(xiàn)此類攻擊的防范其實(shí)有章可循。

如前所述，攻擊者通常會(huì)利用看似正常的IP地址偽裝自己，發(fā)送合法請(qǐng)求和相應(yīng)的頭部信息。這些IP地址的本地網(wǎng)絡(luò)與攻擊目標(biāo)相同，而且名譽(yù)良好，非常具有迷惑性。因此，企業(yè)需要考慮，哪些情況是攻擊者無法通過普通的IP地址設(shè)備完成的？如果企業(yè)為真實(shí)的用戶創(chuàng)建用戶畫像，限定用戶的登錄邊界，判定用戶在登錄時(shí)的行為和場(chǎng)景。那么當(dāng)用戶的賬號(hào)被攻擊者利用時(shí)，攻擊者就無法持有與此類用戶相同或類似的相關(guān)信息或設(shè)備指紋進(jìn)行ATO攻擊，這就是新的人類用戶分析和風(fēng)險(xiǎn)評(píng)分技術(shù)。舉例而言，某個(gè)位于廣東的用戶，日常習(xí)慣通過移動(dòng)網(wǎng)絡(luò)使用iPhone手機(jī)登錄自己的賬戶，倘若他登錄成功后的五分鐘，他的賬號(hào)又通過一臺(tái)位于新加坡的電腦進(jìn)行登錄，這種情況就會(huì)被判定為可疑的登錄操作。

當(dāng)然，爬蟲程序抵御方案也是必要的網(wǎng)絡(luò)攻擊防護(hù)手段。因?yàn)楣粽咴谶M(jìn)行撞庫(kù)攻擊、賬戶密碼驗(yàn)證時(shí)，通常會(huì)使用自動(dòng)化的爬蟲程序。通過爬蟲的管理方案，可以管理有益和有害的爬蟲，減輕爬蟲程序造成賬號(hào)密碼的泄漏風(fēng)險(xiǎn)。但爬蟲程序管理方案并不足以防范ATO攻擊，有時(shí)其他途徑也會(huì)造成賬戶密碼的泄漏。未來賬戶保護(hù)的技術(shù)需要將爬蟲程序抵御方法與新的人類用戶分析和風(fēng)險(xiǎn)評(píng)分相結(jié)合，去探索真實(shí)用戶的登錄行為，形成防御效果更好的縱深防護(hù)系統(tǒng)，從而幫助企業(yè)的平臺(tái)、網(wǎng)站以及系統(tǒng)成功抵御ATO攻擊。

作者：李岳霖，Akamai高級(jí)技術(shù)顧問，CISSP認(rèn)證。主要從事大型企業(yè)、教育、電商、金融等相關(guān)行業(yè)的云基礎(chǔ)架構(gòu)、信息安全解決方案的規(guī)劃與建設(shè)，具有多年網(wǎng)絡(luò)性能、媒體交付、互聯(lián)網(wǎng)攻擊防護(hù)、爬蟲管理、應(yīng)用訪問控制等工作經(jīng)驗(yàn)。

zhupb