应用程序长时间不用,可能成为攻击者的目标

作者:杭州安恒信息技术股份有限公司广州分公司 | 国际 2019/06/18 18:15:56 272
文章来源:http://www.mottoin.com/detail/4067.html

        如果你有几个月没打开的银行或电子商务应用程序,现在是确认它们没被其他人使用的好时候。
        DataVisor(加州一家专门从事欺诈检测的公司)的一份报告显示,65%的账户曾经被攻击过——受害者长达90多天没有使用过这些应用程序,给了攻击者可乘之机。当一个账户长期处于休眠状态,骗子更容易利用简单的方法进入账户,拿走他们想要的东西,然后在被发现之前离开。
        其工作原理通常是这样的:攻击者收集用户名和密码,这些用户名和密码都是以前攻击者入侵流行网站时泄露的。然后,他们将信息输入自动工具,自动工具将被盗的证书提交到数十或数百个应用程序中。一旦成功,攻击者就可以窃取金钱、使用客户积分或暂时劫持社交媒体账户。
        DataVisor的报告称:“这类攻击方式(以及随后的欺诈活动)通常不会引起受害者的注意,因为他们已经很久没有管理自己的账户了。此外,账户所在的在线服务可能没有足够的用户信息来检测帐户行为是否发生了变化。如果没有相关活动的记录,识别可疑的异常现象就更难了。”


3a2ea8a0a699cabb95ab20e4bf768d8e.png


        DataVisor的数据提供了攻击者如何利用账户接管(ATO)攻击的最新信息。该公司没有具体说明研究的时间框架,也没有披露它研究的应用程序或服务。
        然而,这些数字具有启发性。即使一个月不登录也是很危险的。虽然65%的受影响账户是90天都未登录,但其中80%是那些30多天未登录其页面的用户。
        正如其他研究人员所指出的,这个问题也受到其他因素的影响。密码管理公司Dashlane的数据显示,大多数美国人使用多个社交媒体账户,在美国一个电子邮件地址平均与130种不同的服务相关。
        测试被盗用户名/密码组合有两种常见的技术:“凭证填充”和“密码喷涂"(password spray)。前者是指骗子将泄露的凭证在尽可能多的服务中进行尝试,后者是一种更为不精确的攻击,黑客使用脚本化的机器人对随机用户名测试常用密码。
        “不像正常的人类活动,表现出与清醒/睡眠时间相对应的昼夜模式,欺诈活动的脚本性质意味着它们可以在一天的任何时间持续发生。”
        接管账户成功后,攻击者的行为就很像一个偷了钱包的普通窃贼,快速地将钱花出去,以防被受害者发现。研究人员发现,72%的金融账户在被妥协后的一小时内进行了欺诈性交易。

        根据Javelin Strategy的年度身份盗窃报告,账户接管攻击已成为大型企业的一个主要问题,去年导致了40亿美元的损失,低于前年的51亿美元,但仍是2016年总额的两倍。星巴克的首席信息官表示去年,星巴克的咖啡销售商突然将安全工作外包出去,因为其了解到大约20%的用户名和凭证在暗网上出售,就像从Linkedln偷来的1.17亿凭证可以用来渗透星巴克客户账户。
        社交媒体账户有所不同,黑客可以在社交媒体账户上逗留一段时间,然后冒险采取行动暴露自己。DataVisor发现,在一次大规模攻击中,81%的受攻击账户在首次登录后三周就开始发布垃圾邮件和企图诈骗信息。
        研究人员将这种技术称为“账户孵化”,这种方法尤其难以检测,因为骗子的活动可能与真正的账户所有者混在了一起。

0c0f4dd8b743337cc1ac7a5bc7fde716.png


        近期研究的其它发现:
        20%被泄露的金融账户是在实际账户持有人注册地址300英里内被访问的,黑客可以通过本地连接重新路由他们的互联网连接,或以其他方式掩盖他们的真实位置来实现这一点。
        报告发现,只有3.4%的侵入社交媒体账户的攻击者在300英里范围内,这或许是金融服务使用更严格安全协议而社交媒体公司没有的证据。
        随着越来越多的用户开始依赖手机作为身份验证技术,攻击者也开始转向手机。Javelin称,去年,17%的ATO受害者的电话账户被接管,而前年这一比例仅为10%。分析人士将这归咎于骗子需要访问用户的手机,以及短信来应对多因素身份验证。


推荐关注

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室