Gerhard Giese

為了達(dá)到全面保護(hù)的目的，金融服務(wù)機(jī)構(gòu)應(yīng)重新審視應(yīng)用程序和網(wǎng)站登錄頁面、使用多重身份驗證與其他保護(hù)措施相結(jié)合的多層深度防御安全架構(gòu)，并在多層安全解決方案中加入基于網(wǎng)絡(luò)的爬蟲管理解決方案。

當(dāng)前，全球范圍內(nèi)金融服務(wù)企業(yè)遭受撞庫攻擊的頻率令人驚訝。2017年12月至2019年11月間，Akamai共觀察到854億2207萬余次撞庫攻擊（見圖1）。而在針對金融服務(wù)業(yè)發(fā)起的撞庫攻擊中，高達(dá)75%的攻擊直接以API為目標(biāo)。不幸的是，中國是API惡意登錄的三大“重災(zāi)區(qū)”之一。網(wǎng)絡(luò)犯罪分子們正在使用現(xiàn)成的自動化工具、僵尸網(wǎng)絡(luò)和受感染的賬戶憑據(jù)發(fā)起日益精密且隱秘的攻擊。

為此，許多企業(yè)正在使用多重身份驗證（MFA）增強(qiáng)訪問安全并抵御憑據(jù)盜竊。多重身份驗證雖然有用且必不可少，但不一定能夠阻止撞庫攻擊。如果精明的攻擊者發(fā)現(xiàn)了正確的用戶ID和密碼組合，那么他們必能找到其他方法來訪問賬戶并實施犯罪。

許多金融服務(wù)企業(yè)正在采取其他措施來抵御撞庫攻擊，比如使用高級爬蟲管理解決方案在犯罪分子獲得應(yīng)用或關(guān)鍵系統(tǒng)訪問權(quán)限前發(fā)現(xiàn)并阻止他們。本文將介紹撞庫的原理并提供一些抵御撞庫攻擊的建議。

何為撞庫攻擊？

撞庫是一種常見的網(wǎng)絡(luò)攻擊方式，犯罪分子會使用自動化系統(tǒng)和被破解的登錄憑據(jù)訪問在線賬戶。

撞庫的一個基本前提是，受害者常為多個在線賬戶設(shè)置相同的用戶ID和密碼組合。因此，如果網(wǎng)絡(luò)犯罪分子掌握了網(wǎng)絡(luò)用戶的電子商務(wù)網(wǎng)站或社交媒體應(yīng)用的用戶ID和密碼，并且碰巧該用戶的網(wǎng)上銀行業(yè)務(wù)也使用了相同的組合，那么他們就可以竊取該用戶儲蓄賬戶中的存款。犯罪分子可以使用開源自動化工具對成千上萬個網(wǎng)站進(jìn)行成千上萬次憑據(jù)盜竊嘗試，因為他們知道最終成功的可能性非常大。

犯罪分子可以通過猖獗的地下經(jīng)濟(jì)購買、出售和利用已被破解的賬戶憑據(jù)。暗網(wǎng)上銷售的被盜憑據(jù)達(dá)到數(shù)十億個。在中國，2020年4月，一條涉及國內(nèi)多家銀行數(shù)百萬條客戶數(shù)據(jù)資料在暗網(wǎng)被標(biāo)價兜售的消息，一石激起千層浪。雖然該消息最終被辟謠，但客戶數(shù)據(jù)卻真真實實地在暗網(wǎng)上被出售，加強(qiáng)個人金融信息保護(hù)的呼聲也越發(fā)高漲。

事實上，Sentry MBA或SNIPR等免費自動化工具讓犯罪分子能更加輕松地嘗試登錄信息并驗證被盜憑據(jù)。低成本的“僵尸網(wǎng)絡(luò)即服務(wù)”平臺讓犯罪分子能夠大規(guī)模地發(fā)起撞庫活動。

正如文章一開始所提到的，金融服務(wù)機(jī)構(gòu)經(jīng)常成為撞庫攻擊的目標(biāo)。銀行賬戶、信用卡賬戶、經(jīng)濟(jì)賬戶和支付應(yīng)用都是犯罪分子青睞的對象。根據(jù)Akamai《2019年互聯(lián)網(wǎng)安全狀況報告：針對金融服務(wù)業(yè)的攻擊經(jīng)濟(jì)》，所有撞庫攻擊中約有6%針對的是金融服務(wù)企業(yè)（雖然乍看之下，這個比例似乎較低，但要考慮與其他行業(yè)相比，金融服務(wù)業(yè)遭受一次攻擊所產(chǎn)生的潛在總成本）。在一般長達(dá)18個月的觀察期中，Akamai共發(fā)現(xiàn)超過35億次針對金融機(jī)構(gòu)的惡意登錄嘗試！

網(wǎng)絡(luò)犯罪分子還會利用撞庫非法訪問API。根據(jù)Akamai《2020年互聯(lián)網(wǎng)安全狀況報告：金融服務(wù)—惡意接管嘗試》，攻擊者常常將提供保密數(shù)據(jù)和服務(wù)訪問的REST和SOAP端點作為攻擊目標(biāo)，然后利用這些數(shù)據(jù)和服務(wù)實施金融犯罪。

抵御撞庫攻擊

撞庫攻擊可能會損害金融公司的聲譽并導(dǎo)致監(jiān)管處罰、法律成本和客戶流失，還會通過使用偽造的爬蟲流量令基礎(chǔ)設(shè)施癱瘓并破壞金融公司網(wǎng)站和網(wǎng)絡(luò)應(yīng)用的性能。更糟糕的是，為了避免被發(fā)現(xiàn)，攻擊者一直在改良自己的技術(shù)，包括將登錄嘗試分配到數(shù)千個爬蟲、使用代理服務(wù)器、逐漸分散登錄嘗試等。

以下是幫助金融服務(wù)機(jī)構(gòu)抵御撞庫和降低風(fēng)險的三條建議。

建議一：重新審視應(yīng)用程序和網(wǎng)站登錄頁面

許多應(yīng)用程序和網(wǎng)站設(shè)計者會在不經(jīng)意間確認(rèn)用戶ID或其他可被用于發(fā)起攻擊的信息，這在無意中助了犯罪分子“一臂之力”。比如網(wǎng)絡(luò)犯罪分子可能會嘗試使用未經(jīng)驗證的用戶ID和密碼登錄賬戶。如果Web應(yīng)用程序返回錯誤消息、顯示密碼不正確，那么犯罪分子就可以認(rèn)為用戶ID是正確的，然后使用暴力密碼破解方法或其他機(jī)制獲得該賬戶的訪問權(quán)。金融服務(wù)機(jī)構(gòu)應(yīng)重新審視自己的身份驗證流程和登錄界面，確保自己沒有在“助紂為虐”。

建議二：強(qiáng)化多重身份驗證解決方案

即便網(wǎng)絡(luò)犯罪分子獲得了有效的登錄憑據(jù)，多重身份驗證解決方案也能防止金融服務(wù)應(yīng)用程序被非法訪問。雖然多重身份驗證效果顯著，但它有時也無法阻止撞庫，甚至?xí)m得其反，為攻擊者提供幫助。

許多多重身份驗證程序都要求用戶先輸入用戶ID和密碼組合，然后再根據(jù)提示輸入其他憑證，例如通過電子郵件或短信發(fā)送的驗證碼。犯罪分子可以利用多重身份驗證對用戶ID和密碼組合進(jìn)行驗證。在確認(rèn)用戶ID和密碼后，犯罪分子可以通過魚叉式釣魚攻擊直接瞄準(zhǔn)受害者、在暗網(wǎng)上出售經(jīng)過驗證的憑據(jù)或嘗試其他惡意行為。

為了達(dá)到全面保護(hù)的目的，金融服務(wù)機(jī)構(gòu)應(yīng)使用多重身份驗證與其他保護(hù)措施相結(jié)合的多層深度防御安全架構(gòu)。另外，還必須防止攻擊者通過查詢網(wǎng)絡(luò)服務(wù)器響應(yīng)發(fā)現(xiàn)有效的憑據(jù)。

建議三：部署爬蟲管理解決方案以獲得超強(qiáng)保護(hù)

為了獲得針對撞庫的超強(qiáng)保護(hù)，金融服務(wù)機(jī)構(gòu)應(yīng)在多層安全解決方案中加入基于網(wǎng)絡(luò)的爬蟲管理解決方案。犯罪分子會通過分布式僵尸網(wǎng)絡(luò)執(zhí)行復(fù)雜的撞庫攻擊。爬蟲管理解決方案在網(wǎng)絡(luò)邊緣檢測和控制非法爬蟲流量，在攻擊者進(jìn)入金融服務(wù)機(jī)構(gòu)應(yīng)用程序或使基礎(chǔ)設(shè)施癱瘓之前阻止它們。頂尖的爬蟲管理平臺能夠使用人工智能和機(jī)器學(xué)習(xí)來檢測和阻止高級撞庫攻擊。

為了盜取金融服務(wù)賬戶、竊取保密數(shù)據(jù)和實施交易欺詐，網(wǎng)絡(luò)犯罪分子正在發(fā)起精密復(fù)雜的撞庫攻擊。金融服務(wù)機(jī)構(gòu)的應(yīng)對之策包括重新審視其身份驗證流程以及在多層安全架構(gòu)中加入強(qiáng)大的爬蟲管理平臺。

Akamai Bot Manager（Akamai爬蟲管理器）等領(lǐng)先的爬蟲管理解決方案能夠在復(fù)雜的撞庫爬蟲到達(dá)應(yīng)用程序或數(shù)據(jù)中心之前，發(fā)現(xiàn)并阻止它們。Akamai解決方案運用機(jī)器學(xué)習(xí)和行為分析來智能識別和化解撞庫攻擊，而且不會影響合法的爬蟲流量。Akamai Bot Manager基于Akamai智能邊緣平臺，覆蓋全球約32.5萬臺服務(wù)器，因此具備全球級的可擴(kuò)展性與性能。該解決方案每小時管理超過5.6億個爬蟲請求，對不斷進(jìn)化的爬蟲環(huán)境擁有無與倫比的可視性。