一名尼日利亚黑客利用撞库攻击,将他人的工资据为己有,该案已在纽约南区地方法院开庭审理。根据起诉书和法庭供述,Onus自2017年7月起陆续盗取公司用户工资并将其转入自己的银行账户,黑掉5500名用户直至被捕。帐户,共转移了800,000美元。Ornus使用了一种简单而残酷的方法——撞库来窃取账户。通过凭据填充,攻击者使用从以前的数据泄露中获取的用户名和密码组合登录帐户。该方法不同于暴力破解或猜测密码,因为它不涉及破解,而是依赖于受害者经常在多个平台上重复使用相同的凭据。Onus于2021年4月14日在机场被捕,并对相关罪行供认不讳。最终裁决将于2022年5月12日公布。阻止撞库攻击的一种简单方法是使用多因素身份验证(MFA),它除了用户名和密码外还需要单独的验证码,通常通过以下方式发送给用户短信或使用身份验证应用程序,因此即使攻击者的登录名和密码被盗,他们也无法在没有MFA一次性密码的情况下登录。此外,用户也尽量避免在多个平台使用相同或过于相似的账号密码,不要使用过于简单的密码。例如,根据NordSecurity发布的《2021世界密码排行》,123456仍然是使用最多的密码。这种简单而连续的密码往往为网络犯罪分子提供了可乘之机。参考来源:https://www.bleepingcomputer.com/news/security/nigerian-hacker-pleads-guilty-to-stealing-payroll-deposits/
