近期證券商遭受駭客撞庫攻擊(Credential Stuffing Attack)資安事件頻傳,駭客於攻擊後利用合法身份登入並操作系統,進行account takeover之後的不法利益獲取,包括被竊帳號之非授權資金操作及登入網路系統後的後續行為,這次的攻擊行為與威脅除了影響企業商譽,客戶權益也遭受極大的損失。
期交所也提醒,為保護客戶權益,檢視取得憑證登錄防護力以及再次審核憑證相關系統檢核流程與異常登入帳戶等兩大控管措施,成為所有被攻擊券商強化資安首要之務。這次的事件也同時也受到銀行、電商、政府、醫療、製造業等客戶的高度關注。
根據 F5 SIRT 安全事件回應團隊所提供的資料顯示,2017 至 2019 年期間金融服務機構最常見的安全事件是帳號撞庫攻擊和蠻力攻擊,佔整體的41% 。 F5 Shape Security研究估計,平均每天有 2.322 億次惡意登入嘗試,成功率為 0.05%,這意味著每天有 116,106 次成功的帳戶接管攻擊,這些攻擊平均可從個人帳戶竊取 400 美元。
駭客使用撞庫攻擊行為模式會有以下步驟,首先駭客於暗網購買外洩之帳密個資,第二步驟是使用自動化程式針對特定公開登入系統網頁實施撞庫攻擊,第三是在獲得成功驗證之帳號及個資,最後使用成功驗證之帳號個資,登入應用系統,進行不法利益行為及破壞。面對各式各樣的攻擊方法,防禦策略不僅只是在無止境的阻止 IP 位址、指令碼或機器人程式,使攻擊者失去動力並有效地打擊網路詐欺的方法之一,是破壞攻擊軟體的開發生命週期。
F5建議所有既有客戶立即採取下列步驟,依序建立防禦撞庫攻擊防線,以保障客戶及使用者帳號之數據價值:
- 建立AI機器人流量解析引擎
- 於現有或新購之F5 BIG-IP AWAF設定防護規則
- 於現有或新購之F5 BIG-IP AWAF納入撞庫攻擊偵測資料庫
- 時時監控、零信任資安政策
只要有利可圖,組織化的犯罪集團就會尋找並利用您應用程式中的弱點。F5目標是實作安全防禦對策,透過進階機器人偵測功能可以即時減少詐欺應用程式請求,並允許合法人工請求,而且不會產生額外的摩擦。建立撞庫攻擊防線刻不容緩,防止客戶機敏資訊外洩以及更巨大的商業損失。
