身份和存取管理公司Okta的「安全身份狀況報告(State of Secure Identity Report)」指出,僅在2022年前三個月就記錄到超過100億次的憑證填充(Credential Stuffing)攻擊。這佔了所有登入嘗試網路流量的34%。
什麼是憑證填充(Credential Stuffing)攻擊?
憑證填充攻擊,也被稱之為撞庫攻擊,是一項利用殭屍網路(botnet)以自動化方式不斷使用偷來的登入憑證試圖登入網路服務的一種攻擊技巧,它會利用自動化軟體加上被盜的帳密,將這些憑證“填充”到各個網站的登入頁面,直到找到匹配的登錄組合。
這項手法使用大量被盜外流的電子郵件地址和密碼,再搭配自動化腳本,以疲勞轟炸的方式不斷試圖登入網路服務,直到某一組帳號密碼成功匹配為止。
國中畢業的24歲嫌犯,自學憑證填充攻擊,盜刷購物台會員23萬元
嫌犯利用許多人將同一組帳號密碼於不同網站服務的習慣,入侵被害用戶網購平臺帳戶,並藉由暴力破解信用卡背面檢查碼。該嫌犯其實也曾經針對國內多家知名網購平臺進行憑證填充(Credential Stuffing)攻擊/撞庫攻擊。
每當非法登入成功,即變更受害者的聯絡電子信箱,使被盜刷者當下,無法收到電商寄出的通知信。
提醒用戶,不要再將信用卡號儲存至電商網站,可降低信用卡號個資外流風險。
零售平台受憑證填充攻擊比率達 80%
根據Okta的報告,零售平台受憑證填充攻擊的影響最大:雖然大多數平台遇到的憑證填充攻擊平均不到登入嘗試的10%,但在零售業的比率卻達到80%。不僅如此,金融、能源和軟體產業也都出現相當高的攻擊比率。
防範憑證填充攻擊的方法
1.養成良好的密碼習慣。避免在不同的網路帳號上使用相同的電子郵件與密碼組合,此外也要經常更換密碼。
2.盡可能啟用雙重認證 (2FA),畢竟,多一層保護總是多一分安全保障。
在網路迅速發展下,任何人都會面臨需要註冊帳號密碼的情況,在密碼方面大部分的人都會以簡單、好記的組合,為了便利將所有的密碼統一,導致容易被惡意人士攻擊,建議密碼配合英文字母大小寫、數字以及特殊符號的組合,避免使用生日、電話號碼及身分證等,平時養成定期更換密碼的習慣,以防範自身重要資料被竊取。
詳文請見資安人 原文新聞稿