年底購物季開打,關於購物季節的安全建議,本部落格已經提過很多次,今天來認識憑證填充攻擊與如何保護你的帳密安全。
根據Okta的「安全身份狀況報告(State of Secure Identity Report)」,零售平台受憑證填充攻擊的影響最大,比率達 80%。還在每個購物平台使用相同的帳號和密碼嗎?內文分享一則國內知名購物網站盜刷會員信用卡的案例。
機器人跟你一樣喜歡購物?報告:有三分之一登入嘗試是憑證填充攻擊,其中零售平台比率達 80%
Okta指出:有三分之一的登入嘗試是憑證填充(Credential Stuffing)攻擊
身份和存取管理公司Okta的報告指出,僅在2022年前三個月就記錄到超過100億次的憑證填充(Credential Stuffing)攻擊。這佔了所有登入嘗試網路流量的34%。
◉ 什麼是憑證填充(Credential Stuffing)攻擊?
憑證填充攻擊,也被稱之為撞庫攻擊,是一項利用殭屍網路(botnet)以自動化方式不斷使用偷來的登入憑證試圖登入網路服務的一種攻擊技巧,它會利用自動化軟體加上被盜的帳密,將這些憑證“填充”到各個網站的登入頁面,直到找到匹配的登錄組合。
這項手法使用大量被盜外流的電子郵件地址和密碼,再搭配自動化腳本,以疲勞轟炸的方式不斷試圖登入網路服務,直到某一組帳號密碼成功匹配為止。
這也就是為什麼資安專家總是苦口婆心地要大家不要重複使用相同帳號密碼,因為一旦資料外流,就有可能一次性地被駭走多個網站身分。
國中畢業的24歲嫌犯,自學憑證填充攻擊,盜刷購物台會員23萬元
刑事警察局在2021 年6月底偵破一起知名購物台會員遭盜刷事件,只有國中畢業學歷的24歲嫌犯,從網路上自學憑證填充攻擊,非法登入會員帳號,造成5名會員損失23萬元。
嫌犯利用許多人將同一組帳號密碼於不同網站服務的習慣,入侵被害用戶網購平臺帳戶,並藉由暴力破解信用卡背面檢查碼。該嫌犯其實也曾經針對國內多家知名網購平臺進行憑證填充(Credential Stuffing)攻擊/撞庫攻擊。
每當非法登入成功,即變更受害者的聯絡電子信箱,使被盜刷者當下,無法收到電商寄出的通知信。
提醒用戶,不要再將信用卡號儲存至電商網站,可降低信用卡號個資外流風險。
零售平台受憑證填充攻擊比率達 80%
根據Okta的「安全身份狀況報告(State of Secure Identity Report)」,零售平台受憑證填充攻擊的影響最大:雖然大多數平台遇到的憑證填充攻擊平均不到登入嘗試的10%,但在零售業的比率卻達到80%。不僅如此,金融、能源和軟體產業也都出現相當高的攻擊比率。
這些攻擊凸顯出這些平台採取更強大網路安全防護措施的必要性,更別說一般消費者必須要使用多因子身份驗證(MFA)和更強的密碼了。
防範憑證填充攻擊的方法
- 養成良好的密碼習慣。避免在不同的網路帳號上使用相同的電子郵件與密碼組合,此外也要經常更換密碼。
- 盡可能啟用雙重認證 (2FA),畢竟,多一層保護總是多一分安全保障。
趨勢科技密碼管理 , 輕鬆管理及保護密碼,防帳號被盜
趨勢科技的密碼管理通讓你不必擔心憑證填充(Credential Stuffing)這類攻擊。這套出色的工具可以在任何平台、任何裝置和瀏覽器上快速輕鬆地保護及管理你的密碼。
密碼管理通輕鬆為您保護並記憶管理各種複雜的網站帳號密碼,並可支援各種作業平台,讓您不僅能輕鬆管理密碼,並能在使用網路購物或網路銀行等服務時安心線上交易 ▶ 立即免費下載
◼部分原文出處:Okta: Credential Stuffing Accounts for One-Third of Log-in Attempts
✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚
PC-cillin 讓你的『指指點點』可以開心又安心點!
