美國聯邦調查局(FBI)發出安全公告,警告攻擊者可能利用代理伺服器(proxy)或配置檔來自動化及偽裝撞庫或帳密填充攻擊(credential stuffing attack),造成美國企業的資料外洩或金錢、信譽的損失。
帳密填充攻擊,又稱撞庫攻擊或帳號破解,一般是駭客利用之前外洩或在暗網銷售的線上服務合法帳密,嘗試登入其他網站。若用戶在不同網站使用相同一組帳密即可能因此被登入,而讓服務遭到駭客接管。而零售、醫療、線上媒體或餐飲集團往往因為用戶帳號量龐大、服務需求高,以及用戶的安全警戒心較低,而成為帳密填充攻擊的主要攻擊對象。
FBI指出,攻擊者會利用代理伺服器和配置檔來自動化登入多個不同網站的過程,加速取得受害線上帳號。其中,攻擊者也可能使用合法代理伺服器服務購買服務,以混淆可能遭封鎖的真實IP位址,藉此躲過受害網站的防護。FBI指出,之前成功的帳號填充攻擊廣泛利用住宅代理(residential proxy)。這類代理服務使用真實的網址,允許用戶原則地理位置(基於位址判斷地理位置),一般不會被判斷為異常網址,也不會被安全協定封鎖或標示。
但FBI也指出,攻擊者有時甚至不會動用代理伺服器,因為花的時間和金錢成本較低。而一些駭客攻擊工具也支援不使用代理伺服器的軟體。
另一方面,駭客也可能把目標放在手機App或網站App,其中又以手機App為主,因為它們的安全設計通常又較傳統Web App來得鬆散。攻擊者會利用封包蒐集軟體,像是Wireshark、Burp Suite、或Fiddler來了解或紀錄這些App的配置,然後設計出客製化配置檔。還有些駭客則是購買或下載其他人開發配置,再利用專門的代管伺服器,進行帳密填密攻擊。
FBI建議企業或網站服務IT管理員應啟用多因素驗證,教育使用者不要重覆使用帳密,以及監控被帳密填充攻擊工具使用的預設user agent字串。
在進階防護中,IT管理員可以下載公開的帳密列表(credential list)來測試用戶帳號,並要求重設密碼。FBI也建議網站啟用指紋,這有助於分析異常活動,像是單一IP卻登入多個不同帳號。另外,使用祕密屏蔽(Shadow Ban)可暗中封鎖某用戶活動(如評論或發文),使其無法為其他用戶所見,這種方式也不影響系統運作。
(相關資訊來自iThome)
