何为撞库攻击?
撞库攻击是一种网络攻击,攻击者试图通过使用受损的凭据来获得对受保护帐户的未授权访问。
撞库攻击会滥用数字界面和工作流程(如登录表单),获得对客户帐户的未授权访问。这些攻击通常利用自动化工具和受损凭据,但常会转变为模仿人类行为或冒充真实客户。
策划精密的攻击者可以轻易绕过常用来防御撞库攻击的缓解措施(包括 CAPTCHA 和多重身份验证 (MFA)),并有可能殃及真实的客户,导致客户放弃交易和损失收入。此外,撞库攻击往往是帐户接管 (ATO) 和欺诈的开端。
撞库攻击已成为世界上最重大的网络安全问题。在 2018 年和 2019 年,结合网络钓鱼和撞库攻击的威胁约占美国所有公开披露漏洞的一半。1
这种攻击很受欢迎的原因在于较高的 ROI(投资回报率),成功率通常在 0.2 至 2% 之间。2
检测到凭据泄露的时间中位数是 120 天,而且这些凭据在得到披露之前往往已在暗网公开。
由于数据泄露发生频繁、网络钓鱼的成熟运作以及利用自动化技术可以快速实现凭据变现,因此攻击事件接连不断。这就形成了一个恶性循环,企业在获取凭据的过程中遭到入侵,而撞库攻击一直靠此牟利。
撞库攻击以自动化和受损的凭据作为开端,最终会导致帐户接管、欺诈和引发客户矛盾。
工具、基础设施和数十亿受损凭据唾手可得,导致了一种低投入、高回报的黑客经济模式。
复杂的工具可以模仿人类行为来绕过安全控制,并利用人工刷单来规避反自动化算法。这些工具已经进一步发展到使用人工智能模型来绕过基于风险的身份验证。
传统的缓解措施在阻止复杂的撞库攻击方面已不奏效,并可能将矛盾引入到数字化体验之中,令客户感到不满,以及限制营收潜力。
通过中断 ROI(投资回报率),阻止实现或令其不可行,F5 解决方案可以阻止撞库攻击。
通过组织和分析跨数据中心、云和架构的网络、设备和环境遥测信号,F5 解决方案可以使用独特的方法检测利用受损凭据的异常行为和自动化攻击。
此外,F5 解决方案可以执行实时混淆,消除图谋不轨者的侦察和分析,并在攻击者重新调整以绕过安全对策时保持弹性和效力。
通过对类似攻击特征和风险面的威胁情报进行建模,并利用监督和无监督的深度学习方法来检测攻击者的技术,F5 解决方案可以自主地以最大成效部署适当的对策。
这种超前的方式可以确保抵御利用人工智能模型试图绕过基于风险的身份验证的攻击者,并防止帐户接管和欺诈在整个业务中产生连锁反应,从损失到错过收入机会,再到信任受损,这可能会严重损害业务运营,使企业处于竞争劣势。
1 2021 年撞库攻击报告,F5 Labs
