2020年，攻擊者突然調(diào)高了憑證填充(撞庫)的檔位，用被盜憑證或重用憑證對網(wǎng)站狂轟濫炸，試圖獲取用戶賬戶訪問權(quán)限。根據(jù)阿卡邁新一期的《互聯(lián)網(wǎng)現(xiàn)狀》報告，僅失敗的憑證攻擊嘗試就高達(dá)1930億次。

[[402447]]

事實(shí)上，盡管阿卡邁將攻擊數(shù)量的陡然上升部分歸因于其客戶增長和對此類攻擊的可見性增強(qiáng)，但相比2019年的470億次，使用憑證的登錄攻擊嘗試數(shù)量猛增了310%+?？傮wWeb攻擊，例如SQL注入攻擊，增長幅度并不大，從2019年的62億，增長到2020年的63億。

阿卡邁首席安全研究員Steve Ragan表示，攻擊增長不僅僅是攻擊者將更多請求砸向網(wǎng)站看看哪個能黏住不掉，而是代表著威脅增多。

“總體數(shù)量增加的時候，就意味著威脅增多了。我們看到的不過是冰山一角。我們只查看了一小部分攻擊。那些我們沒有看到的，才是問題所在。如果我們看到的數(shù)字在增加，那你就知道問題也越來越嚴(yán)重了。”

去年，多數(shù)企業(yè)將其大部分基礎(chǔ)設(shè)施遷移到云端，以便讓新冠肺炎疫情催生的遠(yuǎn)程員工能夠訪問企業(yè)應(yīng)用和數(shù)據(jù)。由于很多云服務(wù)都可以用用戶名-口令組合訪問，攻擊者也將更多精力放在了這些服務(wù)和虛擬專用網(wǎng)網(wǎng)關(guān)上。

阿卡邁認(rèn)為，2020年上半年泄露的數(shù)百萬新鮮用戶名和口令，是該年下半年憑證填充攻擊數(shù)量猛增的原因之一。

阿卡邁研究人員在5月19日發(fā)布的報告中寫道：“一旦這些被盜憑證在網(wǎng)上流傳，攻擊者就會分門別類地對互聯(lián)網(wǎng)上的品牌門戶測試其有效性，包括一些金融機(jī)構(gòu)。犯罪經(jīng)濟(jì)中憑證濫用暴漲的瘋狂和混亂背后是有其道理的。”

盡管阿卡邁阻止的Web應(yīng)用攻擊在數(shù)量上遠(yuǎn)少于憑證填充攻擊，但此類攻擊更加危險。SQL注入(SQLi)攻擊針對支撐網(wǎng)站的數(shù)據(jù)庫，占據(jù)所有Web應(yīng)用攻擊的三分之二強(qiáng)，本地文件包含(LFI)攻擊位居第二，但占比遠(yuǎn)少于SQL注入攻擊，約占Web應(yīng)用攻擊總數(shù)的22%，跨站腳本攻擊則位列第三，占比6%。

最新版阿卡邁報告還揭示了對金融服務(wù)公司的攻擊情況。報告發(fā)現(xiàn)，與去年同期相比，針對金融行業(yè)的憑證填充攻擊嘗試次數(shù)增長了45%，2020年達(dá)到了35億次之多。不同于總體攻擊趨勢，針對金融服務(wù)公司的Web攻擊中，本地文件包含攻擊占據(jù)了最大份額，占比高達(dá)52%。SQL注入攻擊占三分之一，跨站腳本攻擊則占9%。

報告提到了名為Kr3pto的網(wǎng)絡(luò)犯罪團(tuán)伙，稱該團(tuán)伙曾用網(wǎng)絡(luò)釣魚工具包對位于英國的金融公司品牌下手。

阿卡邁的報告中寫道：“Kr3pto網(wǎng)絡(luò)釣魚工具包針對受害者的用戶名和口令，以及所使用的任意第二身份驗(yàn)證方法，比如安全問題與答案、短信PIN碼等。工具包所用工作流無縫銜接，且動態(tài)適應(yīng)受害者在其銀行的登錄體驗(yàn)。”

報告中分析的另一個網(wǎng)絡(luò)釣魚工具包名為Ex-Robotos，針對使用Dropbox、Office 365、OneDrive和SharePoint等產(chǎn)品的公司和員工。該工具包是網(wǎng)絡(luò)釣魚工具包開發(fā)商的最新產(chǎn)品，可將其他犯罪工具整合到一個“犯罪軟件即服務(wù)”產(chǎn)品中。

短信網(wǎng)絡(luò)釣魚也成為了主要威脅。由于用戶對短信中的URL缺乏戒心(約98%的短信都會被打開)，用戶更容易被短信中的鏈接釣上鉤。

Ragan稱：“網(wǎng)絡(luò)釣魚依然是個數(shù)字游戲：拋出盡可能多的誘餌，看看你能得到什么。但越來越多的專業(yè)網(wǎng)釣者，尤其是運(yùn)營網(wǎng)絡(luò)釣魚即服務(wù)的那些，他們現(xiàn)在幾乎只做有針對性的誘餌或魚叉式網(wǎng)絡(luò)釣魚，因?yàn)樗麄冇袛?shù)據(jù)來支撐這種針對性攻擊。”

阿卡邁建議使用基于時間的一次性口令(OTP)進(jìn)行多因素身份驗(yàn)證(MFA)，如Google Authenticator或Duo雙因素身份驗(yàn)證，作為防止憑證填充和網(wǎng)絡(luò)釣魚攻擊成功的最佳方法。此外，通用第二因素(U2F)方法，如YubiKey等，允許大多數(shù)應(yīng)用采用這種更健壯的身份驗(yàn)證形式。

阿卡邁新一期互聯(lián)網(wǎng)現(xiàn)狀報告《金融網(wǎng)絡(luò)釣魚》：

https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/soti-security-phishing-for-finance-report-2021.pdf