金融行业该如何抵御撞库攻击
Gerhard Giese Akamai行业战略顾问
云栖网:当前,全球范围内金融服务企业遭受撞库攻击的速度令人咋舌。2017年12月至2019年11月间,Akamai共观察到85422079109次撞库攻击。而在针对金融服务业发起的撞库攻击中,高达75%的攻击直接以API为目标。不幸的是,中国是API恶意登录的三大“重灾区”之一。为何形势如此严峻?网络犯罪分子正在使用现成的自动化工具、僵尸网络和受感染的账户凭据发起日益精密且隐秘的攻击。许多企业正在使用多重身份验证(MFA)增强访问安全并抵御凭据盗窃。多重身份验证虽然有用且必不可少,但不一定能够阻止撞库。如果精明的攻击者发现了正确的用户ID和密码组合,那么他们必能找到其他方法来访问账户并实施犯罪。
许多金融服务企业正在采取其他措施来抵御撞库,比如使用高级爬虫管理解决方案在犯罪分子获得应用或关键系统访问权限前发现并阻止他们。下文将介绍撞库的原理并提供一些抵御撞库攻击的建议。
何为撞库攻击?
撞库是一种常见的网络攻击方式,犯罪分子会使用自动化系统和被破解的登录凭据访问在线账户。撞库的一个基本前提是,受害者常常为多个在线账户设置相同的用户ID和密码组合。因此,如果网络犯罪分子掌握了您的电子商务网站或社交媒体应用的用户ID和密码,并且碰巧您的网上银行业务也使用了相同的组合,那么他们就可以窃取您储蓄账户中的钱。犯罪分子可以使用开源自动化工具对成千上万个网站进行成千上万次凭据盗窃尝试,因为他们知道最终成功的可能性非常大。
犯罪分子可以通过猖獗的地下经济购买、出售和利用已被破解的账户凭据。暗网上销售的被盗凭据达到数十亿个。在中国,今年四月的一条涉及国内多家银行数百万条客户数据资料在暗网被标价兜售的消息,一时曾激起千层浪。虽然该消息的真实性最终被驳,但这些数据确真真实实在暗网上被出售、加强个人金融信息保护的呼声也越发高涨。事实上,SentryMBA或SNIPR等免费自动化工具让犯罪分子能更加轻松地尝试登录信息并验证被盗凭据。低成本的“僵尸网络即服务”平台让犯罪分子能够大规模地发起撞库活动。
SentryMBA让发起撞库攻击变得更容易
正如我在文章一开始所提到的,金融服务机构经常成为撞库攻击的目标。银行账户、信用卡账户、经纪账户和支付应用都是犯罪分子青睐的对象。如下图所示,根据Akamai《2019年互联网安全状况报告:针对金融服务业的攻击经济》,所有撞库攻击中约有6%针对的是金融服务企业(虽然乍看之下,这个比例似乎较低,但您得考虑与其他行业相比,金融服务业遭受一次攻击所产生的潜在总成本)。在18个月的时间里,Akamai共发现超过35亿次针对金融机构的恶意登录尝试!
Akamai观察到的撞库攻击(2017年12月至2019年4月)
网络犯罪分子还会利用撞库非法访问API。根据Akamai《2020年互联网安全状况报告:金融服务——恶意接管尝试》,攻击者常常将提供保密数据和服务访问的REST和SOAP端点作为攻击目标,然后利用这些数据和服务实施金融犯罪。下图显示了Akamai在一年内发现的恶意登录尝试。橙色表示针对API端点的尝试。上半部分表示所有行业,下半部分表示金融服务领域。
Akamai观察到的恶意登录尝试(2017年12月至2019年11月)
抵御撞库攻击
撞库攻击可能会损害金融公司的声誉并导致监管处罚、法律成本和客户流失,还会通过使用伪造的爬虫流量令基础设施瘫痪并破坏金融公司网站和网络应用的性能。更糟糕的是,为了避免被发现,攻击者一直在改良自己的技术,包括将登录尝试分配到数千个爬虫、使用代理服务器、逐渐分散登录尝试等。
以下是帮助金融服务机构抵御撞库和降低风险的三条建议。
建议一:重新审视应用程序和网站登录页面
许多应用程序和网站设计者会在不经意间确认用户ID或其他可被用于发起攻击的信息,这在无意中助了犯罪分子“一臂之力”。比如网络犯罪分子可能会尝试使用未经验证的用户ID和密码登录账户。如果Web应用程序返回错误消息、显示密码不正确,那么犯罪分子就可以认为用户ID是正确的、然后使用暴力密码破解方法或其他机制获得该账户的访问权。
金融服务机构应重新审视自己的身份验证流程和登录界面,确保自己没有在“助纣为虐”。
建议二:强化多重身份验证解决方案
即便网络犯罪分子获得了有效的登录凭据,多重身份验证解决方案也能防止金融服务应用程序被非法访问。虽然多重身份验证效果显著,但它有时也无法阻止撞库,甚至会适得其反,为攻击者提供帮助。
许多多重身份验证程序都要求用户先输入用户ID和密码组合,然后再根据提示输入其他凭证,例如通过电子邮件或短信发送的验证码。犯罪分子可以利用多重身份验证对用户ID和密码组合的验证(大多数多重身份验证解决方案在生成验证码之前会先验证用户ID和密码组合)。在确认用户ID和密码后,犯罪分子可以通过鱼叉式钓鱼攻击直接瞄准受害者、在暗网上出售经过验证的凭据或尝试其他恶意行为。为了达到全面保护的目的,金融服务机构应使用多重身份验证与其他保护措施相结合的多层深度防御安全架构。另外,还必须防止攻击者通过查询网络服务器响应发现有效的凭据。
建议三:部署爬虫管理解决方案以获得超强保护
为了获得针对撞库的超强保护,金融服务机构应在多层安全解决方案中加入基于网络的爬虫管理解决方案。犯罪分子会通过分布式僵尸网络执行复杂的撞库攻击。爬虫管理解决方案在网络边缘检测和控制非法爬虫流量,在攻击者进入金融服务机构应用程序或使基础设施瘫痪之前阻止它们。顶尖的爬虫管理平台能够使用人工智能和机器学习来检测和阻止高级撞库攻击。
总结
为了盗取金融服务账户、窃取保密数据和实施交易欺诈,网络犯罪分子正在发起精密复杂的撞库攻击。金融服务机构的应对之策包括重新审视其身份验证流程以及在多层安全架构中加入强大的爬虫管理平台。AkamaiBotManager(Akamai爬虫管理器)等领先的爬虫管理解决方案能够在复杂的撞库爬虫到达应用程序或数据中心之前,发现并阻止它们。Akamai解决方案运用机器学习和行为分析来智能识别和化解撞库攻击,而且不会影响合法的爬虫流量。AkamaiBotManager基于Akamai智能边缘平台,覆盖全球约325000台服务器,因此具备全球级的可扩展性与性能。该解决方案每小时管理超过5.6亿个爬虫请求,对不断进化的爬虫环境拥有无与伦比的可视性。