2020年,攻击者突然加大撞库装备(crashstuffing),用被盗或重复使用的凭证轰炸网站,并试图获取用户账户访问权限。根据Akamai最新的《互联网现状》报告,仅凭据攻击尝试就有1930亿次失败。事实上,虽然Akamai将攻击次数的急剧增加部分归因于其客户的增长和对此类攻击的可见度的提高,但使用凭据的登录攻击尝试次数从2019年的470亿次跃升了310%以上。总体Web攻击,例如SQL注入攻击,增长温和,从2019年的62亿次增加到2020年的63亿次。Akamai首席安全研究员SteveRagan表示,攻击的增加不仅仅是因为攻击者在网站查看哪些网站具有吸引力,但威胁却有所增加。“当总体数字上升时,这意味着存在更多威胁。我们所看到的只是冰山一角。我们只关注攻击的一小部分。我们没有看到的就是问题所在。如果我们看到数字,如果它在增加,那么你就知道问题正在变得更糟。”去年,大多数企业将大部分基础设施迁移到云端,以允许因COVID-19大流行而创建的远程工作人员访问公司应用程序和数据。由于可以使用用户名密码组合访问许多云服务,因此攻击者也更加关注在这些服务和VPN网关上。Akamai认为,2020年上半年数百万新用户名和密码的泄露是下半年撞库攻击数量激增的原因之一。“一旦这些被盗凭据流传开来Akamai研究人员在5月19日的一份报告中写道,攻击者在互联网上测试其针对品牌门户网站(包括一些金融机构)的有效性。经济中凭据滥用激增的疯狂和混乱背后是有原因的。虽然Akamai阻止的Web应用程序攻击远少于撞库攻击,但它们的危险性要大得多。SQL注入(SQLi)攻击针对支持网站的数据库,占所有Web应用程序攻击的三分之二以上,本地文件包含(LFI)攻击排名第二,但占比远低于SQL注入攻击,约占所有Web应用攻击的2/3。占攻击总数的22%,而跨站脚本攻击排名第三,占6%.最新一期的Akamai报告也揭示了针对金融服务公司的攻击,报告发现,针对金融行业的撞库攻击尝试数量与去年同期相比增长了45%,达到了惊人的3.5次2020年10亿。与整体攻击趋势不同,在针对金融服务公司的Web攻击中,本地文件包含攻击所占份额最大,占比52%。SQL注入攻击占三分之一,跨站脚本攻击占9%。该报告引用了一个名为Kr3pto的网络犯罪团伙,称该团伙使用网络钓鱼工具包来攻击英国金融公司品牌。“Kr3pto网络钓鱼工具包的目标是受害者的用户名和密码,以及使用的任何辅助身份验证方法,例如安全问题和答案、SMSPIN等。该工具包使用的工作流程,”Akamai的报告中写道。它可以无缝地动态适应受害者在其银行的登录体验。”报告中分析的另一个名为Ex-Robotos的网络钓鱼工具包以使用Dropbox、Office365、OneDrive和SharePoint等产品的公司和员工为目标。该工具包是网络钓鱼工具包开发商的最新产品,它将其他犯罪工具组合成一个“犯罪软件即服务”产品。SMS网络钓鱼也已成为一种主要威胁。由于用户对文本消息中的URL(大约98%的短信被打开),用户更有可能被短信中的链接诱骗。“网络钓鱼仍然是一种数字游戏:尽可能多地抛出诱饵,看看你会得到什么,”Ragan说。但越来越多专业网络钓鱼者,尤其是那些运行网络钓鱼即服务的人,现在几乎只进行有针对性的诱饵或鱼叉式网络钓鱼,因为他们有数据支持这种有针对性的攻击。”Akamai建议使用基于时间的一次性密码(OTP)进行多因素身份验证(MFA),例如GoogleAuthenticator或Duo双因素身份验证,这是防止撞库和网络钓鱼攻击成功的最佳方式。此外,UniversalSecondFactor(U2F)方法,例如YubiKey,允许大多数应用程序采用这种更强大的身份验证形式。Akamai的新互联网现状报告《金融网络钓鱼》:https://www.akamai.com/us/en/multimedia/documents/互联网现状/soti-security-phishing-for-finance-report-2021.pdf
