Arkose Labs 的一项研究显示,在过去12个月内,发生了超过 20 亿次的撞库攻击 (2,831,028,247),相比去年暴增98%,并预计将在即将来临的圣诞节购物月达到顶峰。
2021 年上半年,撞库占所有在线流量的 5%,这是攻击者近来常用的网络攻击方法,用于未经授权访问受害者者的个人帐户。
通常,攻击者获取受害者帐户后,会通过多种方式将其“货币化”,包括耗尽账户的资金、窃取和转售个人数据、出售已知的经过验证的用户名和密码组合列表,以及使用被盗账户来进行洗钱活动。攻击通常利用人们在多个站点上重复使用相同的用户名或密码组合。
在过去几年中,撞库已被反欺诈组织确定为一种日益增长的威胁趋势。近几个月来,由于新冠疫情大流行和网上购物的增长,撞库攻击行为迅速激增。
据研究分析师称,去年圣诞节和新年购物期间的撞库事件增加了 56%,预计 2021 年同期每天将有多达 800 万次针对消费者的攻击。
2021 年上半年,Arkose Labs 网络检测并阻止了 2.85 亿次撞库攻击,单周峰值超过 8000 万次,其中一个受到严重攻击的社交媒体组织在短短一周内就发生了 150 万次撞库攻击。
Arkose Labs首席执行官Kevin Gosschalk评论道:“全球电子商务格局比以往任何时候都更加紧密,个人信息已成为欺诈者的“货币”。撞库攻击是多产的。它已成为在线业务的一个巨大威胁,并且正在迅速取代其他众所周知的攻击策略,例如勒索软件,成为需要提防的网络攻击方式。”
此外,研究还发现,游戏、数字和社交媒体以及金融服务是各行业中受到攻击最多的行业,其中针对游戏行业的近50%的攻击来源于撞库攻击,而英国也被确定为对世界其他地区发起撞库攻击最多的国家之一。
参考来源:https://www.helpnetsecurity.com/2021/12/23/2021-credential-stuffing-attacks/
原文链接:https://www.freebuf.com/articles/317317.html
