凭据填充 101

CredentialStyšng101 这些攻击是如何工作的，为什么它们持续存在，以及 你能做些什么来阻止他们。 Introduction 什么是CredentialStuffing？ 是什么让凭证Stuffing成为可能？ 凭证Stuffing攻击的解剖 凭证Stuffing的影响 预防措施 Conclusion SpyCloud的差异 的目标凭证stuffingis获得未经授权的 访问尽可能多的用户帐户作为可能，接管 这些账户，以及欺诈行为 活动。 Introduction 在2020年初，攻击者入侵了超过16万个任天堂账户。大约在同一时间，大约500,000的Zoom用户的登录凭据在暗网上共享。Activision, TheNorthFace和万豪国际酒店成为头条新闻，因为成千上万的客户的数据落在不良行为者手中。对于万豪来说，这520万的曝光账户特别痛苦，因为该公司已经从2018年的违规行为中恢复过来超过3亿个客户账户被泄露。 在大流行期间，有这么多人被困在家里，受欢迎的消费者服务 都面临着高需求。他们不可避免地会面临越来越多的安全威胁，因为嗯。在许多情况下，每个组织都很快坚持认为他们的系统不是 但用户的帐户，有时他们的财务细节，是。 而不是试图闯入企业基础设施，攻击者采取了更简单的途径。肆无忌惮的密码重用使他们能够直接登录成千上万的用户 帐户，由自动犯罪软件辅助。就任天堂而言，SpyCloud研究人员发现了一个为帮助罪犯而定制的帐户检查器工具的源代码 针对任天堂登录测试被盗凭据，使攻击者能够访问客户帐户和利用保存的付款方式购买游戏内货币。 这些攻击背后的犯罪软件可能非常复杂，但是攻击方法- 被称为“凭证填充”-令人沮丧地无处不在。也许更令人沮丧的是防止这种攻击是谁的工作的问题。 什么是CredentialStušng？ 凭证填充是指针对目标测试大量被盗凭证的行为 应用程序或Web界面。使用因数据泄露而产生的受损凭据 建立“字典”或“组合列表”。这些凭证在犯罪分子中进行交易和出售网络，然后用于凭证填充操作。实际上，只要公司保持 被破坏，名单越来越好。 凭证填充攻击的关键组成部分之一，组合列表是以前的列表违反了加载到自动蛮力工具以测试凭据的凭据 这些工具可以检查常见的密码变化也是。 随着每一起网络安全事件的发生，受害者组织都会做出承诺 找出罪魁祸首并确保消费者保护。这个策略是有缺陷的，因为我们， 消费者，是问题的重要组成部分。分析我们所有的违规数据，SpyCloud发现 在两次或更多次泄露的用户中，57%的人在多个漏洞中重复使用相同的密码(或小变体) 帐户。因此，攻击者很容易使用组合列表来解锁许多帐户。 黑暗网络上大量的被盗凭证与自动化相结合，使这些攻击具有可扩展性和 相当简单。使用现成的犯罪软件，即使是简单的网络犯罪分子也可以提供（或“东西”）数百万一次将凭据泄露到任意数量网站的登录页面中。 凭证填充的目标是获得对尽可能多的用户帐户的未经授权的访问，接管这些帐户，和实施欺诈活动。账户接管(ATO)使攻击者能够从银行账户中提取资金， 购买，窃取身份或结合真实和虚假信息来创建新的“合成”身份。2020SolarWinds供应链攻击提供了一个最坏的情况:攻击者升级用户权限以在组织的网络中站稳脚跟 并进行了严重，长期和昂贵的攻击。 在SpyCloud的2021年度凭证曝光报告中，我们强调了企业区分是否由于违反内部资源或通过凭据填充，已访问了消费者帐户。 123456 111111 足球qwertyuiop超人123qwe 跳跳虎 homas 乔治 zxcvbnf奶酪*#k切尔西 奥斯汀 马丁1234qwer安东尼 互联网 理查德鸡肉花生三星阿森纳怪物 暗黑破坏神初中 牛仔史酷比 cheste 红袜白兰地哈尔斯大 密码 1234567 猴子 123321 1qaz2wsx 杀手猎人阳光曲棍球混蛋 555555 玛吉阿曼达 biteme 12345678 龙 letmein qwerty123123 696969 123456789 棒球阴影 护林员计算机 11111111 1夏5季9753 马修 泰勒秘密 锤子试验 丹尼尔 米歇尔 131313 爱 雷声 踏板车希萨瑟曼 测试100,000个密码 a访a问aaa 矩阵 f*#ker 银 bailey jessicFreedo生姜 阿什利扬基Willia梅林222222 sgpfahrjkym摩贾根斯汀andrea 老鹰 gers 史努比 欢迎烟熏梅利莎黄色 qwer1234123654 伦敦 米勒永远尼基塔坏男塔孩莎 花DTN 进入88 n 特立独行 猎鹰Steelers婴儿潮xxxxxx康柏 保时捷网球波士顿约翰尼骑士 iwantubigdaddy雷切尔 茉莉 捕苏鱼菲 万qa宝zx路sw吹墨我菲 ngels q1w2e3： phoeni 牛仔约瑟夫布波 123123 紫色湖人 999999 ncc1701 f*#koff q1w2e3r4：333333 爱德华 挡泥板杀冬手季 兔古子柯科拉 c甘h道ri夫s8675309 麦迪逊 密码 巴尼 护林员向导史蒂文王子 casper asdfasdf 苹果 劳伦 qwaszx 咖啡 雅马哈奥利弗请 黄油塔克获胜者 z6z5z4z3z2z1詹安姆吉斯拉丰田 老虎 covid1 159357 库珀 55555 迈克乔纳森 违规是由于公司未能保护其资产和 野马7777777 约旦 詹妮弗 trustno1 足球 哈雷 ibluosvteyrou f*#kme 2s0t0a0rwa 通常具有监管意义，而凭证stuffing是通常是消费者密码卫生不良的结果。 但是组织为用户承担了多少责任密码选择？后果包括品牌损害和 失去客户信任，更多的企业正在采取主动安全立场-当客户的凭据在 第三方违规（不是他们自己的网站，而是另一个网站）因为密码在帐户中经常重复使用。 违反一项服务可能会对其他业务产生连锁影响，特别是在凭证填充方面。 是什么让凭证Stuffing成为可能？ 密码重复使用 平均而言，人们预计会跟踪周围的 70-100密码。对SpyCloud数据库的分析揭示了一个有史以来的 57％的密码重用率-2020年收集的漏洞的密码重用率为60％。问题只会变得更糟。 巨大的突破 2005年，第一次数据泄露超过100万条记录，这在当时令人震惊。他们不断得到更大；八年后，雅虎数据泄露暴露了惊人的30亿条记录。今天， 常见的漏洞导致数以千万计的暴露凭证。这些用户名+密码 组合构成组合列表的基础，组合列表是凭证填充攻击的关键组成部分。 自动化+低准入门槛 凭证填充是数字游戏-并且是有利可图的。由于自动化，即使是小时间 criminal可以以不到200美元的价格测试100,000个证书。典型的成功率很低，介于1-2之间百分比，这意味着攻击者可以从一次攻击中获得多达4,000个有效帐户 100k凭证对。 检测迟缓 组织识别和包含漏洞的平均时间为280天。这为攻击者提供了滥用被盗凭证的大窗口。 凭证Stuffing攻击的解剖 犯罪分子并不会在多个站点中手动输入成千上万的凭据。此外，Web服务 havelimitsinplacetoblockanyfloodofactivitycomingfromasingleIPaddress.Ifcredentialstuingattackshadtobedone 手动，它们不会是可行的或有利可图的，所以自动化是关键。 自动凭证填充工具可在恶意平台上以相对较低的成本购买。而不是编写 自动化脚本本身，许多攻击者使用所谓的“帐户检查器”。这些工具使攻击者很容易馈送在大量被盗用户名和密码对列表中，并在目标站点上进行测试。 COMBOLISSTSCRIMINAL 工具 PROXY 服务器 信用检验 目标 SmartGenPlus Shopabout tech.pro <unk> 犯罪的典型凭证填充场景是这样的： 购买组合列表 过去，熟练的攻击者不得不闯入站点以窃取凭据。但是今天，如此多的有效凭据已经在暗网上可用，即使是不熟练的攻击者也可以轻松获得它们。 犯罪分子可以购买组合列表，该组合列表将来自地下的多次违规数据组合在一起市场只有2美元。 伪装起来 要取得成功，凭据填充攻击必须像目标上的常规网络流量一样出现 网站.数以百万计的登录请求突然来自一个单一的IP地址在短时间内 会向防御者发出危险信号。为了避免这种情况，攻击者可以利用IP代理服务的帮助使用机器人在数千个IP地址上分发登录请求的提供商，从而帮助隐藏 可疑的攻击者活动。 加载列表和分析帐户 公共资源使犯罪分子能够快速下载将组合列表与热门列表进行比较的工具商业网站。罪犯会将组合列表加载到工具中，并可以简单地选择某些网站 通过检查每个站点的框，或者可以一次对数百个站点运行该工具。犯罪分子可以甚至自定义配置凭证填充工具，以查找具有某些现金，积分， 和/或虚拟货币。当有匹配时，他们会看到受损后的账户余额帐户，并提前确定他们是否可以访问目标帐户。 发射攻击 攻击者的目标是发现所有成功的登录请求。当工具通过提供的 凭据时，攻击者会收到有效凭据的通知。从技术上讲，攻击本身在攻击者收到这些结果。但是仅仅获取有效凭据列表并不是攻击者的目的游戏。 开始ATO 拥有目标站点的经过验证的凭据列表，攻击者将转向货币化。他们如何完成这取决于他们的目标和被攻击的网站类型。目标是耗尽账户 他们的价值，所以他们可能会通过欺诈性的银行交易窃取资金，进行大量购买在电子商务网站上，从信用卡中垫付现金，或清算礼品或奖励卡以换取现金或产品。更复杂的攻击者使用合法帐户来更深入地访问受害者的 网络，升级特权以执行更险恶的行为，如关闭基础设施或窃取公司信息或商业秘密。 凭证的影响 根据联邦调查局去年发布的私营行业通知，凭证填充占针对美国的安全事件的41％ 2017年至2020年的金融部门。 不包括与欺诈相关的成本，凭证填充成本受影响企业平均每年600万美元。 无论您所在的行业如何，凭证填充都是机会均等的犯罪者，其含义非常真实。在2020年，中期- 美国大型金融机构将大量使用各种凭据对的登录尝试与超过350万美元的欺诈性联系起来交易。即使没有实际欺诈，凭证填充仍然会产生影响。从2019年6月到1月 2020年，一家总部位于纽约的投资公司遭到了针对其移动API的凭证填充攻击，导致系统中断阻止了近200万美元的收入。 撇开欺诈损失不谈，这些报告没有说明可能导致的法律成本和监管罚款，更不用说 品牌声誉和客户信任的损失。在CATechnologies的一项调查中，近50%的消费者表示他们停止使用由于数据泄露而导致的公司服务-如今，数据泄露和凭证填充攻击被认为是 几乎是一样的。 预防措施 60% 重复使用的用户至少一个 跨密码 不止一个帐户根据 到SpyCloud的2021年年度凭据 曝光报告 就像网络钓鱼或下载的恶意软件一样，凭据填充依赖于每个组织-人。任何针对凭证填充的预防措施都必须从 人和他们的密码。 加强密码 使用NIST实施强密码策略准则。特别是，禁止常用密码，包括已知的密码对员工来说，考虑 实现企业级密码 经理，并鼓励他们利用它来个人账户。 实施MFA 为尽可能多的人实施多因素身份验证(MFA) 尽可能面向公众的网站，以及内部资源 处理敏感和机密数据。虽然它不是万无一失保护(攻击者不断寻求新技术来挫败 防御)它提供了一个可能不值得努力的障碍击败希望从低努力凭证中获利的罪犯 填充攻击。 自动预防 自动化是关键，可无缝检查登录名以进行妥协幕后。即使罪犯能够找到暴露的 来自在其他网站上工作的违规密码，它们不会能够使用它们来访问您的-如果您主动强迫为在第三- 方违反。有办法在没有阻碍合法用户活动。 Conclusion 攻击者将利用“低挂水果”-最低的努力，这已经不