作者：Akamai高級技術(shù)顧問 李岳霖

作為網(wǎng)購用戶,你可曾遇到過這些奇怪的情況?當(dāng)?shù)卿涀约旱碾娚藤~戶時,訂單列表里出現(xiàn)了一些并不知情的訂單;或者在自己的電子郵箱里出現(xiàn)了未曾操作過的確認(rèn)郵件,郵件顯示你在某一平臺上的積分轉(zhuǎn)入了其他賬戶。如果你曾遇到過相似的狀況,那么很遺憾,你可能遭遇到了賬戶接管(ATO)攻擊。

ATO攻擊又稱賬戶接管攻擊或身份測試攻擊,即攻擊者通過測試數(shù)千個被盜憑據(jù)的有效性來破解賬戶,然后利用破解成功的賬戶進(jìn)行諸如盜竊、欺詐和數(shù)據(jù)泄露之類的非法活動。撞庫攻擊成功后的結(jié)果其實就是賬戶接管。自疫情爆發(fā)以來,ATO攻擊在互聯(lián)網(wǎng)上持續(xù)升溫。Forrester預(yù)計,在新冠疫情以及由此引發(fā)的數(shù)字交互增加的助推下,2019年至2020年期間,身份盜竊和賬戶接管事件至少增加了10%到15%,而2021年此類攻擊事件可能會再次增加8%到10%。實際上,2020年,Akamai也在全球范圍內(nèi)監(jiān)測到1930億次撞庫攻擊,其中34億次攻擊針對的是金融服務(wù)機構(gòu),同比增長超過45%。

如果說陡然上升的ATO攻擊頻率還不足以引起企業(yè)對安全管理的重視,那么我國剛剛頒布的《數(shù)據(jù)安全法》也給企業(yè)敲響了安全的警鐘?！稊?shù)據(jù)安全法》針對企業(yè)的數(shù)據(jù)安全管理做出了明確要求及相應(yīng)罰則,要求企業(yè)制定相關(guān)制度來保障數(shù)據(jù)安全,補救數(shù)據(jù)安全風(fēng)險,如企業(yè)拒不遵守法律或釀成重大數(shù)據(jù)泄露事故,企業(yè)將被處以罰款。但隨著ATO攻擊手段不斷創(chuàng)新,攻擊者可有效避開企業(yè)的防護(hù)手段,并逃避監(jiān)管,因此此類攻擊的成功率不斷升高。由此看來,數(shù)據(jù)安全挑戰(zhàn)愈發(fā)嚴(yán)峻,由ATO攻擊導(dǎo)致的數(shù)據(jù)泄露將成為企業(yè)難以承受之重,而《數(shù)據(jù)安全法》也如一把懸劍,這些都讓企業(yè)加強安全能力建設(shè)勢在必行。

面對ATO攻擊,企業(yè)只有精準(zhǔn)掌握此類攻擊的全貌,才能夠快速預(yù)判潛在的安全風(fēng)險。如果將ATO攻擊的過程拆解,它可分為信息搜集、信息驗證、信息出售三個步驟。

ATO攻擊“三步曲”

第一步:信息搜集:“深網(wǎng)”已成為ATO攻擊的“溫床”

如果從ATO攻擊鏈條的源頭開始溯源,攻擊者首先要做的就是搜集數(shù)據(jù),“自我嘗試”、“直接購買”、“信息工廠”是攻擊者直接獲取賬戶信息的主要方式。由于被泄露的賬戶信息也可能被貼在一些公開的網(wǎng)站上,攻擊者會選擇去社交網(wǎng)站等廣受歡迎的公開網(wǎng)站上搜尋一番;如果想通過自我嘗試獲取賬戶信息,攻擊者會選擇在PASTEBIN.COM等工具網(wǎng)站上自行編寫腳本來進(jìn)行探測,只不過這種方式往往需要花費大量時間;如果想直接購買賬戶信息,攻擊者會選擇COMBO LIST等網(wǎng)站進(jìn)行交易;如果想集中獲取大量賬戶信息,攻擊者往往會選擇“信息工廠”,即“深網(wǎng)”。

“表網(wǎng)”與“暗網(wǎng)”已經(jīng)被許多人熟知,但什么是“深網(wǎng)”?其實,互聯(lián)網(wǎng)分為“表網(wǎng)”、“暗網(wǎng)”、“深網(wǎng)”三部分,“表網(wǎng)”是指正常瀏覽互聯(lián)網(wǎng)時訪問的網(wǎng)站,僅占整個互聯(lián)網(wǎng)的4%;“暗網(wǎng)”是指隱藏的網(wǎng)絡(luò),普通網(wǎng)民無法通過常規(guī)手段搜索訪問,需要使用一些特定的軟件、配置或者授權(quán)等才能登錄,占整體互聯(lián)網(wǎng)的6%;而“深網(wǎng)”是指無法通過常規(guī)搜索引擎訪問到的內(nèi)容,占整個互聯(lián)網(wǎng)的90%。

“深網(wǎng)”的隱蔽性為攻擊者提供了犯罪的溫床,賬戶接管的數(shù)據(jù)大多都在“深網(wǎng)”中被分享出來。這些數(shù)據(jù)是無法直接通過搜索引擎被索引出來的,因為這些數(shù)據(jù)其實隱藏在數(shù)據(jù)庫的后端。攻擊者需要注冊、登錄或付費才能獲得相應(yīng)的權(quán)限查看某些信息。除了交換賬戶接管的賬戶信息以外,攻擊者還會在“深網(wǎng)”中共享一些犯罪“指南”,相互借鑒ATO攻擊的經(jīng)驗。

第二步:信息驗證:看似正常的網(wǎng)絡(luò)請求往往披著隱蔽的外衣

攻擊者在搜集完成可用的賬戶信息之后,就會試圖去做很多賬戶驗證。因為只有正確的、經(jīng)過驗證的賬號信息才會更容易被賣出、也能賣出更好的價格。攻擊者通常會通過一些工具去驗證賬戶信息是否有效、攻擊是否成功。

在驗證之前,為了讓攻擊更加隱秘,攻擊者通常會通過代理服務(wù)和僵尸網(wǎng)絡(luò)兩類隱蔽的手法來隱藏攻擊。當(dāng)攻擊者獲取代理服務(wù)時,會通過自己構(gòu)建和租用兩種方式,通過市面上海量的代理機構(gòu)來獲取大量的靜態(tài)IP地址。通過這些看似正常的IP地址發(fā)動的攻擊非常隱蔽,被攻擊者或者監(jiān)管部門不太好去追溯。因為即使通過這些IP的犯罪行為被發(fā)現(xiàn),攻擊者也可以通過快速下線IP或者停止運營整個代理機構(gòu)來躲避追溯。而當(dāng)攻擊者采用爬蟲程序或者爬蟲網(wǎng)絡(luò)時,僅需簡單的兩行命令就可以對目標(biāo)的站點發(fā)起惡意攻擊。

在確保了隱蔽性之后,攻擊者會選擇“賬戶驗證”工具,通常工具包括配置文件、代理文件、想要驗證的賬號文件組合列表三部分。配置文件主要是指明想要攻擊的目標(biāo),通常是目標(biāo)站點的頁面URL;代理文件主要是代理IP地址,通常是被感染的端點或者是僵尸網(wǎng)絡(luò),攻擊者用它們隱藏攻擊行為。常見的“賬戶驗證”工具有自動化工具Snipr、Sentry MBA以及專門針對互聯(lián)網(wǎng)上某一些或者某一家企業(yè)設(shè)計的工具等。

以Snipr為例,攻擊者只需要選擇其想要驗證的賬號名密碼文件列表,Snipr就會自動加載賬號名密碼的文件列表,同時在Snipr內(nèi)部所有的代理機器上自動運行驗證程序。在運行的過程中,Snipr能夠非常清楚地顯示出驗證通過的賬號。

第三步:信息售賣:被盜信息往往通過看似正規(guī)的渠道流入攻擊者的口袋

在驗證過需要的賬戶信息的憑證之后,攻擊者會選擇出售賬戶信息或直接發(fā)起賬號接管攻擊從而獲取利益。當(dāng)攻擊者想要出售賬戶信息時也會通過相對隱蔽的方式,例如廣為大眾熟知的加密貨幣、積分轉(zhuǎn)移、禮品卡兌換等方式將賬戶信息轉(zhuǎn)換為其他資產(chǎn)。值得注意的是,除了上述幾種方式,“錢騾”也是攻擊者匿名轉(zhuǎn)移資金的常用工具。“錢騾”指的是以轉(zhuǎn)移或轉(zhuǎn)運經(jīng)騙取得來的資金和高價值貨物謀取金錢利益的人。

有時,普通人無意之中也可能被選為“錢騾”。典型的場景是,一個人錢包和信用卡被盜,但并沒有及時發(fā)現(xiàn),待他意識到之后才發(fā)現(xiàn)信用卡賬單上出現(xiàn)了其他地區(qū)的禮品卡交易信息。攻擊者就是這樣通過其信用卡轉(zhuǎn)移資金來避免后續(xù)追蹤的,而這個人是攻擊者的“錢騾”。

此外,“錢騾”不僅局限于人,還可以是機構(gòu)組織。以Blackhawk Network(黑鷹網(wǎng)絡(luò))為例,它是相對合法的組織,并不是一個犯罪組織。但是這類組織提供相應(yīng)金錢兌換和支付的行為,可以幫助某些不法分子或某些攻擊者提供相應(yīng)的積分轉(zhuǎn)換或金錢快速匯款等操作,也可以作為“錢騾”。

如何抵御ATO攻擊?將爬蟲程序抵御與新的人類用戶分析和風(fēng)險評分相結(jié)合

面對來勢洶洶且手法隱蔽的ATO攻擊,企業(yè)又該如何保護(hù)好自己及客戶的賬戶信息?我們將攻擊過程拆解后,發(fā)現(xiàn)此類攻擊的防范其實有章可循。

如前所述,攻擊者通常會利用看似正常的IP地址偽裝自己,發(fā)送合法請求和相應(yīng)的頭部信息。這些IP地址的本地網(wǎng)絡(luò)與攻擊目標(biāo)相同,而且名譽良好,非常具有迷惑性。因此,企業(yè)需要考慮,哪些情況是攻擊者無法通過普通的IP地址設(shè)備完成的?如果企業(yè)為真實的用戶創(chuàng)建用戶畫像,限定用戶的登錄邊界,判定用戶在登錄時的行為和場景。那么當(dāng)用戶的賬號被攻擊者利用時,攻擊者就無法持有與此類用戶相同或類似的相關(guān)信息或設(shè)備指紋進(jìn)行ATO攻擊,這就是新的人類用戶分析和風(fēng)險評分技術(shù)。舉例而言,某個位于廣東的用戶,日常習(xí)慣通過移動網(wǎng)絡(luò)使用iPhone手機登錄自己的賬戶,倘若他登錄成功后的五分鐘,他的賬號又通過一臺位于新加坡的電腦進(jìn)行登錄,這種情況就會被判定為可疑的登錄操作。

當(dāng)然,爬蟲程序抵御方案也是必要的網(wǎng)絡(luò)攻擊防護(hù)手段。因為攻擊者在進(jìn)行撞庫攻擊、賬戶密碼驗證時,通常會使用自動化的爬蟲程序。通過爬蟲的管理方案,可以管理有益和有害的爬蟲,減輕爬蟲程序造成賬號密碼的泄漏風(fēng)險。但爬蟲程序管理方案并不足以防范ATO攻擊,有時其他途徑也會造成賬戶密碼的泄漏。未來賬戶保護(hù)的技術(shù)需要將爬蟲程序抵御方法與新的人類用戶分析和風(fēng)險評分相結(jié)合,去探索真實用戶的登錄行為,形成防御效果更好的縱深防護(hù)系統(tǒng),從而幫助企業(yè)的平臺、網(wǎng)站以及系統(tǒng)成功抵御ATO攻擊。

關(guān)于作者

李岳霖,Akamai高級技術(shù)顧問,CISSP認(rèn)證。主要從事大型企業(yè)、教育、電商、金融等相關(guān)行業(yè)的云基礎(chǔ)架構(gòu)、信息安全解決方案的規(guī)劃與建設(shè),具有多年網(wǎng)絡(luò)性能、媒體交付、互聯(lián)網(wǎng)攻擊防護(hù)、爬蟲管理、應(yīng)用訪問控制等工作經(jīng)驗。

關(guān)于Akamai

Akamai為全球最大型公司提供安全的數(shù)字化體驗。Akamai的智能邊緣平臺涵蓋了從企業(yè)到云端的一切,從而確?？蛻艏捌涔精@得快速、智能且安全的體驗。全球頂尖品牌依賴Akamai通過靈活的解決方案擴大多云架構(gòu)的功能,幫助其獲得競爭優(yōu)勢。Akamai的決策、應(yīng)用和體驗比任何競爭對手都更為貼近用戶,并使用戶遠(yuǎn)離攻擊和威脅。Akamai提供涵蓋邊緣安全、Web和移動性能、企業(yè)訪問和視頻交付解決方案的產(chǎn)品組合,并且通過無與倫比的客戶服務(wù)、分析及全天候監(jiān)控提供支持。