根據(jù)紐約州的一項(xiàng)調(diào)查顯示，在針對(duì)17家不同公司的一系列憑證篡改攻擊中，已經(jīng)有超過110萬個(gè)在線賬戶遭到了破壞。

憑證填充攻擊，如去年對(duì)Spotify的攻擊，攻擊者使用自動(dòng)腳本對(duì)在線賬戶進(jìn)行了大量的用戶名和密碼組合的嘗試，并試圖接管它們。一旦進(jìn)入到賬戶內(nèi)，網(wǎng)絡(luò)犯罪分子就可以利用被攻擊的賬戶達(dá)到各種目的。并以此作為入口，深入到受害者的機(jī)器和網(wǎng)絡(luò)，提取出賬戶的敏感信息。如果是電子郵件賬戶，他們還可能冒充受害者來攻擊他人。

由于用戶使用了重復(fù)的密碼和使用一些常見的容易猜解的密碼，如 "123456"，這種攻擊往往會(huì)成功。它們給企業(yè)造成的損失很高，Ponemon研究所的 "憑證填充攻擊成本" 報(bào)告發(fā)現(xiàn)，企業(yè)平均每年會(huì)因憑證填充攻擊而損失600萬美元，這些都表現(xiàn)為應(yīng)用程序停機(jī)、客戶流失和IT成本增加。

安全意識(shí)倡導(dǎo)者James McQuiggan通過電子郵件說："由于在野有超過84億個(gè)密碼，其中有超過35億個(gè)密碼與實(shí)際的電子郵件地址緊密相關(guān)，這為網(wǎng)絡(luò)犯罪分子提供了一個(gè)很方便的攻擊載體，來針對(duì)各種在線網(wǎng)站的客戶賬戶進(jìn)行利用攻擊。這些類型的攻擊可以獲得用戶的個(gè)人信息，他們的稅務(wù)信息，當(dāng)然還有他們相關(guān)的直系親屬的社會(huì)安全號(hào)碼。此外，網(wǎng)絡(luò)犯罪分子認(rèn)識(shí)到，許多組織或用戶不會(huì)使用其他額外的安全措施，而且還會(huì)在各種網(wǎng)站賬戶中使用相同的密碼"。

為了研究這個(gè)問題的嚴(yán)重程度，總檢察長辦公室開始對(duì)地下網(wǎng)絡(luò)犯罪論壇中專門進(jìn)行憑證填充攻擊的攻擊活動(dòng)進(jìn)行了長達(dá)數(shù)月的審查。

根據(jù)周三的媒體聲明，總檢察長辦公室的網(wǎng)站出現(xiàn)了數(shù)以千計(jì)的帖子，其中包含了攻擊者在憑證填充攻擊中測(cè)試過的客戶登錄憑證，并確認(rèn)這些憑證可用于訪問網(wǎng)站或應(yīng)用程序上的賬戶。

該辦公室補(bǔ)充說，受影響的17家機(jī)構(gòu)是知名的在線零售商、連鎖餐廳和食品配送服務(wù)公司。

OAG提醒相關(guān)公司，盡早通知消費(fèi)者重新設(shè)置密碼。這些公司自己的內(nèi)部調(diào)查顯示，大多數(shù)攻擊以前都沒有被發(fā)現(xiàn)，因此幾乎所有的公司都實(shí)施或計(jì)劃實(shí)施其他的保障措施，包括：機(jī)器人檢測(cè)服務(wù)、多因素認(rèn)證和無密碼認(rèn)證。

紐約總檢察長Letitia James說："現(xiàn)在，有超過150億個(gè)被盜的證書在互聯(lián)網(wǎng)上流傳，因此用戶的個(gè)人信息一直處于危險(xiǎn)之中。企業(yè)有責(zé)任采取適當(dāng)?shù)拇胧﹣肀Ｗo(hù)其客戶的在線賬戶的安全性，我們必須盡一切努力來保護(hù)消費(fèi)者的個(gè)人信息和他們的隱私"。

研究人員補(bǔ)充說，用戶也應(yīng)該提防后續(xù)的網(wǎng)絡(luò)攻擊。

安全專家Ron Bradley通過電子郵件說："像今天的許多人一樣，我有一個(gè)社區(qū)專用應(yīng)用程序，它會(huì)提醒我在社區(qū)里發(fā)生的事情。經(jīng)常會(huì)有人發(fā)布威脅者檢查汽車和家庭門鎖的視頻......事實(shí)上，互聯(lián)網(wǎng)上有數(shù)十億個(gè)被泄露的憑證，很容易獲得。威脅者將不斷利用這些資源，試圖破壞數(shù)字資產(chǎn)"。

如何防范憑證填充攻擊

Bradley提供了一些額外的建議。在這種情況下，身份和訪問管理(IAM)的存在是無比重要的。企業(yè)必須要對(duì)數(shù)據(jù)實(shí)施多層保護(hù)，特別是在訪問敏感數(shù)據(jù)的時(shí)候。

他說，以下的內(nèi)容是理想的保護(hù)方法：

• 使用強(qiáng)密碼是很好的，但是使用口令會(huì)更好。
• 應(yīng)該使用多因素認(rèn)證進(jìn)行特權(quán)訪問。
• 控制面向互聯(lián)網(wǎng)的應(yīng)用程序的登錄次數(shù)，防止進(jìn)行密碼爆破的嘗試。
• 必須定期部署和驗(yàn)證檢測(cè)響應(yīng)機(jī)制。

安全人員總結(jié)道："這些只是保護(hù)你的數(shù)據(jù)所需的一些基本的控制措施，重要的是要記住你的數(shù)字資產(chǎn)邊界就像擠壓氣球一樣。你可以收緊一邊，但另一邊就會(huì)膨脹。安全人員最大的挑戰(zhàn)就在于如何找到這個(gè)中間地帶。當(dāng)?shù)谌絽⑴c進(jìn)來時(shí)，這項(xiàng)任務(wù)就會(huì)變得越來越困難，因?yàn)槟惚仨氁_保他們遵循的控制措施不低于你所指定的控制措施。"

每個(gè)人都應(yīng)該停止使用那些已被泄露的舊密碼，查看一個(gè)人的賬戶是否可能被攻擊的最簡單方法是查看HaveIBeenPwned.com網(wǎng)站，該網(wǎng)站追蹤了過去15年中出現(xiàn)過數(shù)據(jù)泄露的電子郵件地址和電話號(hào)碼。

本文翻譯自：https://threatpost.com/compromised-accounts-17-major-companies/177417/