凭证填充:这种攻击是如何运作的以及如何防范

Radar
Radar

借 Stripe 强大网络之力打击欺诈。

了解更多 
  1. 导言
  2. 什么是凭证填充?
  3. 凭证填充是如何运作的?
  4. 凭证填充与暴力破解和密码喷洒有何不同?
  5. 凭证填充攻击的预警信号是什么?
  6. 为什么凭证填充对 SaaS 和 AI 平台很危险?
  7. 平台如何打击凭证填充攻击而不损害登录体验?
    1. 细致入微的速率限制
    2. 机器人检测和流量分析
    3. 受损凭证筛选
    4. 有条件的多因素身份验证 (MFA)
    5. 针对高价值操作的强制性 MFA
  8. Stripe Radar 如何提供帮助

凭证填充攻击使用自动化流程来测试被盗用的用户名和密码对列表,并获得对网站和应用的未经授权访问。这些攻击可能会造成数百万美元的损失。这种策略之所以能够成功,部分原因是虽然可能会提示用户设置更复杂的密码,但密码复杂性策略无法考虑到人们在各种网站或服务中重复使用相同凭证的情况。

下面,我们将更详细地了解什么是凭证填充,它与暴力破解和密码喷洒有何不同,成功接管后可能发生的欺诈种类,以及如何通过建立分层防御来阻止凭证填充。

要点

  • 凭证填充利用密码在各种账户间的重复使用漏洞。作为针对此类攻击的独立防御措施,强密码策略是无效的。

  • 软件即服务 (SaaS) 和人工智能 (AI) 平台面临凭证填充攻击的风险,包括账户接管、应用程序编程接口 (API) 滥用和免费层级“薅羊毛”。

  • 有效的防御需要在登录、注册和 API 端点中分层部署机器人检测、受损凭证筛选和共享信号。

什么是凭证填充?

凭证填充是一种网络攻击,犯罪分子利用以前数据泄露中泄漏的用户名和密码对,并针对其他服务自动测试它们。它之所以奏效,是因为密码重复使用很常见。研究一致表明,许多人在多个账户中使用相同的凭证,其中 72% 的 Z 世代报告称他们重复使用密码。

凭证填充是如何运作的?

凭证填充攻击者从犯罪论坛和暗网交易市场的违规数据库中获取凭证列表,有时也称为“组合列表”。其中一些列表包含数以亿计的经验证的用户名和密码对。他们将这些列表加载到能够发送数百万次登录请求、处理完全自动化的公共图灵测试以区分计算机和人类 (CAPTCHA)、轮换代理互联网协议 (IP) 地址并解析成功或失败响应的软件中。

为避免简单的速率限制规则,攻击者通过数千个不同的地址发送这些登录请求,通常是类似于合法用户流量的住宅代理。当登录成功时,该工具会将其标记。攻击者现在有了一个经验证的、有效的账户,并且可以提取已存储的支付方式、个人数据、API 访问权限或账户信用额度。

凭证填充与暴力破解和密码喷洒有何不同?

凭证填充、暴力破解攻击和密码喷洒是相关的,但在结构上是不同的。针对其中一种的正确对策不一定能阻止其他两种。

以下是简述:

  • 暴力破解:暴力破解攻击针对特定账户系统地尝试每种可能的密码组合。它的计算成本很高,速度很慢,而且对于具有账户锁定策略的面向网络的登录端点来说基本上是不切实际的。

  • 密码喷洒:密码喷洒攻击在大量账户中尝试一个或几个常见的密码(例如 Password1!、Welcome2024)。它旨在利用弱密码选择的同时,保持在每个账户的锁定阈值以下。密码策略首先可以防止用户拥有这些常见密码,并且是一种有用的对策。

  • 凭证填充:有时被认为是暴力破解攻击的一个子类,凭证填充攻击通过未经确认的登录页面运行合法的用户名和密码对,并控制他们成功登录的任何账户。标准的密码策略对凭证填充没有太大帮助,因为它们无法防止客户在不同账户之间重复使用密码。

凭证填充攻击的预警信号是什么?

凭证填充攻击很少以一次戏剧性的激增形式出现。它们通常更多地表现为缓慢的迹象累积。

请留意以下几点:

  • 跨账户登录失败率升高:暴力破解攻击在一个账户上显示多次失败。凭证填充同时显示分散在数千个账户中的中等失败率。如果您的基准登录失败率为 2%–5%,并且突然全面跃升至 15%–20%,那么该变化就值得立即调查。

  • 新 IP 的突然涌入:住宅代理网络从在信誉列表中看起来很干净的地址生成请求。但是,如果与登录活动相关联时,以前从未访问过您的平台的 IP 激增是一个重要信号。

  • 不寻常的地理分布:在与账户历史访问模式不符的地区聚集的登录可能表明存在自动访问。

  • 跨许多请求的一致的 user-agent 字符串:合法的用户群体在浏览器指纹方面表现出巨大的差异。在凭证填充攻击中,同一个 user-agent 字符串通常会在数千个请求中重复,这是一种值得标记的模式。

  • 较高的尝试成功率:正常用户会失败一两次,然后要么成功,要么重置。凭证填充工具成功率很低,但每次会话会生成大量尝试。

  • 登录端点出现无法解释的流量激增:即使有 IP 轮换,端点本身在凭证填充攻击期间也会看到更多的总请求。在没有相应的营销活动或产品发布的情况下,大幅激增即为警告信号。

为什么凭证填充对 SaaS 和 AI 平台很危险?

凭证填充攻击者会验证有效的凭证,以建立可访问的账户组合。一旦他们成功入侵,就能造成更大的破坏。

如果您运营 SaaS 或 AI 平台,则需要了解以下内容:

  • 账户接管和数据窃取:一旦攻击者进入客户账户,他们就可以窃取个人数据、支付详情、私人文件或通信。如果您的平台处理敏感的商业数据,单个受损账户可能会导致超出攻击者最初目标的泄露。

  • 即时账户变现:攻击者可能会立即将受损账户套现。账户中的积分可能被耗尽,或者用于欺诈性购买,凭证也可能在犯罪论坛上被转售。

  • 通过已存储的支付方式进行欺诈:拥有已保存的支付方式的账户是高价值目标。攻击者可以发起购买、转移信用额度或重定向提现,这会给平台及其用户造成直接的财务风险。

  • 新账户欺诈:在确认您的平台有可获取的价值后,攻击者通常会开始创建更多欺诈性账户。免费试用、注册奖金和与新账户绑定的 API 访问权限都是目标。

  • 免费试用滥用和免费层级“薅羊毛”:凭证填充可能会演变成其他类型的欺诈。攻击者可能会在许多账户之间循环使用免费层级访问权限,以规避用量限制。这对于 AI 平台来说是一个实质性的财务问题,因为免费提供 API 调用和推理信用额度会直接给平台带来成本。

  • API 滥用:AI 平台上的账户通常带有 API 访问权限和用量配额。接管账户的攻击者可以耗尽这些配额、转售访问权限或将计算资源用于他们自己的目的。所有这些都会给平台带来基础设施成本。

  • 支持负担:账户受到损害的客户需要大量支持。密码重置、欺诈争议和账户恢复工作流程会消耗时间、金钱和其他资源。

  • 声誉受损:在您的平台上账户受到损害的用户可能会指责您的平台,无论他们的凭证最初是在哪里泄露的。

平台如何打击凭证填充攻击而不损害登录体验?

凭证填充攻击预防依赖于分层多重防御,以便每一层都能提高攻击的成本。以下是您的一些选择。

细致入微的速率限制

如果您通过 IP 设置了全面的速率限制,攻击者可能会使用代理轮换进行规避。更有效的方法是按账户(例如,此特定账户在过去 10 分钟内有多少次失败尝试?)、设备指纹或行为模式进行速率限制。组合使用甚至更好。

机器人检测和流量分析

部署分析行为信号(例如,鼠标移动模式、击键时间、请求节奏、JavaScript 挑战响应)的机器人管理解决方案。Cloudflare Bot Management 或 Akamai Bot Manager 等工具甚至在流量到达您的身份验证逻辑之前就对其进行评分。

受损凭证筛选

k-匿名模式允许用户在不共享完整密码的情况下检查他们的密码是否已受损。诸如 Have I Been Pwned 的泄露密码查询工具等服务,利用该模式检查用户的密码是否出现在已知的数据泄露数据集中。

有条件的多因素身份验证 (MFA)

无需在每次登录时都要求进行此类验证,而是为异常信号保留 MFA 提示。如果登录尝试来自新设备、新国家/地区,或者在较长一段账户休眠期之后,那么此时要求进行第二因素身份验证是个好时机。这可以为普通用户保持高效的体验,同时捕获可能的凭证填充场景。

针对高价值操作的强制性 MFA

即使您在登录时不要求进行 MFA,我们也建议您在用户更改其电子邮件地址、添加新支付方式或访问 API 密钥之前要求其进行 MFA。这可以限制发生接管时的损失。

Stripe Radar 如何提供帮助

Stripe Radar 使用 AI 模型来检测和预防欺诈,这些模型基于 Stripe 全球网络的数据进行训练。随着欺诈手段的不断演变,它会根据最新的欺诈趋势不断更新模型,从而保护您的业务。

Stripe 还提供 Radar 风控团队版,该版本允许用户添加自定义规则,以应对特定于其业务的欺诈情境,并支持获得高级欺诈洞察。
Radar 可以帮助您的企业:

  • 避免欺诈损失:Stripe 每年处理超过 1 万亿美元的支付交易。这种庞大的规模赋予了 Radar 独特的能力,使其能够精准地检测并预防欺诈行为,为您节省资金。

  • 增加收入:Radar 的 AI 模型基于真实的争议数据、客户信息、浏览数据等多维度信息进行训练。这使得 Radar 能够识别高风险交易并减少误报,从而提升您的收入。

  • 节省时间:Radar 内置在 Stripe 中,无需编写任何代码即可启用。您还可以在同一个平台上监控反欺诈表现、编写规则等,从而提高效率。

进一步了解 Stripe Radar,或立即开始使用

本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。

更多文章

  • 出错了。请重试或联系支持人员。

准备好开始了?

创建账户即可开始收款,无需签署合同或填写银行信息。您也可以联系我们,为您的企业定制专属支付解决方案。
Radar

Radar

借 Stripe 强大网络之力打击欺诈。

Radar 文档

用 Stripe Radar 保护您的业务,远离欺诈。