較早前 Akamai 已指出機器人程式惡意登入的問題嚴重,而據他們的《2018年互聯網現況 − 安全報告:憑證填充攻擊》顯示,全球惡意登入嘗試與日俱增。報告研究結果顯示,2018 年 1 月至 4 月間, Akamai每個月偵測到約 32 億次惡意登入;而在 2018 年 5 月和 6 月期間,更有超過 83 億次的機器人程式惡意登入嘗試,相當於每個月平均增加 30%。Akamai 研究專家分析顯示,從 2017 年 11 月初至 2018 年 6 月底的八個月間,惡意登入嘗試總共超過 300 億次。
有金融服務企業每月遭遇逾 8,000 次帳戶盜用
惡意登入嘗試來自憑證填充攻擊,駭客進行這種攻擊時,會有系統地使用殭屍網絡嘗試竊取網絡上的登入資訊。他們會鎖定銀行與零售商內部部署的登入頁面,因為許多客戶都使用相同的憑證登入多個服務與帳戶。根據 Ponemon Institute 的報告「The Cost of Credential Stuffing(憑證填充攻擊的代價)」,憑證填充攻擊可能讓企業每年面臨數百萬甚至數千萬美元的詐騙損失。
Akamai 資訊安全與威脅研究加上行為偵測設計,讓其機器人程式管理技術能發揮效用。而 Akamai 網絡安全部門副總裁 Josh Shaul 亦分享一則代表客戶對抗憑證濫用行為的例子。Shaul 表示:「此客戶是全球最大的金融服務企業之一,每個月遭遇逾 8,000 次帳戶盜用(account takeover)問題,導致該企業每天都面臨超過 10萬美元的直接詐騙相關損失,該公司向 Akamai 求助,在所有消費者登入端點部署運用行為分析技術的機器人程式偵測機制,並獲得立即成效:帳戶盜用的數量大幅降低為每月僅有一至三次,詐騙相關損失亦降低為每天 1,000 至2,000 美元。」
攻擊手法各有不同
此外,《互聯網現況 − 安全報告》報告詳細說明兩則Akamai 協助客戶對抗憑證填充攻擊嘗試的案例,顯現此攻擊方式的嚴重性。
報告的第一個案例為一家Fortune 500 金融服務機構面臨的問題:攻擊者利用殭屍網絡在 48 小時內發動 850 萬次惡意登入嘗試,受攻擊的網站平常在一週內僅有七百萬次登入嘗試。這個殭屍網絡涵蓋超過 20,000 個裝置,一分鐘就能傳送數百次請求。Akamai 研究發現,該特定攻擊的流量有將近三分之一來自越南和美國。
報告中第二個真實案例則是今年稍早某家信用合作社所遭遇的「低流量慢速(low and slow)」攻擊手法。該金融機構發現惡意登入嘗試動作突然增加,最終得知共有三個殭屍網絡鎖定其網站。起初吸引他們注意的是一個特別吵雜的殭屍網絡,但後來發現,更大的問題其實在於另一個非常緩慢但攻勢有條不紊的殭屍網絡。
Akamai 資深安全顧問暨《互聯網現況 – 安全報告》資深編輯 Martin McKeay表示:「我們的研究顯示,執行憑證填充攻擊的攻擊者持續精進他們的武器。他們採用不同的方法,可能是吵雜的流量型攻擊,亦可能是鬼祟的低流量慢速型(low and slow)攻擊。如果發現多個攻擊同時影響單一目標,就必須格外警惕。如果沒有抵禦這種混合型、多向式(multi-headed)活動所需的特定專業知識和工具,企業可能就會輕忽某些最危險的憑證攻擊行為。」