研报总结
引言
网络犯罪分子通过窃取用户凭证进行攻击的行业正在增长。由于廉价恶意软件套件在暗网上的可用性、全球范围内活跃的盗窃行动以及威胁行为者实施的技术的日益复杂化,被盗凭证的市场规模巨大且潜力巨大。当前技术生态系统中,几乎所有网站和应用都使用密码进行用户身份验证,用户需要处理越来越多的在线账户。由于需求增长,用户倾向于为许多在线服务重复使用相同的账户密码组合。这种广泛的使用和重复使用密码使它们成为网络犯罪分子的诱人目标,因为密码可以从公司账户中窃取,从而为其他账户和服务提供入口点。每年,数十亿个被盗凭证出现在暗网、明网、粘贴网站或网络犯罪分子共享的数据转储中。这些凭证随后被威胁行为者用于账户接管攻击、欺诈和数据盗窃。
被盗凭证的用途
被盗凭证在网络犯罪市场中具有两大主要价值:一是获取相对容易且便宜,即使是新手威胁行为者也能轻易获得;二是可用于多种欺诈活动,包括获取更多个人身份信息(PII)和数据、垃圾邮件、网络钓鱼、勒索攻击、金融欺诈、促销滥用、卡测试、获取高级账户访问权限、洗钱或钱款中转、社交媒体互动等。
攻击手法和技术
攻击者通常通过以下方式窃取合法账户凭证:暴力破解攻击(包括字典攻击)、凭证填充(利用用户重复使用密码的习惯)、网络钓鱼、恶意软件攻击(如键盘记录器、凭证窃取器)、暗网、利用安全漏洞(如跨站脚本攻击 XSS 和服务器端请求伪造 SSRF)、社会工程攻击等。
常见攻击向量
- 凭证盗窃:攻击者窃取凭证并用于访问服务或应用程序,逐步提升权限或访问银行账户、电子商务网站等平台。凭证盗窃可能导致重大经济损失,尤其是在金融平台或医疗平台遭受攻击时。
- 凭证填充:攻击者使用从其他在线服务窃取的用户名和密码,反复尝试登录在线账户。由于用户倾向于重复使用密码,这种攻击方式风险较低且易于实施。攻击者可通过欺诈性购买、盗窃和出售礼品卡、开展网络钓鱼攻击或出售登录凭证等方式获利。
- 账户接管(ATO):攻击者通过凭证填充、网络钓鱼和会话劫持等手段获取未经授权的访问权限,窃取敏感个人信息、冒充账户所有者、访问资金和支付卡,或利用被盗账户进行欺诈活动。ATO 欺诈不仅限于银行和信用卡账户,还包括奖励卡和订阅服务(如酒店和航空公司里程)。暗网市场的兴起使攻击者无需直接从受害者处窃取账户,只需在暗网上购买已验证的账户即可,从而降低个人风险。
影响
被盗凭证不仅损害企业品牌声誉,还可能带来财务和法律后果。具体影响包括:交易纠纷增加、退货率上升、客户流失、收入损失、最终可能面临罚款。品牌和声誉可能受损,客户因账户被盗而失去信任,导致负面宣传和业务损失。
如何识别被盗账户
企业主要通过客户索赔或投诉来识别被盗账户。关键迹象包括:来自异常地理位置的 IP 地址、多个账户共享相同信息(如电子邮件、配送地址)、未知或模糊的设备型号、同一设备或 IP 同时访问多个账户、检测到可疑 VPN 或代理使用、异常数量的退货请求、大量登录尝试、密码重置请求、异常大额购买或转账等。
建议
由于被盗凭证普遍存在,企业应建立数据安全计划,采取多重防护措施。由于社会工程攻击和 MFA 可能被绕过,建议采用多种互补解决方案,并定期评估其有效性。
- 即时措施:冻结被盗账户、冻结/取消所有进行中的交易、强制重置密码、通知合法账户所有者。
- 凭证盗窃防御:加强网络安全培训、实施强密码策略、使用 MFA。
- 凭证填充防御:部署机器人检测、MFA、防止重复使用被盗密码、监控客户活动、威胁情报和第三方欺诈检测、购买时进行身份验证、防止礼品卡盗窃。
- 账户接管防御:教育客户识别网络钓鱼和异常活动、部署 MFA、限制登录尝试、配置欺诈检测系统以在多次认证尝试后显示验证码、向客户发送账户变更通知。
