凭据填充 101

Credential Styšng 101 这些攻击是如何工作的，为什么它们持续存在，以及你能做些什么来阻止他们。 什么是Credential Stuffing？是什么让凭证Stuffing成为可能？凭证Stuffing攻击的解剖凭证Stuffing的影响预防措施ConclusionSpyCloud的差异 的目标 Introduction 凭证stuffingis获得未经授权的访问尽可能多的用户帐户作为可能，接管这些账户，以及欺诈行为活动。 在2020年初，攻击者入侵了超过16万个任天堂账户。大约在同一时间，大约500, 000的Zoom用户的登录凭据在暗网上共享。Activision,The North Face和万豪国际酒店成为头条新闻，因为成千上万的客户的数据落在不良行为者手中。对于万豪来说，这520万的曝光账户特别痛苦，因为该公司已经从2018年的违规行为中恢复过来超过3亿个客户账户被泄露。 在大流行期间，有这么多人被困在家里，受欢迎的消费者服务都面临着高需求。他们不可避免地会面临越来越多的安全威胁，因为嗯。在许多情况下，每个组织都很快坚持认为他们的系统不是但用户的帐户，有时他们的财务细节，是。 而不是试图闯入企业基础设施，攻击者采取了更简单的途径。肆无忌惮的密码重用使他们能够直接登录成千上万的用户帐户，由自动犯罪软件辅助。就任天堂而言，SpyCloud研究人员发现了一个为帮助罪犯而定制的帐户检查器工具的源代码针对任天堂登录测试被盗凭据，使攻击者能够访问客户帐户和利用保存的付款方式购买游戏内货币。 这些攻击背后的犯罪软件可能非常复杂，但是攻击方法-被称为“凭证填充”-令人沮丧地无处不在。也许更令人沮丧的是防止这种攻击是谁的工作的问题。 什么是Credential Stušng？ 凭证填充是指针对目标测试大量被盗凭证的行为 应用程序或Web界面。使用因数据泄露而产生的受损凭据建立“字典”或“组合列表”。这些凭证在犯罪分子中进行交易和出售网络，然后用于凭证填充操作。实际上，只要公司保持被破坏，名单越来越好。 凭证填充攻击的关键组成部分之一，组合列表是以前的列表违反了加载到自动蛮力工具以测试凭据的凭据这些工具可以检查常见的密码变化也是。 随着每一起网络安全事件的发生，受害者组织都会做出承诺找出罪魁祸首并确保消费者保护。这个策略是有缺陷的，因为我们，消费者，是问题的重要组成部分。分析我们所有的违规数据，SpyCloud发现 在两次或更多次泄露的用户中，57%的人在多个漏洞中重复使用相同的密码(或小变体)帐户。因此，攻击者很容易使用组合列表来解锁许多帐户。 黑暗网络上大量的被盗凭证与自动化相结合，使这些攻击具有可扩展性和相当简单。使用现成的犯罪软件，即使是简单的网络犯罪分子也可以提供（或“东西”）数百万一次将凭据泄露到任意数量网站的登录页面中。 凭证填充的目标是获得对尽可能多的用户帐户的未经授权的访问，接管这些帐户，和实施欺诈活动。账户接管(ATO)使攻击者能够从银行账户中提取资金，购买，窃取身份或结合真实和虚假信息来创建新的“合成”身份。2020 SolarWinds供应链攻击提供了一个最坏的情况:攻击者升级用户权限以在组织的网络中站稳脚跟并进行了严重，长期和昂贵的攻击。 在SpyCloud的2021年度凭证曝光报告中，我们强调了企业区分是否由于违反内部资源或通过凭据填充，已访问了消费者帐户。 违规是由于公司未能保护其资产和通常具有监管意义，而凭证stuffing是通常是消费者密码卫生不良的结果。 但是组织为用户承担了多少责任密码选择？后果包括品牌损害和失去客户信任，更多的企业正在采取主动安全立场-当客户的凭据在第三方违规（不是他们自己的网站，而是另一个网站）因为密码在帐户中经常重复使用。违反一项服务可能会对其他业务产生连锁影响，特别是在凭证填充方面。 是什么让凭证Stuffing成为可能？ ›密码重复使用 平均而言，人们预计会跟踪周围的70 - 100密码。对SpyCloud数据库的分析揭示了一个有史以来的57％的密码重用率- 2020年收集的漏洞的密码重用率为60％。问题只会变得更糟。 ›巨大的突破 2005年，第一次数据泄露超过100万条记录，这在当时令人震惊。他们不断得到更大；八年后，雅虎数据泄露暴露了惊人的30亿条记录。今天，常见的漏洞导致数以千万计的暴露凭证。这些用户名+密码组合构成组合列表的基础，组合列表是凭证填充攻击的关键组成部分。 ›自动化+低准入门槛 凭证填充是数字游戏-并且是有利可图的。由于自动化，即使是小时间criminal可以以不到200美元的价格测试100, 000个证书。典型的成功率很低，介于1 - 2之间百分比，这意味着攻击者可以从一次攻击中获得多达4, 000个有效帐户100k凭证对。 ›检测迟缓 组织识别和包含漏洞的平均时间为280天。这为攻击者提供了滥用被盗凭证的大窗口。 凭证Stuffing攻击的解剖 犯罪分子并不会在多个站点中手动输入成千上万的凭据。此外，Web服务have limits in place to block any flood of activity coming from a single IP address. If credential stuing attacks had to be done手动，它们不会是可行的或有利可图的，所以自动化是关键。 自动凭证填充工具可在恶意平台上以相对较低的成本购买。而不是编写 自动化脚本本身，许多攻击者使用所谓的“帐户检查器”。这些工具使攻击者很容易馈送在大量被盗用户名和密码对列表中，并在目标站点上进行测试。 购买组合列表 过去，熟练的攻击者不得不闯入站点以窃取凭据。但是今天，如此多的有效凭据已经在暗网上可用，即使是不熟练的攻击者也可以轻松获得它们。犯罪分子可以购买组合列表，该组合列表将来自地下的多次违规数据组合在一起市场只有2美元。 伪装起来 要取得成功，凭据填充攻击必须像目标上的常规网络流量一样出现网站.数以百万计的登录请求突然来自一个单一的IP地址在短时间内会向防御者发出危险信号。为了避免这种情况，攻击者可以利用IP代理服务的帮助使用机器人在数千个IP地址上分发登录请求的提供商，从而帮助隐藏可疑的攻击者活动。 加载列表和分析帐户 公共资源使犯罪分子能够快速下载将组合列表与热门列表进行比较的工具商业网站。罪犯会将组合列表加载到工具中，并可以简单地选择某些网站通过检查每个站点的框，或者可以一次对数百个站点运行该工具。犯罪分子可以甚至自定义配置凭证填充工具，以查找具有某些现金，积分，和/或虚拟货币。当有匹配时，他们会看到受损后的账户余额帐户，并提前确定他们是否可以访问目标帐户。 发射攻击 攻击者的目标是发现所有成功的登录请求。当工具通过提供的凭据时，攻击者会收到有效凭据的通知。从技术上讲，攻击本身在攻击者收到这些结果。但是仅仅获取有效凭据列表并不是攻击者的目的游戏。 开始ATO 拥有目标站点的经过验证的凭据列表，攻击者将转向货币化。他们如何完成这取决于他们的目标和被攻击的网站类型。目标是耗尽账户他们的价值，所以他们可能会通过欺诈性的银行交易窃取资金，进行大量购买在电子商务网站上，从信用卡中垫付现金，或清算礼品或奖励卡以换取现金或产品。更复杂的攻击者使用合法帐户来更深入地访问受害者的网络，升级特权以执行更险恶的行为，如关闭基础设施或窃取公司信息或商业秘密。 凭证的影响 根据联邦调查局去年发布的私营行业通知，凭证填充占针对美国的安全事件的41％2017年至2020年的金融部门。 不包括与欺诈相关的成本，凭证填充成本受影响企业平均每年600万美元。 无论您所在的行业如何，凭证填充都是机会均等的犯罪者，其含义非常真实。在2020年，中期-美国大型金融机构将大量使用各种凭据对的登录尝试与超过350万美元的欺诈性联系起来交易。即使没有实际欺诈，凭证填充仍然会产生影响。从2019年6月到1月2020年，一家总部位于纽约的投资公司遭到了针对其移动API的凭证填充攻击，导致系统中断阻止了近200万美元的收入。 撇开欺诈损失不谈，这些报告没有说明可能导致的法律成本和监管罚款，更不用说品牌声誉和客户信任的损失。在CA Technologies的一项调查中，近50%的消费者表示他们停止使用由于数据泄露而导致的公司服务-如今，数据泄露和凭证填充攻击被认为是几乎是一样的。 预防措施 就像网络钓鱼或下载的恶意软件一样，凭据填充依赖于每个组织-人。任何针对凭证填充的预防措施都必须从人和他们的密码。 Œ加强密码 使用NIST实施强密码策略准则。特别是，禁止常用密码，包括已知的密码对员工来说，考虑实现企业级密码经理，并鼓励他们利用它来个人账户。 重复使用的用户 至少一个 跨密码不止一个帐户根据到SpyCloud的2021年年度凭据曝光报告 Œ实施MFA 为尽可能多的人实施多因素身份验证(MFA)尽可能面向公众的网站，以及内部资源处理敏感和机密数据。虽然它不是万无一失保护(攻击者不断寻求新技术来挫败防御)它提供了一个可能不值得努力的障碍击败希望从低努力凭证中获利的罪犯填充攻击。 Œ自动预防 自动化是关键，可无缝检查登录名以进行妥协幕后。即使罪犯能够找到暴露的来自在其他网站上工作的违规密码，它们不会能够使用它们来访问您的-如果您主动强迫为在第三-方违反。有办法在没有阻碍合法用户活动。 Conclusion 攻击者将利用“低挂水果” -最低的努力，这已经不是什么秘密了，收益最高的东西。只要有罪犯愿意为被盗数据付费，消费者未能保护自己，企业害怕引入少量摩擦在保护用户(及其底线)的服务中，会有凭证填充攻击。创纪录的在家工作和网上购物的人数，创建新帐户和重复使用密码，这个巨大的问题只会加剧。 希望消费者和组织都将 消费者ATO预防 proactive and take the precision available to them. For习惯难以打破的消费者，所以只要我们继续重复使用密码，我们可以期待凭证填充攻击要坚持。 从帐户保护您的用户收购欺诈和未经授权购买。 了解更多L 安全专业人员应归功于自己和彼此强制更好的密码卫生，监控妥协，以及当它发生时采取行动。在我们相互联系的世界中，如此多的平台和技术相交，妥协一项服务很容易为其他服务带来损失。 员工ATO预防 保护您的组织由于以下原因导致的违规行为和BEC密码重用。了解更多L The SpyCloud Di<unk>erence VIP卫士 围绕技术构建安全计划 保护您的最高风险来自目标高管账户接管。 主动利用通过人类智能获得的数据（HUMINT）在违规时间表的早期交易是成功的关键路径。SpyCloud的解决方案由世界上最大的被盗凭证回收库和PII，使企业能够在两个目标账户中保持领先通过检测和自动检测接管和凭证填充在犯罪分子拥有有机会使用它们。 了解更多L Active Directory Guardian 我们的客户继续告诉我们他们有能力阻止帐户收购取决于对相关数据的访问(包括业内大多数明文密码)，并且能够通过自动化使数据在操作上可操作。 自动检测和重置暴露的Windows帐户。了解更多L 请参阅您的账户接管风险L 发现关联了多少个违规记录将您的电子邮件地址和您的域作为一旦你知道了，你就可以采取行动了。 第三方洞察 监控第三方风险和共享数据以帮助补救。 了解更多L