據(jù)Bleeping Computer網(wǎng)站消息，一名叫查爾斯·奧努斯（Charles Onus）的尼日利亞人侵入一家人力資源公司的用戶賬戶并竊取工資存款，此案已在紐約南區(qū)地方法院接受審理。

根據(jù)起訴書和在法庭上的陳述，奧努斯從2017年7月開始，陸續(xù)將這家公司的用戶工資竊取并轉(zhuǎn)移到了自己的銀行賬戶中，直到被捕時，已累計入侵了5500個用戶賬戶，總共轉(zhuǎn)移了80萬美元。

奧努斯使用了簡單而又粗暴的方式——撞庫來竊取賬戶。通過憑證填充，攻擊者使用從以前的數(shù)據(jù)泄露中獲取的用戶名和密碼組合來登錄賬戶。該方法不同于暴力破解或猜測密碼，因為它不涉及破解，而是依賴于受害者往往在多個平臺上重復(fù)使用相同的憑證。

奧努斯已于2021年4月14日在機(jī)場被捕，并承認(rèn)了相關(guān)罪行，最終的裁決將在2022 年 5 月 12 日公布。

其實(shí)，阻止撞庫攻擊的一個簡單方法是使用多因素認(rèn)證（MFA），除了用戶名和密碼，還需要一個單獨(dú)的驗證碼，這類驗證碼通常通過短信或使用身份驗證應(yīng)用程序發(fā)送給用戶，因此即使攻擊者的登錄名和密碼被盜，如果沒有 MFA 一次性密碼也無法登錄。

除此以外，用戶也盡量避免在多個平臺上使用相同或過于相似的賬戶密碼，也不要使用過于簡單的密碼，比如根據(jù)Nord Security發(fā)布的《2021世界密碼排行》，123456依然是使用人數(shù)最多的密碼，這類簡單且連續(xù)的密碼往往給網(wǎng)絡(luò)犯罪分子提供了可乘之機(jī)。

參考來源：https://www.bleepingcomputer.com/news/security/nigerian-hacker-pleads-guilty-to-stealing-payroll-deposits/