犯罪分子可以通過猖獗的地下經濟購買、出售和利用已被破解的賬戶憑據。暗網上銷售的被盜憑據達到數十億個。在中國，今年四月的一條涉及國內多家銀行數百萬條客戶數據資料在暗網被標價兜售的消息，一時曾激起千層浪[2]。雖然該消息的真實性最終被駁，但這些數據確真真實實在暗網上被出售、加強個人金融信息保護的呼聲也越發(fā)高漲。事實上，Sentry MBA或SNIPR等免費自動化工具讓犯罪分子能更加輕松地嘗試登錄信息并驗證被盜憑據。低成本的“僵尸網絡即服務” 平臺讓犯罪分子能夠大規(guī)模地發(fā)起撞庫活動。

正如我在文章一開始所提到的，金融服務機構經常成為撞庫攻擊的目標。銀行賬戶、信用卡賬戶、經紀賬戶和支付應用都是犯罪分子青睞的對象。如下圖所示，根據Akamai《2019年互聯(lián)網安全狀況報告：針對金融服務業(yè)的攻擊經濟》，所有撞庫攻擊中約有6%針對的是金融服務企業(yè)（雖然乍看之下，這個比例似乎較低，但您得考慮與其他行業(yè)相比，金融服務業(yè)遭受一次攻擊所產生的潛在總成本）。在18個月的時間里，Akamai共發(fā)現超過35億次針對金融機構的惡意登錄嘗試！

網絡犯罪分子還會利用撞庫非法訪問API。根據Akamai《2020年互聯(lián)網安全狀況報告：金融服務——惡意接管嘗試》，攻擊者常常將提供保密數據和服務訪問的REST和SOAP端點作為攻擊目標，然后利用這些數據和服務實施金融犯罪。下圖顯示了Akamai在一年內發(fā)現的惡意登錄嘗試。橙色表示針對API端點的嘗試。上半部分表示所有行業(yè)，下半部分表示金融服務領域。

抵御撞庫攻擊

撞庫攻擊可能會損害金融公司的聲譽并導致監(jiān)管處罰、法律成本和客戶流失，還會通過使用偽造的爬蟲流量令基礎設施癱瘓并破壞金融公司網站和網絡應用的性能。更糟糕的是，為了避免被發(fā)現，攻擊者一直在改良自己的技術，包括將登錄嘗試分配到數千個爬蟲、使用代理服務器、逐漸分散登錄嘗試等。

以下是幫助金融服務機構抵御撞庫和降低風險的三條建議。

建議一：重新審視應用程序和網站登錄頁面

許多應用程序和網站設計者會在不經意間確認用戶ID或其他可被用于發(fā)起攻擊的信息，這在無意中助了犯罪分子“一臂之力”。比如網絡犯罪分子可能會嘗試使用未經驗證的用戶ID和密碼登錄賬戶。如果Web應用程序返回錯誤消息、顯示密碼不正確，那么犯罪分子就可以認為用戶ID是正確的、然后使用暴力密碼破解方法或其他機制獲得該賬戶的訪問權。

金融服務機構應重新審視自己的身份驗證流程和登錄界面，確保自己沒有在“助紂為虐”。

建議二：強化多重身份驗證解決方案

即便網絡犯罪分子獲得了有效的登錄憑據，多重身份驗證解決方案也能防止金融服務應用程序被非法訪問。雖然多重身份驗證效果顯著，但它有時也無法阻止撞庫，甚至會適得其反，為攻擊者提供幫助。

許多多重身份驗證程序都要求用戶先輸入用戶ID和密碼組合，然后再根據提示輸入其他憑證，例如通過電子郵件或短信發(fā)送的驗證碼。犯罪分子可以利用多重身份驗證對用戶ID和密碼組合的驗證（大多數多重身份驗證解決方案在生成驗證碼之前會先驗證用戶ID和密碼組合）。在確認用戶ID和密碼后，犯罪分子可以通過魚叉式釣魚攻擊直接瞄準受害者、在暗網上出售經過驗證的憑據或嘗試其他惡意行為。為了達到全面保護的目的，金融服務機構應使用多重身份驗證與其他保護措施相結合的多層深度防御安全架構。另外，還必須防止攻擊者通過查詢網絡服務器響應發(fā)現有效的憑據。

建議三：部署爬蟲管理解決方案以獲得超強保護

為了獲得針對撞庫的超強保護，金融服務機構應在多層安全解決方案中加入基于網絡的爬蟲管理解決方案。犯罪分子會通過分布式僵尸網絡執(zhí)行復雜的撞庫攻擊。爬蟲管理解決方案在網絡邊緣檢測和控制非法爬蟲流量，在攻擊者進入金融服務機構應用程序或使基礎設施癱瘓之前阻止它們。頂尖的爬蟲管理平臺能夠使用人工智能和機器學習來檢測和阻止高級撞庫攻擊。

總結

為了盜取金融服務賬戶、竊取保密數據和實施交易欺詐，網絡犯罪分子正在發(fā)起精密復雜的撞庫攻擊。金融服務機構的應對之策包括重新審視其身份驗證流程以及在多層安全架構中加入強大的爬蟲管理平臺。Akamai Bot Manager（Akamai爬蟲管理器）等領先的爬蟲管理解決方案能夠在復雜的撞庫爬蟲到達應用程序或數據中心之前，發(fā)現并阻止它們。Akamai解決方案運用機器學習和行為分析來智能識別和化解撞庫攻擊，而且不會影響合法的爬蟲流量。Akamai Bot Manager基于Akamai智能邊緣平臺，覆蓋全球約325000臺服務器，因此具備全球級的可擴展性與性能。該解決方案每小時管理超過5.6億個爬蟲請求，對不斷進化的爬蟲環(huán)境擁有無與倫比的可視性。

zhupb