当前,至少有150亿个凭证在各种黑市和论坛上流传,这为网络犯罪分子提供了接管帐户攻击和身份出租服务的便利。
经过安全公司Digital Shadows的调查报告显示,多数泄露都是由于消费者自身对数据不够重视所导致的,于是黑客们可以利用这些凭证和数据,来发动凭证填充攻击。
报告显示:暴力破解工具和帐户检查程序在黑市和论坛上都有售卖,平均售价为4美元,其中最受欢迎的市场是UnderWorld(以前为RichLogs)和Tenebris,但最大的市场仍然是Genesis Market。
部分用户名和密码组合都是免费提供的,其中有50亿张凭证是“独一无二”“可售卖的”,这50亿张凭证的平均售价是15.43美元,防病毒帐户是20多美元,而其他类型的帐户(有线电视、社交媒体、流媒体、成人、音乐、文件共享和视频游戏帐户)通常不到10美元。
最昂贵的帐户是用于域管理员访问的,因为它们在网络上提供了最高级别的信任和控制,所以许多广告公司通过拍卖来提供域名管理员的访问权限,并以高达12万美元(平均3139美元)的价格将其卖给出价最高者。
这些价格的定位取决于所在行业,其中对地方政府和金融部门的要价最高。
如今凭据很少以纯文本形式出现,许多服务会检查指纹数据以识别未经授权的登录尝试。
于是黑市又开发了新的模式,比如Genesis Market的用户可以租用帐户访问权限来代替购买凭据,在一定时期内,使用最近推出的ATO“即服务”模式,罪犯可以用不到10美元的价格租用一个身份,该服务还提供了受害者的“指纹数据”(例如cookie,IP地址,时区),使其看起来像合法的所有者登录,从而更容易劫持帐户和执行交易而不会被发现。
从直接销售数据到通过凭证填充获得对其他帐户的访问权,再到租用帐户,使用数据创建综合身份,再到进行欺诈,网络罪犯有各种各样的赚钱方法。
除了破解密码外,攻击者们可以利用来自数据泄露的凭据列表,轻松地部署凭据填充(凭据重用)攻击,从而使同一用户可以访问更多帐户,并有机会收集更多个人信息。
长期以来,Sentry MBA一直是凭证填充攻击的最爱。它具有绕过某些安全防护(例如IP位置或速率限制)的功能。这使它可以尝试使用数百万个用户名和密码的组合,以找到目标网站的有效登录名。
在网络犯罪论坛上广泛讨论的另一种工具是OpenBullet,截至2020年,已占整个网络犯罪论坛的35%,这是一种网站测试套件,可以在目标Web应用程序上运行请求。它具有开源特性,自定义选项和较低的CPU使用率,以及随附的用于解析和抓取的工具,因此使其成为有吸引力的选择。
下图显示了网络犯罪分子在2020年提到的一组凭证验证工具。
对于普通用户而言,防御ATO攻击是一项轻松的任务,他们可以选择强而唯一的密码,并在支持该功能的服务上启用两因素身份验证(2FA),但这不能完全消除风险。