第三步:信息售賣:被盜信息往往通過看似正規(guī)的渠道流入攻擊者的口袋
在驗證過需要的賬戶信息的憑證之后����,攻擊者會選擇出售賬戶信息或直接發(fā)起賬號接管攻擊從而獲取利益。當攻擊者想要出售賬戶信息時也會通過相對隱蔽的方式���,例如廣為大眾熟知的加密貨幣�����、積分轉移�、禮品卡兌換等方式將賬戶信息轉換為其他資產(chǎn)���。值得注意的是����,除了上述幾種方式����,“錢騾”也是攻擊者匿名轉移資金的常用工具�����?!板X騾”指的是以轉移或轉運經(jīng)騙取得來的資金和高價值貨物謀取金錢利益的人��。
有時����,普通人無意之中也可能被選為“錢騾”�����。典型的場景是�,一個人錢包和信用卡被盜,但并沒有及時發(fā)現(xiàn)�����,待他意識到之后才發(fā)現(xiàn)信用卡賬單上出現(xiàn)了其他地區(qū)的禮品卡交易信息���。攻擊者就是這樣通過其信用卡轉移資金來避免后續(xù)追蹤的�,而這個人是攻擊者的“錢騾”��。
此外�,“錢騾”不僅局限于人,還可以是機構組織��。以Blackhawk Network(黑鷹網(wǎng)絡)為例��,它是相對合法的組織,并不是一個犯罪組織����。但是這類組織提供相應金錢兌換和支付的行為,可以幫助某些不法分子或某些攻擊者提供相應的積分轉換或金錢快速匯款等操作��,也可以作為“錢騾”����。
如何抵御ATO攻擊?將爬蟲程序抵御與新的人類用戶分析和風險評分相結合
面對來勢洶洶且手法隱蔽的ATO攻擊�����,企業(yè)又該如何保護好自己及客戶的賬戶信息�����?我們將攻擊過程拆解后��,發(fā)現(xiàn)此類攻擊的防范其實有章可循��。
如前所述���,攻擊者通常會利用看似正常的IP地址偽裝自己����,發(fā)送合法請求和相應的頭部信息�。這些IP地址的本地網(wǎng)絡與攻擊目標相同,而且名譽良好���,非常具有迷惑性���。因此,企業(yè)需要考慮�,哪些情況是攻擊者無法通過普通的IP地址設備完成的?如果企業(yè)為真實的用戶創(chuàng)建用戶畫像�����,限定用戶的登錄邊界�,判定用戶在登錄時的行為和場景。那么當用戶的賬號被攻擊者利用時�,攻擊者就無法持有與此類用戶相同或類似的相關信息或設備指紋進行ATO攻擊,這就是新的人類用戶分析和風險評分技術�����。舉例而言�����,某個位于廣東的用戶,日常習慣通過移動網(wǎng)絡使用iPhone手機登錄自己的賬戶��,倘若他登錄成功后的五分鐘���,他的賬號又通過一臺位于新加坡的電腦進行登錄�����,這種情況就會被判定為可疑的登錄操作���。
當然,爬蟲程序抵御方案也是必要的網(wǎng)絡攻擊防護手段��。因為攻擊者在進行撞庫攻擊�、賬戶密碼驗證時,通常會使用自動化的爬蟲程序����。通過爬蟲的管理方案�����,可以管理有益和有害的爬蟲,減輕爬蟲程序造成賬號密碼的泄漏風險��。但爬蟲程序管理方案并不足以防范ATO攻擊�,有時其他途徑也會造成賬戶密碼的泄漏。未來賬戶保護的技術需要將爬蟲程序抵御方法與新的人類用戶分析和風險評分相結合����,去探索真實用戶的登錄行為,形成防御效果更好的縱深防護系統(tǒng)����,從而幫助企業(yè)的平臺、網(wǎng)站以及系統(tǒng)成功抵御ATO攻擊���。
作者:李岳霖��,Akamai高級技術顧問���,CISSP認證。主要從事大型企業(yè)���、教育���、電商�、金融等相關行業(yè)的云基礎架構����、信息安全解決方案的規(guī)劃與建設,具有多年網(wǎng)絡性能�����、媒體交付���、互聯(lián)網(wǎng)攻擊防護���、爬蟲管理、應用訪問控制等工作經(jīng)驗��。
