美国联邦调查局(FBI)上周向美国金融部门发出了私人安全警报,警告各组织注意越来越多的凭据填充攻击,这些攻击针对的是它们的网络,并已导致入侵和可观的财务损失。
它指的是一种自动攻击,黑客收集通过其他公司的数据泄露而在网上泄露的用户名和密码,并针对其他在线服务的账户进行尝试。
这些攻击旨在识别用户重复使用密码的帐户,然后对用户的配置文件和附加资源进行未经授权的访问。
凭据填充攻击并不总是一个问题,但在过去5年里,黑客泄露了数百家公司的数十亿用户名和密码组合后,这些攻击在2010年代末成为了一个问题。
慢慢地,黑客开始收集这些泄露的凭据,并针对各种在线服务进行尝试。起初,他们的目标是网络游戏和订餐账户,但随着事实证明这一战术越来越成功,越来越多的专业黑客组织转向以在线银行服务和加密货币交易所为目标的账户,目的是窃取金融资产。
根据ZDNet今天获得的一份FBI安全咨询,近年来凭据填充攻击有所增加,现在已成为金融机构的主要问题。
FBI表示,自2017年以来,FBI收到了大量针对美国金融机构的凭据填充攻击报告,总共详细说明了近5万个账户泄露事件。
FBI官员表示,其中许多攻击针对的是应用编程接口(API),因为这些系统不太可能需要多因素身份验证(MFA),而且与面向用户的登录系统相比,受到的监控也较少。
FBI还指出,一些凭据填充攻击规模如此之大,身份验证请求打包在一起,没有冷静期,以至于导致一些金融组织的身份验证系统瘫痪,一些目标认为自己正在被DDoSed,而不是受到凭据填充攻击-F5 Networks网络安全部门去年也报告了这些事件。
FBI表示,凭据填充攻击的目标不仅是用户配置文件,还包括员工账户,攻击者的目标也是访问高特权账户。
其中一些攻击失败了,但另一些攻击也成功了,在过去的一年里,一些组织遭受了数百万美元的损失。
2020年7月,美国一家中型金融机构报告称,其互联网银行平台遭遇了持续不断的各种凭据对登录尝试,该机构认为这表明有人使用了机器人。2020年1月至8月期间,身份不明的行为者使用聚合软件将行为者控制的账户与属于同一机构的客户账户联系起来,导致超过350万美元的欺诈性支票取款和ACH转账。然而,报告并不表明增加的登录和欺诈性交易是否可以归因于相同的参与者。
据一位可信的金融消息人士透露,在2019年6月至2020年1月期间,纽约一家投资公司和一家国际转账平台的移动API遭遇了凭据填充攻击。尽管两个实体都没有报告任何欺诈行为,但其中一次攻击导致系统长时间停机,导致近200万美元的收入无法收取。
据一位可信的金融消息人士透露,2019年6月至11月,一小群网络犯罪分子以一家金融服务机构及其三名客户为目标,导致4000多个网上银行账户受损。然后,网络罪犯使用账单支付服务向自己提交欺诈性付款-总计约4万美元-然后电汇到外国银行账户。根据对其中一家公司2020年的一项案例研究,安全研究人员在80多起数据泄露事件中发现了1500多个电子邮件地址和6000多个密码。其中一些凭据属于公司领导层、系统管理员和其他拥有特权访问权限的员工。
FBI安全咨询,你可以在这里阅读全文,警告金融机构对日益增长的凭证填报威胁采取保护措施。
警报包括基本的检测策略和缓解建议,这些策略和缓解建议可以普遍应用于所有行业,而不仅仅是活跃在金融垂直领域的公司。