我们从渗透 22 个撞库团队中学到了什么

快速阅读: 据《安保大道》称，凭证填充已成为一个完善的产业链，攻击者利用机器学习和专业工具进行自动化攻击，导致账户接管问题日益严重。传统防御如MFA和验证码已难以抵挡此类攻击。为有效防范，需在认证前阻止自动化请求，检测隐藏的机器人信号，并在暗网监控泄露的凭证。账户接管本质上是一个机器人问题，应从源头入手解决。

信息技术和安全专业人士被培训要展望未来——预测下一个大的攻击向量，无论是AI驱动的恶意软件还是复杂的零日漏洞。但当安全团队专注于尖端技术时，一个最古老的安全威胁依然有效：账户接管（账户接管）。为什么？因为凭证填充已经成为一个完整的产业链。卡萨达的威胁情报团队最近渗透了22个凭证填充组织，揭露了这些高度组织化的网络犯罪网络的内部运作。我们发现的情况证实了我们长期以来的怀疑：账户接管问题不仅仅关乎密码。它关乎欺诈的工业化。

凭证填充——一个先进的生态系统

凭证填充通常被视为一种低努力攻击——恶意行为者利用重用密码的用户。虽然这部分仍然属实，但今天的凭证填充操作已经非常专业。我们渗透的组织正在运营提供客户服务，采用订阅制攻击工具，甚至还有“退款保证”的欺诈企业。我们渗透的关键见解：

自动化凭证填充变得越来越智能。攻击者不仅仅是暴力破解凭证；他们使用机器学习来优化成功率，根据实时反馈自动调整攻击参数。

欺诈即服务降低了入门门槛。你不再需要技术专长就能发起账户接管攻击。只需50美元，一个完全没有编码技能的人就可以购买访问预先配置好的凭证填充工具的机会，这些工具可以绕过常见的防御措施。

目标行业在扩大。虽然银行和零售商仍然是主要目标，但攻击者越来越多地针对医疗门户、旅行奖励计划，甚至是药店账户，在这些地方被盗凭证可以通过意想不到的方式变现。

为什么账户接管防御失败

许多安全团队依赖多因素认证（MFA）、验证码和IP黑名单来对抗账户接管攻击。然而，这些组织将这些防御视为简单的减速带。以下是传统防御为何难以应对的原因：

MFA绕过技术正在出售。我们发现了多个提供MFA绕过工具的服务——有些服务的价格低至每次尝试15美元——使用社会工程、一次性密码中继攻击和会话劫持。

验证码不再阻止机器人。攻击者使用验证码解决服务，通过人工智能或廉价人力即时绕过挑战。

IP黑名单已经过时。代理网络使攻击者能够频繁更换数百万个IP地址，使得黑名单成为一场猫捉老鼠的游戏。

“隐形”账户接管战术的兴起

我们发现的一个最令人担忧的趋势是转向低速账户接管攻击，旨在逃避检测。攻击者不再洪水般地对网站进行登录尝试，而是：

模仿人类行为。机器人会在登录尝试间暂停，切换设备，并模拟正常浏览行为以避免触发安全警报。

使用住宅IP代理。这些使机器人流量看起来像是来自合法用户而不是数据中心。

使用泄露的会话Cookie。攻击者直接利用从受恶意软件感染设备上获取的有效会话Cookie，从而未被察觉地访问账户。

向左移动：在源头打击账户接管

安全团队通常将账户接管防御集中在登录点——实施MFA、监控失败尝试或标记可疑会话。但这已经是攻击链中的太晚阶段。当恶意行为者试图登录时，损害已经造成。相反，公司需要向左移动，在认证前阻止自动化请求。方法如下：

在认证前阻止自动化请求。如果攻击者无法测试你的系统上的凭证，他们会转向更容易的目标。

检测自动化遗留物。不要依赖验证码，查找隐藏的机器人信号——无头浏览器、脚本自动化以及篡改的设备属性。

在暗网上监控泄露的凭证。攻击者在广泛知晓之前就从数据泄露中获取凭证。主动监测被盗登录信息可以让你有时间在它们被利用前强制密码重置。

账户接管是一个机器人问题——像解决它一样解决它

从根本上讲，账户接管不是一个认证问题。它是一个机器人问题。这意味着最好的解决办法不是增加用户摩擦——而是在攻击开始前阻止自动化攻击。卡萨达专门识别自动化遗留物——不依赖验证码，不给客户带来不便，也不让攻击者消耗你的资源。

如果凭证填充组织像企业一样运作，那么是时候采取一种以业务为导向的方法来阻止它们。

(以上内容均由Ai生成)