互联网现状安全性：撞库：攻击与经济.pdf

互联网现状/安全性撞库：第 5 卷，特别媒体版攻击与经济互联网现状 / 安全性 撞库：攻击与经济第 5 卷，特别媒体版2前言Akamai 在 2018 年记录了近 300 亿次撞库攻击。每次攻击都表示有个人或计算机尝试使用被盗或生成的用户名和密码登录帐户。绝大多数此类攻击都由僵尸网络或一体化应用程序执行。僵尸网络是负责执行各种命令的计算机组。可以指示它们查找易受帐户所有者以外的其他人访问的帐户；这些攻击被称为帐户接管 (ATO) 攻击。 AIO 应用程序允许个人自动执行登录或 ATO 过程，它们是帐户接管和数据收集的关键工具。这与媒体企业、游戏公司和娱乐行业有什么关系？关联很多。这些企业是撞库攻击的最大目标之一。这些攻击背后的发起人意识到了帐户的价值 - 无论是流媒体网站、游戏还是某人的社交媒体帐户。他们希望尽一切可能窃取这些帐户。在本报告中，我们将向您概述 2018 年针对上述行业的撞库攻击，并查看这些攻击带来的风险。我们还将探讨攻击者执行这些攻击的一些方法。媒体企业、游戏公司和娱乐行业是撞库攻击的最大目标之一。 互联网现状安全性撞库：攻击与经济第卷，特别媒体版互联网现状 / 安全性 撞库：攻击与经济第 5 卷，特别媒体版3每日攻击量在 2018 年， Akamai 每天都会发现数以亿计的撞库攻击。这些攻击针对的 是一系列行业 - 从媒体和娱乐业到零售和游戏业。如图 1 所示，有三天达到峰值，超过 2.5 亿次尝试。撞库攻击正成为各种技能水平的犯罪分子的最爱。此前的互联网现状 (SOTI)报告已经探讨了它们对零售业的影响，而本次报告还将探讨媒体和娱乐行业。犯罪分子针对的是大型视频和娱乐品牌，因为他们可以在黑市销售或交易经过验证的帐户的访问权限。如果您曾经在线流媒体播放过歌曲、电影或电视节目，那么您可能已经熟知了大多数犯罪分子所喜欢的一些帐户。与这些帐户相关的信息也具有价值。0M5000 万1 亿1.5 亿2 亿2.5 亿3 亿撞库尝试量1 月 1 日2 月 1 日3 月 1 日4 月 1 日5 月 1 日6 月 1 日7 月 1 日8 月 1 日9 月 1 日10 月 1 日11 月 1 日11 月 1 日1 月 1 日2018日期：2018 年 6 月 2 日登录尝试数：252,176,323日期：2018 年 10 月 24 日登录尝试数：285,983,922日期：2018 年 10 月 27 日登录尝试数：287,168,120每日撞库尝试量2018 年 1 月 1 日至 12 月 31 日图 1突出显示了 2018 年观察到的三起最大规模的攻击，其中两起事件相隔只有几天互联网现状 / 安全性 撞库：攻击与经济第 5 卷，特别媒体版41 月 1 日2 月 1 日3 月 1 日4 月 1 日5 月 1 日6 月 1 日7 月 1 日8 月 1 日9 月 1 日10 月 1 日11 月 1 日11 月 1 日1 月 1 日201802000 万4000 万6000 万8000 万1 亿1.2 亿1.4 亿1.6 亿1.8 亿2 亿2.2 亿撞库尝试量垂直行业：视频媒体日期：2018 年 6 月 3 日登录尝试数：133,861,006垂直行业：媒体与娱乐视频媒体垂直行业：视频媒体日期：2018 年 10 月 25 日登录尝试数：175,981,359垂直行业：视频媒体日期：2018 年 10 月 27 日登录尝试数：196,087,155每日攻击量：媒体行业2018 年 1 月 1 日至 12 月 31 日图 22018 年期间针对视频媒体行业的三次最大规模的撞库攻击尝试次数从 1.33 亿次增加到近 2 亿次互联网现状安全性撞库：攻击和经济 第 5 卷，特别媒体版规模最大的攻击 仅在视频媒体行业， 2018 年三次最大规模的撞库攻击尝试次数从 1.33 亿次增加到近 2 亿次。这很重要，因为攻击的日期与已知的数据泄露同步：卖家可能在出售之前一直在测试凭据。在 2019 年 2 月初，大约 6.2 亿个用户名、密码和其他记录 - 来自 16 个公布了数据泄露的企业 - 在暗网上出售。 撞库在 2019 年初，您可能听说过匿名人士发布了一系列电子邮件地址和密码 （此处称为 “版本 1-5”）用于撞库攻击的新闻。互联网现状 / 安全性 撞库：攻击与经济第 5 卷，特别媒体版5在这五个集合中，这位匿名人士发布了近 1 TB 的数据，总计超过 250 亿个电子邮件地址和密码组合。移除重复项和不可用的条目后，截至撰写本报告之时，仍有数十亿组合可在线上的各个位置使用。版本 1-5 只是用户名和密码的基本集合，但它们代表了在单次案例中发布的最大集合。如此庞大的集合只是例外，而非常态。但是，这样的集合是通过合并来自其他数据泄露的组合列表创建的， 其中包括非常值得注意的泄露事 件 。撞库攻击是在线业务面临的主要风险，因此拥有超过 10 亿个潜在组合的数据池会大大降低攻击门槛，使得任何想要借助撞库攻击趋势获利的潜在犯罪者都可以发起攻击。但是，像这样的列表并不是犯罪分子收集执行撞库攻击所需数据的唯一方法。在 Akamai 研究人员观看的 YouTube 视频中，一位主持人逐步为观众讲解如何创建组合列表以攻击热门的在线大逃杀游戏。图 3SNIPR 是一种用于撞库攻击的低成本 AIO；零售价为 20 美元互联网现状 / 安全性 撞库：攻击与经济第 5 卷，特别媒体版6该教程首先讲授了 “Google 黑客攻击 ”的概念，该概念使用 Google 的搜索引擎运算符来查找可能容易受到 SQL 注入攻击的网站。一旦找到了网站，教程就会继续指导观众如何使用常见的 SQL 注入工具来利用这些易受攻击的域。然后，此工具会下载电子邮件地址和密码，根据需要破解密码，生成有效的组合列表，然后使用 “检查器 ”程序配合代理进行攻击，以测试其新创建的列表的有效性。这些检查器程序或一体化应用程序 (AIO) 允许攻击者验证被盗或生成的凭据。根据应用程序的不同， AIO 可以直接攻击登录表单或 API - 或两者（如果情况需要）。一旦确认帐户有效，就可以出售、交易或收集各种类型的个人信息。根据具体情况，这三种情形都发生是很常见的。 网上有很多 AIO。有些是公开出售的，有些则是在黑市出售或交易。其中一个 名为 SNIPR 的入门级工具 被那些希望攻击游戏、社交媒体和流媒体的攻击者所青睐。另一个名为 STORM 的 AIO 使用详细的配置设置，这些设置可自行出售或交易。在撰写本报告时，暗网上的一位卖家正在以 52 美元的价格推销一套 STORM 配置，该配置用于在线攻击其中一个最大的流媒体平台。同一卖家还以折扣价销售前面提到的平台的礼品卡代码 - 提供价值 30 美元的礼品卡，价格低至 7.80 美元。这些代码有时是生成的，但通常情况下，这些代码是用偷来的信用卡购买的，因此，对于犯罪分子而言，所收获的任何收入都是纯粹的利润。该零售商在销售撞库攻击组合列表方面也开展着稳定的业务。一个列表是一批 50 亿个随机电子邮件地址和密码，价格为 5.20 美元。另一个列表是 50,000 个电子邮件地址和密码的自定义列表，售价相同。自定义选项允许购买者选择格式（ “email:pass”或 “user:pass”）、提供商、位置等。YouTube 上的 SNIPR 培训视频在研究本报告的事实和数据时， Akamai 的研究人员发现了许多涉及撞库和相关攻击的相关 YouTube 视频。我们确认至少有 89,000 人观看过有关名为 SNIPR 的 AIO 的演示和教程视频。具有几十个视频，这些视频涵盖了多个 SNIPR 版本，详细介绍了如何使用该应用程序以及如何获得最大的资源投资回报。由于 SNIPR 是一个入门级工具，因此该工具的用户经常会请求此类教程，然后由开发人员或其他用户创建这些教程。互联网现状 / 安全性 撞库：攻击与经济第 5 卷，特别媒体版7蓬勃发展的经济被盗媒体和娱乐帐户的市场正在蓬勃发展。媒体、游戏和娱乐行业是寻求交易被盗信息和访问权限的犯罪分子的宝贵目标。这些帐户是批量销售的，犯罪分子的目标是按销量转移货物，而不是单一帐户销售。许多通过撞库攻击入侵的帐户将以低至 3.25 美元的价格出售。这些帐户附带 “三包政策 ”：如果凭据在售出后无效，则可以免费更换，这是服务卖家用于鼓励重复购买的策略。此服务存在的原因是，品牌正越来越快地检测到被入侵的帐户并将其停用。 那么，撞库攻击如何盗取随后会在犯罪市场上销售的帐户？简言之：密码共享。撞库尝试可以演变为全面的帐户接管和入侵，因为人们倾向于在多个网站上使用相同的密码 - 或者他们使用的密码很容易被猜到，并且他们生成了凭据。图 4按国家 /地区排序的热门攻击来源；美国仍然是撞库攻击的主要来源国来源国家/地区ATO HEUR. 登录美国 4,016,181,582俄罗斯 2,509,810,095加拿大 1,498,554,065越南 626,028,826印度 625,476,485巴西 585,805,408马来西亚 369,345,043印度尼西亚 367,090,420德国 354,489,922中国 308,827,351热门攻击来源互联网现状 / 安全性 撞库：攻击与经济第 5 卷，特别媒体版8因此，在一个网站上出现的数据泄露，或者已知的用户名和密码组合（例如版本 1-5）被大量发布，可能会导致个人的整个数字生活隐私曝光。一旦发生这种情况，则可以打包并销售与所述个人相关的所有信息。正如预期的那样，美国在撞库攻击来源国家 /地区名单中名列首位。这是因为，大多数常见的撞库工具都是在那里开发的。俄罗斯排名第二，加拿大排名第三。此外，美国是遭遇攻击的头号目标，因为许多最受欢迎的目标都位于那里。印度和加拿大在攻击目标中排名第二和第三，但与美国相比，其数量大大减少。图 5按国家 /地区排序的热门攻击目标；美国仍然是撞库攻击的主要目标目标国家/地区ATO HEUR. 登录美国 12,522,943,520印度 1,208,749,669加拿大 1,025,445,535德国 760,722,969澳大利亚 104,655,154韩国 37,112,529中国 26,173,541直布罗陀 6,559,360荷兰 4,991,790日本 3,424,334意大利 2,601,632法国 1,864,733中国香港 1,305,262热门攻击目标null美国是头号攻击目标。”互联网现状 / 安全性 撞库：攻击与经济第 5 卷，特别媒体版9展望未来撞库犯罪分子可能对企业产生的影响是广泛的 - 类似于今年早些时候匿名发布的组合列表只是冰山一角。当撞库攻击成功时，品牌的声誉会受损（即使这不是他们的错），并且，由于事件响应、工资单、危机沟通和其他相关费用的增加，他们面临更高的运营成本。2019 年 2 月，一家知名的在线税务服务机构向一些客户发布了泄露通知。通知函清楚地解释了攻击本身如何进行撞库操作，因为所有面临风险的帐户都在使用其他地方的数据泄露所暴露的密码。该税务服务机构重置了密码以防止进一步的访问并警示了客户。虽然该事件显然不是税务服务提供商的错，但客户感觉却不是这样，并且公众对此新闻的反应也偏向负面。 通过与稳定的解决方案提供商合作来帮助检测和阻止撞库攻击是防范此类事件的明智选择。但解决撞库威胁并不容易。企业需要确保为业务量身定制防御解决方案，因为犯罪分子将相应地调整其攻击以规避现成的配置和基本缓解措施。 然而，要解决问题，需要的不仅仅是单个供应商或单组产品。用户需要接受与撞库攻击、网络钓鱼以及其他可能危及其帐户信息的风险有关的培训。品牌应向客户强调使用唯一密码及密码管理器，并强调多重身份验证的价值。在讨论 ATO 和 AIO 脚本时，犯罪分子对于多重身份验证的使用多有怨言，这是阻止大多数攻击的一种特别有效的方法。这些解决方案的持续强化 - 与任何认知计划一样 - 对金融和游戏行业内的企业有着巨大作用。null当撞库攻击成功时，品牌的声誉会受损（即使这不是他们的错）”互联网现状 / 安全性 撞库：攻击与经济第 5 卷，特别媒体版10方法在本报告中，撞库尝试被定义为对使用电子邮件地址作为用户名的帐户进行的失败登录尝试。为了识别滥用尝试（与不能键入凭据的真实用户相反），使用了两种不同的算法。第一个算法是简单的容量规则，用于计算特定地址的登录错误数。这与单个组织可能检测到的不同，因为 Akamai 正在关联数百个企业的数据。 第二种算法使用来自我们的爬虫程序检测服务的数据来识别来自已知僵尸网络和工具的撞库攻击。配置良好的僵尸网络可以避免容量检测，方法是在多个目标之间分散其流量、在扫描中使用大量系统或者随着时间的推移将流量分散，等等。 使用各种 Web 搜索和人工智能手动完成了对撞库僵尸网络的工具和策略的研究。