第三步:信息售賣(mài):被盜信息往往通過(guò)看似正規(guī)的渠道流入攻擊者的口袋
在驗(yàn)證過(guò)需要的賬戶(hù)信息的憑證之后,攻擊者會(huì)選擇出售賬戶(hù)信息或直接發(fā)起賬號(hào)接管攻擊從而獲取利益����。當(dāng)攻擊者想要出售賬戶(hù)信息時(shí)也會(huì)通過(guò)相對(duì)隱蔽的方式,例如廣為大眾熟知的加密貨幣�、積分轉(zhuǎn)移����、禮品卡兌換等方式將賬戶(hù)信息轉(zhuǎn)換為其他資產(chǎn)。值得注意的是�����,除了上述幾種方式�,“錢(qián)騾”也是攻擊者匿名轉(zhuǎn)移資金的常用工具?!板X(qián)騾”指的是以轉(zhuǎn)移或轉(zhuǎn)運(yùn)經(jīng)騙取得來(lái)的資金和高價(jià)值貨物謀取金錢(qián)利益的人。
有時(shí),普通人無(wú)意之中也可能被選為“錢(qián)騾”��。典型的場(chǎng)景是,一個(gè)人錢(qián)包和信用卡被盜����,但并沒(méi)有及時(shí)發(fā)現(xiàn),待他意識(shí)到之后才發(fā)現(xiàn)信用卡賬單上出現(xiàn)了其他地區(qū)的禮品卡交易信息���。攻擊者就是這樣通過(guò)其信用卡轉(zhuǎn)移資金來(lái)避免后續(xù)追蹤的���,而這個(gè)人是攻擊者的“錢(qián)騾”。
此外�����,“錢(qián)騾”不僅局限于人��,還可以是機(jī)構(gòu)組織。以Blackhawk Network(黑鷹網(wǎng)絡(luò))為例,它是相對(duì)合法的組織����,并不是一個(gè)犯罪組織。但是這類(lèi)組織提供相應(yīng)金錢(qián)兌換和支付的行為��,可以幫助某些不法分子或某些攻擊者提供相應(yīng)的積分轉(zhuǎn)換或金錢(qián)快速匯款等操作�����,也可以作為“錢(qián)騾”�。
如何抵御ATO攻擊��?將爬蟲(chóng)程序抵御與新的人類(lèi)用戶(hù)分析和風(fēng)險(xiǎn)評(píng)分相結(jié)合
面對(duì)來(lái)勢(shì)洶洶且手法隱蔽的ATO攻擊�����,企業(yè)又該如何保護(hù)好自己及客戶(hù)的賬戶(hù)信息�����?我們將攻擊過(guò)程拆解后��,發(fā)現(xiàn)此類(lèi)攻擊的防范其實(shí)有章可循��。
如前所述���,攻擊者通常會(huì)利用看似正常的IP地址偽裝自己���,發(fā)送合法請(qǐng)求和相應(yīng)的頭部信息���。這些IP地址的本地網(wǎng)絡(luò)與攻擊目標(biāo)相同�����,而且名譽(yù)良好�,非常具有迷惑性�����。因此��,企業(yè)需要考慮,哪些情況是攻擊者無(wú)法通過(guò)普通的IP地址設(shè)備完成的��?如果企業(yè)為真實(shí)的用戶(hù)創(chuàng)建用戶(hù)畫(huà)像�����,限定用戶(hù)的登錄邊界,判定用戶(hù)在登錄時(shí)的行為和場(chǎng)景�。那么當(dāng)用戶(hù)的賬號(hào)被攻擊者利用時(shí),攻擊者就無(wú)法持有與此類(lèi)用戶(hù)相同或類(lèi)似的相關(guān)信息或設(shè)備指紋進(jìn)行ATO攻擊�,這就是新的人類(lèi)用戶(hù)分析和風(fēng)險(xiǎn)評(píng)分技術(shù)。舉例而言���,某個(gè)位于廣東的用戶(hù),日常習(xí)慣通過(guò)移動(dòng)網(wǎng)絡(luò)使用iPhone手機(jī)登錄自己的賬戶(hù)�,倘若他登錄成功后的五分鐘�����,他的賬號(hào)又通過(guò)一臺(tái)位于新加坡的電腦進(jìn)行登錄���,這種情況就會(huì)被判定為可疑的登錄操作�����。
當(dāng)然���,爬蟲(chóng)程序抵御方案也是必要的網(wǎng)絡(luò)攻擊防護(hù)手段����。因?yàn)楣粽咴谶M(jìn)行撞庫(kù)攻擊���、賬戶(hù)密碼驗(yàn)證時(shí)�����,通常會(huì)使用自動(dòng)化的爬蟲(chóng)程序。通過(guò)爬蟲(chóng)的管理方案�,可以管理有益和有害的爬蟲(chóng)�����,減輕爬蟲(chóng)程序造成賬號(hào)密碼的泄漏風(fēng)險(xiǎn)。但爬蟲(chóng)程序管理方案并不足以防范ATO攻擊���,有時(shí)其他途徑也會(huì)造成賬戶(hù)密碼的泄漏。未來(lái)賬戶(hù)保護(hù)的技術(shù)需要將爬蟲(chóng)程序抵御方法與新的人類(lèi)用戶(hù)分析和風(fēng)險(xiǎn)評(píng)分相結(jié)合�����,去探索真實(shí)用戶(hù)的登錄行為�,形成防御效果更好的縱深防護(hù)系統(tǒng)�,從而幫助企業(yè)的平臺(tái)��、網(wǎng)站以及系統(tǒng)成功抵御ATO攻擊。
作者:李岳霖,Akamai高級(jí)技術(shù)顧問(wèn),CISSP認(rèn)證�。主要從事大型企業(yè)����、教育���、電商���、金融等相關(guān)行業(yè)的云基礎(chǔ)架構(gòu)�����、信息安全解決方案的規(guī)劃與建設(shè)�����,具有多年網(wǎng)絡(luò)性能�、媒體交付、互聯(lián)網(wǎng)攻擊防護(hù)��、爬蟲(chóng)管理�����、應(yīng)用訪問(wèn)控制等工作經(jīng)驗(yàn)����。
