这种网络攻击方式利用了在暗网市场上出售的凭证数据库。这些数据库通常是从公开泄露的数据中整理而来的，而且还会被分享到暗网之外的论坛上。一项2020年的审计结果显示，有150亿个凭证被出售，而这些凭证都来自10万起数据泄露事件。在2021年至2024年期间，RockYou又增加了200亿个凭证。为了保护自己，你可以请求进行暗网扫描，以确认自己的电子邮件凭证是否已被泄露。

Mastercard的信用处理部门报告称，所使用的凭证的质量正在不断提高。这种行为使得身份欺骗变得更加危险。因此，所有组织都面临着被攻击的风险，它们必须评估自己面临的身份泄露风险。

填写认证信息的过程是如何运作的？

凭证填充攻击通常遵循类似的作案手法：

设置机器人来发起攻击

攻击者进行了相应的设置/准备工作。僵尸网络这些机器人属于自动化工具，其作用是向目标网络发起登录尝试。

攻击者通常会他们隐藏自己的身份，以此来绕过网络安全系统。这些复杂的攻击方式会利用具有多个IP地址的机器人来实施攻击。这些机器人似乎来自不同的地理位置。这种攻击方式能够突破那些通过多次登录失败来限制IP地址使用的防御机制。

2. 攻击目标

这些机器人利用被泄露的凭证信息，来访问那些价值较高的目标。

例如，他们的数据集中可能包含来自电子商务网站数百万用户的登录信息。他们的目标可能是那些拥有类似用户群体的银行或保险公司。如果客户在银行和电子商务网站的登录信息中使用相同的密码，那么这种凭证填充攻击就有可能成功。

凭证填充攻击的成功率约为0.1%。也就是说，每1000个账户中，只有1个账户的凭证与目标网络的认证信息匹配，从而能够访问该网络。攻击者利用庞大的数据集，其中包含数百万条凭证信息，以提高攻击的成功率。尽管这种攻击的成功率很低，但由于尝试的次数非常多，因此风险仍然相当高。

0.1%听起来似乎是一个相当低的成功率。不过，这种凭证填充技术可以处理包含数百万个用户名和密码的数据集。典型的攻击行为可以带来数千次的成功案例。每一次账户被劫持后，都可能引发直接提款或支付勒索款项的行为，因此，这种投机性的攻击行为是值得的。

3. 扩散式凭证填充攻击

credential stuffing攻击通常不会因为一次成功的访问请求而停止。被妥协的凭证可以在多个账户中使用。这使得攻击者能够增加他们的收益。

自动化工具成功登录后，可以扫描多个网站。这种技术使得凭证填充攻击更加高效，同时利用了人们使用密码时的常见模式。大约78%的人会在多个网站上使用相同的凭证。

如果某人的银行账户成功被利用来填写虚假的认证信息，那么这种手段很可能也适用于他们的健康保险账户、会计账户或零售账户。

4. 利用账户接管功能

攻击者可能会采取长期性的攻击方式，通过获取用户的账户访问权限来监控用户的信息。如果他们能够不被发现，那么网络犯罪分子就可以获取信用卡号码、交易详情、常用联系人信息、雇主信息等等，以及许多其他有价值的数据。

通过这种方式，这种填充凭证的攻击行为可能会导致身份盗窃。未来还会造成更多的损害。攻击者可以利用这些机密信息来进行社会工程攻击，或者针对公司的高管人员发动攻击。

5. 数据存储与销售

credential stuffing 还会为其他目的生成大量有价值的数据。攻击者们利用这一点来实施他们的攻击行为。将数据传输到安全的地方，并创建可用于出售给第三方威胁行为者的数据集，从而进一步实施攻击。

通过填写虚假信息获得的数据，通常比单纯的身份证件要更有价值得多。对于成功的攻击者来说，这就能带来即时的利润。例如，信用卡号码和PayPal登录信息在暗网上可以卖到20到100美元左右，而完整的身份资料则可以卖到超过1000美元。

凭证填充攻击与暴力攻击的区别

credential stuffing并不是唯一的与密码相关的网络安全威胁。攻击者还可以通过暴力攻击来试图获取访问权限。这些攻击方式各不相同，因此企业需要制定相应的安全策略来应对这两种威胁。

顾名思义，暴力攻击就是试图通过尝试各种不同的密码来使网络网关不堪重负。

简单的暴力攻击猜测用户的密码根据用户的用户名以及常见的弱密码形式来判断。例如，很多人为了节省时间，会将路由器密码设置为“admin”，而密码则使用“myname123”这样的组合。

攻击者可能会使用与已知用户名相关的单词组合来进行“字典攻击”。有些攻击方式则是将与用户名相关的单词与常见的数字序列结合起来，从而形成所谓的“混合式暴力攻击”。此外，威胁行为者还可以反过来利用这些信息，根据泄露的密码来猜测用户的用户名。

“凭证填充”是一种更为有针对性的攻击方式。与依赖猜测和计算能力不同，凭证填充攻击利用了某种特定的方式来进行攻击。已知信息为了提高成功率，这两种攻击方式都采用了试错的方法。不过，凭证填充这种方式的效率更高。

credential-stuffing攻击会产生什么影响呢？

凭证填充攻击最直接的影响就是……用户账户违规行为攻击者能够获取许多用户的账户信息。他们可以利用这些权限来……窃取这些账户中的信息，提取资金，或者进行购买行为。.

重复登录尝试也可能引发这种情况。自动锁定功能对于合法的用户来说，他们可能需要重新设置自己的密码。这可能会带来不便，同时也会导致业务损失。

攻击者还可以更进一步，发起攻击。账户被接管/占用在这种情况下，用户可能需要支付赎金，或者彻底失去自己的账户。

更糟糕的是，填写虚假的证书信息还可能导致后续的攻击行为。攻击者可能会利用这一手段来实施进一步的攻击。使用/运用 敏感信息 在钓鱼攻击活动中目标用户可能并不知道自己账户已经遭到攻击，这样一来，恶意攻击者就可以伪装成合法的联系人来行事。

成功的凭证填充攻击必然会导致……对受影响的企业来说，成本将会非常高。根据IBM的数据，全球范围内，数据泄露给企业带来的平均损失为488万美元；而在美国，这一数字则高达936万美元。企业还可能面临其他相关损失。监管处罚因为未能保护客户数据。

这些后果并非抽象的概念。凭证填充行为正是许多引人注目的网络攻击的罪魁祸首。例如，在2018年，银行巨头汇丰银行就遭遇了一次为期10天的数据泄露事件，导致客户的私人信息被泄露。攻击者利用了从其他地方泄露的凭证来入侵美国的汇丰银行账户。

近年来，其他大型企业也报告了存在伪造资质行为的事件。这些企业的例子包括Spotify、Netflix、PayPal和Zoom等公司。即便是那些拥有先进网络安全保护措施的企业，也面临着风险。

如何防止凭证填充攻击

凭证填充攻击会带来严重的后果，任何企业都可能受到其影响。因此，企业需要制定全面的安全策略，以锁定访问点、检测恶意入侵行为，同时为合法用户提供顺畅的访问体验。

使用多因素认证

多因素认证（MFA）每次登录时都需要使用独特的凭证。对于那些希望防止凭证填充攻击的公司来说，这应该是最优先的事情。

认证因素包括生物识别技术或发送到移动设备的一次性密码。这种方法可以避免依赖传统的用户名和密码方式，从而降低遭受凭证填充攻击的风险。

设备姿态安全性

设备姿态安全工具检查连接到您网络的设备是否正常。DPS能够确保连接到的设备符合网络规则，同时阻止那些不符合这些要求的设备的登录尝试。此外，这些过滤器还可以利用数字指纹技术来更准确地识别合法的设备。

IP地址允许列表

这些凭证填充机器人利用IP地址来发起攻击，并试图隐藏他们的活动。企业可以采取相应的措施来应对这种情况。配置防火墙 允许已获批准的IP地址同时，将所有其他内容都屏蔽掉（这也被称为“允许列表”）。

防火墙也可能如此。利用威胁情报数据库来阻止那些已知的恶意IP地址。以及那些正在试图伪造证书、欺骗他人的骗子们。

保护网络应用程序

网站通常是身份盗窃攻击的常见目标，因此需要采取特定的安全措施来保护它们。验证码表单这种机制可以识别出那些试图通过填充简单信息来获取访问权限的机器人。不过，有些恶意浏览器能够巧妙地绕过CAPTCHA机制。

最好的解决方案是使用JavaScript威胁检测工具来应对这一问题。“无头”浏览器就像 PhantomJS 一样。这有助于防止针对网页应用程序或客户数据表单的凭证填充攻击。

实施严格的密码政策。

最重要的步骤就是为不同的环境使用不同的密码。密码不应在不同的系统中重复使用。

过弱的密码策略也会为凭证填充攻击提供机会。企业应该要求使用强度较高的密码。避免使用与用户相关的词汇，同时混合使用数字、字母以及各种字符。加密的密码管理器能够让用户高效地管理多个强密码。

用户应该定期更换密码安全团队还应持续监控威胁情报信息，并在发生数据泄露警报后要求用户更改密码。

另一个常见的错误是，在网络访问和电子邮件客户端中使用相同的用户ID。应该为每个服务设置独立的ID。在可能的情况下，应避免多个账户被共享使用。

组织可以尽量减少遭受基于密码的攻击的风险。不过，可能无法完全防止所有类型的凭证填充式攻击。人为错误始终存在。虽然网络攻击者能够窃取大量数据，但最终，这些凭证仍有可能落入错误的人手中。

企业应该将上述安全工具与强大的网络安全工具相结合。对数据进行加密，使用虚拟私人网络，并实施网络分段处理。这样，就可以有效减少因凭证被盗而导致的损失，避免昂贵的数据泄露问题。

马上抢免费试听资格

上一篇：什么是勒索软件？

下一篇：什么是服务拒绝攻击（DoS攻击）？

意向课程：		*必选
姓名：		*必填
联系方式：		*必填请填写正确手机号
QQ：