什麼是帳戶盜用?

當惡意方獲得對合法使用者帳戶的控制權或存取權限時,稱為帳戶盜用攻擊。

學習目標

閱讀本文後,您將能夠:

  • 定義「帳戶盜用」
  • 列出主要帳戶盜用攻擊手段
  • 瞭解如何預防和緩解帳戶盜用攻擊

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是帳戶盜用?

普通人擁有數十個存取個人和商務網站、應用程式與系統所需的在線帳戶。帳戶盜用攻擊(顧名思義)試圖獲取對這些帳戶的存取權限,從而允許攻擊者竊取資料、傳遞惡意軟體或利用帳戶的合法存取和權限實現其他惡意目的。

帳戶盜用是如何發生的?

要發生帳戶盜用攻擊,攻擊者需要能夠存取目標帳戶的驗證資訊,例如使用者名稱和密碼組合。攻擊者可以透過多種方式獲取此資訊,包括:

  • 認證填充:認證填充攻擊會利用機器人,自動使用常見或被洩露的密碼清單來嘗試登入使用者帳戶。這些攻擊有可能會成功,因為許多使用者帳戶採用脆弱或重複使用的密碼進行保護——這是一個嚴重的安全性問題。
  • 網路釣魚:使用者認證是網路釣魚攻擊的常見目標,此類攻擊通常使用惡意連結將使用者導向到服務的虛假登入頁面,從而允許攻擊者收集其登入認證。
  • 惡意軟體:使用者電腦上的惡意軟體感染可以透過各種方式竊取密碼。其中包括從瀏覽器或系統密碼快取中傾印驗證資訊,或在使用者對帳戶進行驗證時記錄使用者的按鍵輸入。
  • 應用程式漏洞:使用者並不是在組織的系統和網路上擁有帳戶的唯一實體。應用程式也有帳戶,攻擊者可以利用這些帳戶中的漏洞來利用其存取權限。
  • 被盜 Cookie:儲存在使用者電腦上的 Cookie 可能儲存有關其登入工作階段的資訊,以允許在沒有密碼的情況下存取帳戶。透過存取這些 Cookie,攻擊者可以盜用使用者的工作階段。
  • 硬編碼密碼:應用程式通常需要存取各種線上帳戶才能執行其角色。有時,這些帳戶的密碼儲存在應用程式程式碼或設定檔中,這些檔案可能會在 GitHub 上公開或以其他方式洩露。
  • 洩露的 API 金鑰:API 金鑰和其他驗證權杖旨在允許應用程式透過 API 存取線上帳戶和服務。如果這些金鑰意外上傳到 GitHub 存放庫或以其他方式洩露,它們可以提供對組織帳戶的存取權限。
  • 網路流量窺探:雖然大多數網路流量都是加密且安全的,但部分裝置仍然使用不安全的通訊協定,例如 Telnet。能夠檢視此未加密網路流量的攻擊者可以從中擷取登入認證。

帳戶盜用攻擊的影響

帳戶盜用攻擊成功之後能夠授予攻擊者與合法帳戶擁有者相同的存取權和權限。透過此存取權限,攻擊者能夠執行各種動作,例如:

  • 資料竊取:帳戶盜用攻擊可能導致大量敏感、機密或受保護類別的資料(如信用卡號或個人身分資訊 (PII) 遭到洩露和外流。
  • 惡意軟體傳遞:帳戶盜用攻擊允許攻擊者在公司系統上安裝和執行勒索軟體與和其他惡意軟體。
  • 後續攻擊:一旦攻擊者取得對合法帳戶的存取權限,他們就可以利用該存取權限進行進一步的攻擊。有時,獲得對特定帳戶的存取權限只是為了這個目的(例如,攻擊者可能會竊取登入認證,寄希望於使用者在多個帳戶中重複使用密碼)。
  • 橫向移動:遭入侵的帳戶可以為攻擊者提供進入其他安全網路的入口點。從這個初始起點開始,攻擊者可以擴展其存取權限或在其他公司系統之間提升權限,此過程稱為橫向移動
  • 財務利潤:攻擊者可能會在暗網上出售對帳戶的存取權限,而不是自己使用盜用的帳戶。

如何防禦帳戶盜用攻擊

組織可以採取多個步驟來防止帳戶盜用,並將這些攻擊的影響降至最低。

防止帳戶盜用

縱深防禦是解決帳戶盜用攻擊風險的最佳方法。帳戶盜用攻擊通常利用不良的帳戶安全性做法。公司可以採取一些防禦措施來防止帳戶盜用攻擊,包括:

  • 強密碼原則:許多帳戶盜用攻擊利用弱密碼和重複使用的密碼。定義和實施強密碼原則(包括測試使用者密碼是否已在洩露中暴露)可能會使認證填充和密碼破解攻擊更難執行。
  • 網路釣魚防護:網路釣魚攻擊是攻擊者竊取使用者密碼的常用方法。透過網際網路篩選來篩選有風險的電子郵件或封鎖可疑網域,組織能夠降低使用者無意中洩露其認證的風險。
  • 多重要素驗證 (MFA):MFA 使用多重要素對使用者進行驗證,例如密碼和驗證器應用程式產生的單次密碼 (OTP) 的組合,或者除密碼外還使用硬金鑰。在所有帳戶上強制使用 MFA 會使攻擊者更難利用泄露的密碼。
  • 應用程式安全性測試:API 中公開的 API 金鑰和驗證權杖可以授予攻擊者存取組織線上帳戶的權限。強制實施強驗證做法並掃描應用程式程式碼和設定檔以查找驗證材料,可以防止這種情況。
  • 登入和 API 安全性:認證填充程式嘗試許多不同的使用者名稱和密碼組合,以嘗試猜測有效的登入認證。登入和 API 安全性解決方案可以幫助識別和封鎖這些攻擊。

帳戶盜用攻擊緩解

帳戶盜用預防對於管理帳戶盜用攻擊的風險非常重要,但可能並非總是有效。例如,對使用者個人電子郵件帳戶發起的網路釣魚攻擊,可能會洩露允許攻擊者登入到同一使用者之公司帳戶的登入認證。

除了上面列出的預防策略之外,組織還可以使用以下方法最大程度地減少這些攻擊造成的危害:

  • 行為分析:擁有對使用者帳戶的存取權限後,攻擊者可能會從事異常活動,例如洩露大量敏感性資料或部署惡意軟體。驗證後持續監視帳戶使用情況讓組織能夠偵測並回應成功的帳戶盜用攻擊。
  • Zero Trust 安全性:預設拒絕的 Zero Trust 安全性方法使攻擊者極難存取其目標應用程式或資源,即使他們擁有洩露的認證也是如此。攻擊者請求存取企業應用程式時需要經過基於身分、裝置狀態和其他環境訊號的驗證,然後才會被授予存取權限。採用嚴格且細化的 Zero Trust 原則後,組織能夠偵測可疑訊號(如請求所在的地理環境異常或者提出請求的裝置已被感染),然後拒絕攻擊者的存取請求。

Cloudflare Zero Trust 讓組織能夠允許對應用程式和系統的遠端存取,同時管理帳戶盜用攻擊的風險。藉助 Zero Trust 網路存取 (ZTNA),使用者只有在驗證其身分、環境並遵守公司原則後才能存取特定資源。