作者：Akamai高級(jí)技術(shù)顧問 李岳霖

作為網(wǎng)購用戶,你可曾遇到過這些奇怪的情況?當(dāng)?shù)卿涀约旱碾娚藤~戶時(shí),訂單列表里出現(xiàn)了一些并不知情的訂單;或者在自己的電子郵箱里出現(xiàn)了未曾操作過的確認(rèn)郵件,郵件顯示你在某一平臺(tái)上的積分轉(zhuǎn)入了其他賬戶。如果你曾遇到過相似的狀況,那么很遺憾,你可能遭遇到了賬戶接管(ATO)攻擊。

ATO攻擊又稱賬戶接管攻擊或身份測(cè)試攻擊,即攻擊者通過測(cè)試數(shù)千個(gè)被盜憑據(jù)的有效性來破解賬戶,然后利用破解成功的賬戶進(jìn)行諸如盜竊、欺詐和數(shù)據(jù)泄露之類的非法活動(dòng)。撞庫攻擊成功后的結(jié)果其實(shí)就是賬戶接管。自疫情爆發(fā)以來,ATO攻擊在互聯(lián)網(wǎng)上持續(xù)升溫。Forrester預(yù)計(jì),在新冠疫情以及由此引發(fā)的數(shù)字交互增加的助推下,2019年至2020年期間,身份盜竊和賬戶接管事件至少增加了10%到15%,而2021年此類攻擊事件可能會(huì)再次增加8%到10%。實(shí)際上,2020年,Akamai也在全球范圍內(nèi)監(jiān)測(cè)到1930億次撞庫攻擊,其中34億次攻擊針對(duì)的是金融服務(wù)機(jī)構(gòu),同比增長超過45%。

如果說陡然上升的ATO攻擊頻率還不足以引起企業(yè)對(duì)安全管理的重視,那么我國剛剛頒布的《數(shù)據(jù)安全法》也給企業(yè)敲響了安全的警鐘?！稊?shù)據(jù)安全法》針對(duì)企業(yè)的數(shù)據(jù)安全管理做出了明確要求及相應(yīng)罰則,要求企業(yè)制定相關(guān)制度來保障數(shù)據(jù)安全,補(bǔ)救數(shù)據(jù)安全風(fēng)險(xiǎn),如企業(yè)拒不遵守法律或釀成重大數(shù)據(jù)泄露事故,企業(yè)將被處以罰款。但隨著ATO攻擊手段不斷創(chuàng)新,攻擊者可有效避開企業(yè)的防護(hù)手段,并逃避監(jiān)管,因此此類攻擊的成功率不斷升高。由此看來,數(shù)據(jù)安全挑戰(zhàn)愈發(fā)嚴(yán)峻,由ATO攻擊導(dǎo)致的數(shù)據(jù)泄露將成為企業(yè)難以承受之重,而《數(shù)據(jù)安全法》也如一把懸劍,這些都讓企業(yè)加強(qiáng)安全能力建設(shè)勢(shì)在必行。

面對(duì)ATO攻擊,企業(yè)只有精準(zhǔn)掌握此類攻擊的全貌,才能夠快速預(yù)判潛在的安全風(fēng)險(xiǎn)。如果將ATO攻擊的過程拆解,它可分為信息搜集、信息驗(yàn)證、信息出售三個(gè)步驟。

ATO攻擊“三步曲”

第一步:信息搜集:“深網(wǎng)”已成為ATO攻擊的“溫床”

如果從ATO攻擊鏈條的源頭開始溯源,攻擊者首先要做的就是搜集數(shù)據(jù),“自我嘗試”、“直接購買”、“信息工廠”是攻擊者直接獲取賬戶信息的主要方式。由于被泄露的賬戶信息也可能被貼在一些公開的網(wǎng)站上,攻擊者會(huì)選擇去社交網(wǎng)站等廣受歡迎的公開網(wǎng)站上搜尋一番;如果想通過自我嘗試獲取賬戶信息,攻擊者會(huì)選擇在PASTEBIN.COM等工具網(wǎng)站上自行編寫腳本來進(jìn)行探測(cè),只不過這種方式往往需要花費(fèi)大量時(shí)間;如果想直接購買賬戶信息,攻擊者會(huì)選擇COMBO LIST等網(wǎng)站進(jìn)行交易;如果想集中獲取大量賬戶信息,攻擊者往往會(huì)選擇“信息工廠”,即“深網(wǎng)”。

“表網(wǎng)”與“暗網(wǎng)”已經(jīng)被許多人熟知,但什么是“深網(wǎng)”?其實(shí),互聯(lián)網(wǎng)分為“表網(wǎng)”、“暗網(wǎng)”、“深網(wǎng)”三部分,“表網(wǎng)”是指正常瀏覽互聯(lián)網(wǎng)時(shí)訪問的網(wǎng)站,僅占整個(gè)互聯(lián)網(wǎng)的4%;“暗網(wǎng)”是指隱藏的網(wǎng)絡(luò),普通網(wǎng)民無法通過常規(guī)手段搜索訪問,需要使用一些特定的軟件、配置或者授權(quán)等才能登錄,占整體互聯(lián)網(wǎng)的6%;而“深網(wǎng)”是指無法通過常規(guī)搜索引擎訪問到的內(nèi)容,占整個(gè)互聯(lián)網(wǎng)的90%。

“深網(wǎng)”的隱蔽性為攻擊者提供了犯罪的溫床,賬戶接管的數(shù)據(jù)大多都在“深網(wǎng)”中被分享出來。這些數(shù)據(jù)是無法直接通過搜索引擎被索引出來的,因?yàn)檫@些數(shù)據(jù)其實(shí)隱藏在數(shù)據(jù)庫的后端。攻擊者需要注冊(cè)、登錄或付費(fèi)才能獲得相應(yīng)的權(quán)限查看某些信息。除了交換賬戶接管的賬戶信息以外,攻擊者還會(huì)在“深網(wǎng)”中共享一些犯罪“指南”,相互借鑒ATO攻擊的經(jīng)驗(yàn)。

第二步:信息驗(yàn)證:看似正常的網(wǎng)絡(luò)請(qǐng)求往往披著隱蔽的外衣

攻擊者在搜集完成可用的賬戶信息之后,就會(huì)試圖去做很多賬戶驗(yàn)證。因?yàn)橹挥姓_的、經(jīng)過驗(yàn)證的賬號(hào)信息才會(huì)更容易被賣出、也能賣出更好的價(jià)格。攻擊者通常會(huì)通過一些工具去驗(yàn)證賬戶信息是否有效、攻擊是否成功。

在驗(yàn)證之前,為了讓攻擊更加隱秘,攻擊者通常會(huì)通過代理服務(wù)和僵尸網(wǎng)絡(luò)兩類隱蔽的手法來隱藏攻擊。當(dāng)攻擊者獲取代理服務(wù)時(shí),會(huì)通過自己構(gòu)建和租用兩種方式,通過市面上海量的代理機(jī)構(gòu)來獲取大量的靜態(tài)IP地址。通過這些看似正常的IP地址發(fā)動(dòng)的攻擊非常隱蔽,被攻擊者或者監(jiān)管部門不太好去追溯。因?yàn)榧词雇ㄟ^這些IP的犯罪行為被發(fā)現(xiàn),攻擊者也可以通過快速下線IP或者停止運(yùn)營整個(gè)代理機(jī)構(gòu)來躲避追溯。而當(dāng)攻擊者采用爬蟲程序或者爬蟲網(wǎng)絡(luò)時(shí),僅需簡單的兩行命令就可以對(duì)目標(biāo)的站點(diǎn)發(fā)起惡意攻擊。

在確保了隱蔽性之后,攻擊者會(huì)選擇“賬戶驗(yàn)證”工具,通常工具包括配置文件、代理文件、想要驗(yàn)證的賬號(hào)文件組合列表三部分。配置文件主要是指明想要攻擊的目標(biāo),通常是目標(biāo)站點(diǎn)的頁面URL;代理文件主要是代理IP地址,通常是被感染的端點(diǎn)或者是僵尸網(wǎng)絡(luò),攻擊者用它們隱藏攻擊行為。常見的“賬戶驗(yàn)證”工具有自動(dòng)化工具Snipr、Sentry MBA以及專門針對(duì)互聯(lián)網(wǎng)上某一些或者某一家企業(yè)設(shè)計(jì)的工具等。

以Snipr為例,攻擊者只需要選擇其想要驗(yàn)證的賬號(hào)名密碼文件列表,Snipr就會(huì)自動(dòng)加載賬號(hào)名密碼的文件列表,同時(shí)在Snipr內(nèi)部所有的代理機(jī)器上自動(dòng)運(yùn)行驗(yàn)證程序。在運(yùn)行的過程中,Snipr能夠非常清楚地顯示出驗(yàn)證通過的賬號(hào)。

第三步:信息售賣:被盜信息往往通過看似正規(guī)的渠道流入攻擊者的口袋

在驗(yàn)證過需要的賬戶信息的憑證之后,攻擊者會(huì)選擇出售賬戶信息或直接發(fā)起賬號(hào)接管攻擊從而獲取利益。當(dāng)攻擊者想要出售賬戶信息時(shí)也會(huì)通過相對(duì)隱蔽的方式,例如廣為大眾熟知的加密貨幣、積分轉(zhuǎn)移、禮品卡兌換等方式將賬戶信息轉(zhuǎn)換為其他資產(chǎn)。值得注意的是,除了上述幾種方式,“錢騾”也是攻擊者匿名轉(zhuǎn)移資金的常用工具?！板X騾”指的是以轉(zhuǎn)移或轉(zhuǎn)運(yùn)經(jīng)騙取得來的資金和高價(jià)值貨物謀取金錢利益的人。

有時(shí),普通人無意之中也可能被選為“錢騾”。典型的場(chǎng)景是,一個(gè)人錢包和信用卡被盜,但并沒有及時(shí)發(fā)現(xiàn),待他意識(shí)到之后才發(fā)現(xiàn)信用卡賬單上出現(xiàn)了其他地區(qū)的禮品卡交易信息。攻擊者就是這樣通過其信用卡轉(zhuǎn)移資金來避免后續(xù)追蹤的,而這個(gè)人是攻擊者的“錢騾”。

此外,“錢騾”不僅局限于人,還可以是機(jī)構(gòu)組織。以Blackhawk Network(黑鷹網(wǎng)絡(luò))為例,它是相對(duì)合法的組織,并不是一個(gè)犯罪組織。但是這類組織提供相應(yīng)金錢兌換和支付的行為,可以幫助某些不法分子或某些攻擊者提供相應(yīng)的積分轉(zhuǎn)換或金錢快速匯款等操作,也可以作為“錢騾”。

如何抵御ATO攻擊?將爬蟲程序抵御與新的人類用戶分析和風(fēng)險(xiǎn)評(píng)分相結(jié)合

面對(duì)來勢(shì)洶洶且手法隱蔽的ATO攻擊,企業(yè)又該如何保護(hù)好自己及客戶的賬戶信息?我們將攻擊過程拆解后,發(fā)現(xiàn)此類攻擊的防范其實(shí)有章可循。

如前所述,攻擊者通常會(huì)利用看似正常的IP地址偽裝自己,發(fā)送合法請(qǐng)求和相應(yīng)的頭部信息。這些IP地址的本地網(wǎng)絡(luò)與攻擊目標(biāo)相同,而且名譽(yù)良好,非常具有迷惑性。因此,企業(yè)需要考慮,哪些情況是攻擊者無法通過普通的IP地址設(shè)備完成的?如果企業(yè)為真實(shí)的用戶創(chuàng)建用戶畫像,限定用戶的登錄邊界,判定用戶在登錄時(shí)的行為和場(chǎng)景。那么當(dāng)用戶的賬號(hào)被攻擊者利用時(shí),攻擊者就無法持有與此類用戶相同或類似的相關(guān)信息或設(shè)備指紋進(jìn)行ATO攻擊,這就是新的人類用戶分析和風(fēng)險(xiǎn)評(píng)分技術(shù)。舉例而言,某個(gè)位于廣東的用戶,日常習(xí)慣通過移動(dòng)網(wǎng)絡(luò)使用iPhone手機(jī)登錄自己的賬戶,倘若他登錄成功后的五分鐘,他的賬號(hào)又通過一臺(tái)位于新加坡的電腦進(jìn)行登錄,這種情況就會(huì)被判定為可疑的登錄操作。

當(dāng)然,爬蟲程序抵御方案也是必要的網(wǎng)絡(luò)攻擊防護(hù)手段。因?yàn)楣粽咴谶M(jìn)行撞庫攻擊、賬戶密碼驗(yàn)證時(shí),通常會(huì)使用自動(dòng)化的爬蟲程序。通過爬蟲的管理方案,可以管理有益和有害的爬蟲,減輕爬蟲程序造成賬號(hào)密碼的泄漏風(fēng)險(xiǎn)。但爬蟲程序管理方案并不足以防范ATO攻擊,有時(shí)其他途徑也會(huì)造成賬戶密碼的泄漏。未來賬戶保護(hù)的技術(shù)需要將爬蟲程序抵御方法與新的人類用戶分析和風(fēng)險(xiǎn)評(píng)分相結(jié)合,去探索真實(shí)用戶的登錄行為,形成防御效果更好的縱深防護(hù)系統(tǒng),從而幫助企業(yè)的平臺(tái)、網(wǎng)站以及系統(tǒng)成功抵御ATO攻擊。

關(guān)于作者

李岳霖,Akamai高級(jí)技術(shù)顧問,CISSP認(rèn)證。主要從事大型企業(yè)、教育、電商、金融等相關(guān)行業(yè)的云基礎(chǔ)架構(gòu)、信息安全解決方案的規(guī)劃與建設(shè),具有多年網(wǎng)絡(luò)性能、媒體交付、互聯(lián)網(wǎng)攻擊防護(hù)、爬蟲管理、應(yīng)用訪問控制等工作經(jīng)驗(yàn)。

關(guān)于Akamai

Akamai為全球最大型公司提供安全的數(shù)字化體驗(yàn)。Akamai的智能邊緣平臺(tái)涵蓋了從企業(yè)到云端的一切,從而確?？蛻艏捌涔精@得快速、智能且安全的體驗(yàn)。全球頂尖品牌依賴Akamai通過靈活的解決方案擴(kuò)大多云架構(gòu)的功能,幫助其獲得競(jìng)爭優(yōu)勢(shì)。Akamai的決策、應(yīng)用和體驗(yàn)比任何競(jìng)爭對(duì)手都更為貼近用戶,并使用戶遠(yuǎn)離攻擊和威脅。Akamai提供涵蓋邊緣安全、Web和移動(dòng)性能、企業(yè)訪問和視頻交付解決方案的產(chǎn)品組合,并且通過無與倫比的客戶服務(wù)、分析及全天候監(jiān)控提供支持。