美国联邦调查局(fbi)本周发出安全公告,警告攻击者可能利用代理服务器(proxy)或配置档来自动化及伪装撞库或帐密填充攻击(credential stuffing attack),造成美国企业的资料外泄或金钱、信誉的损失。
帐密填充攻击,又称撞库攻击或账号破解,一般是黑客利用之前外泄或在暗网销售的线上服务合法帐密,尝试登录其他网站。若用户在不同网站使用相同一组帐密即可能因此被登录,而让服务遭到黑客接管。而零售、医疗、线上媒体或餐饮集团往往因为用户账号量庞大、服务需求高,以及用户的安全警戒心较低,而成为帐密填充攻击的主要攻击对象。
fbi指出,攻击者会利用代理服务器和配置档来自动化登录多个不同网站的过程,加速取得受害线上账号。其中,攻击者也可能使用合法代理服务器服务购买服务,以混淆可能遭封锁的真实ip地址,借此躲过受害网站的防护。fbi指出,之前成功的账号填充攻击广泛利用住宅代理(residential proxy)。这类代理服务使用真实的网址,允许用户原则地理位置(基于地址判断地理位置),一般不会被判断为异常网址,也不会被安全协议封锁或标示。
但fbi也指出,攻击者有时甚至不会动用代理服务器,因为花的时间和金钱成本较低。而一些黑客攻击工具也支持不使用代理服务器的软件。
另一方面,黑客也可能把目标放在手机app或网站app,其中又以手机app为主,因为它们的安全设计通常又较传统web app来得松散。攻击者会利用封包搜集软件,像是wireshark、burp suite、或fiddler来了解或记录这些app的配置,然后设计出定制化配置档。还有些黑客则是购买或下载其他人开发配置,再利用专门的托管服务器,进行帐密填密攻击。
fbi建议企业或网站服务it管理员应激活多因素验证,教育用户不要重复使用帐密,以及监控被帐密填充攻击工具使用的默认user agent字符串。
在高端防护中,it管理员可以下载公开的帐密列表(credential list)来测试用户账号,并要求重设密码。fbi也建议网站激活指纹,这有助于分析异常活动,像是单一ip却登录多个不同账号。另外,使用秘密屏蔽(shadow ban)可暗中封锁某用户活动(如评论或发文),使其无法为其他用户所见,这种方式也不影响系统运行。