保持安全 2:帳戶接管攻擊者如何竊取登入憑證

2023-05-08

關鍵要點

  • 在這一次的「保持安全」系列中,我們會探討駭客在帳戶接管 (ATO) 攻擊中用來竊取數據的各種技巧。

  • 犯罪者未經授權存取用戶帳戶時,便會發生 ATO 攻擊。這類安全性入侵可能導致資金與敏感資訊損失。

  • 了解駭客發動 ATO 攻擊的方法,並遵照下列基本安全性原則,用戶便能更好地保護自己免受此類攻擊。  

現在,保護您的登入憑證免於駭客竊取,比以往來得更為重要。我們生活在大部分個人敏感資訊儲存在網路上的數位化世界。具體而言,帳戶接管 (ATO) 攻擊已成為駭客用於竊取數位資產的常見手段。這些攻擊可能導致身分盜用、財物損失或名譽受損。

ATO 攻擊即網路犯罪者未經授權存取用戶帳戶,通常透過犯罪者自行竊取受害人登入憑證或與其他犯罪者交易而達成。 

在「保持安全」本篇文章中,我們將會更深入探討不同類型的 ATO 攻擊,並了解攻擊者如何竊取登入憑證,以及防止這類事件的策略。

攻擊者如何竊取您的登入憑證

駭客嘗試存取用戶帳戶的時候,會使用多種工具與策略。辨識不同類型的 ATO 攻擊非常重要,這能幫助用戶提高警覺,並備妥相關防禦措施防範此類威脅。

ATO 攻擊因其獨特性,有時難以分類,不同類型中亦常有相同之處。不過,最常見的 ATO 攻擊包含下列類型。

暴力破解 

暴力破解即駭客系統性猜測用戶登入憑證的各種組合,最常見的便是用戶名稱與密碼。這通常透過高速產生多種組合的自動化程式執行。

暴力破解的基本原則是透過試誤,繞過授權存取帳戶。駭客會不斷嘗試強行進入,因而得名「暴力破解」。最常見的暴力破解包含下列類型:

  • 簡易暴力破解:攻擊者不使用專門軟體,嘗試猜出用戶登入憑證。方法雖然簡單,但在密碼強度不高或或密碼設定習慣不佳時依然有效。部分案例中,駭客可透過少量的偵查工作猜出憑證 (例如找到用戶出生的城市,以通過常見的安全性提問)。

  • 字典攻擊:攻擊者有系統的測試稱為「字典」之預設清單當中的字詞語句,嘗試繞過授權存取用戶帳戶。這些字典包含常見密碼、語句或模式,比起手動試誤,攻擊者能更快更輕鬆地猜出正確組合。

  • 密碼潑灑:不若一般暴力破解多次攻擊單一帳戶,密碼潑灑則是逆向操作,同時攻擊多個帳戶。因此密碼潑灑有時會被稱作「逆向暴力破解」。為最小化觸動安全機制的風險,攻擊者通常只會就每個帳戶嘗試幾個密碼。 

攻擊者通常會蒐集與用戶帳戶有關的有效用戶名稱或電子郵件地址。攻擊者接著會對所有蒐集到的帳戶嘗試一系列常用或強度不高的密碼 (例如「password123」或「qwerty」)。有些時候密碼可能已被知曉 (即通過安全性漏洞得知),攻擊者便會利用已知密碼搜尋對應的登入憑證。

  • 憑證填充:攻擊者蒐集竊取的登入憑證,並在許多其他網站上進行測試,嘗試存取更多用戶帳戶。舉例而言,駭客可能會在線上遊戲或社交媒體、網路銀行或數位交易所等平台測試用戶帳戶遭到竊取的用戶名稱與密碼。這類型暴力破解專門針對用戶的不良密碼設定習慣,例如在不同平台的多個帳戶上重複使用密碼或用戶名稱組合。

攻擊者也可能使用超過一種暴力破解的組合。常見的例子便是駭客將簡易暴力破解與字典攻擊結合,先從可能單字列表開始,接著測試字元、字母與數字組合猜出正確密碼。這個想法即是使用多種方法的成功率會較使用單一方法更高。

社交工程攻擊

社交工程攻擊仰賴已知的人類心理學或社交模式,駭客會利用欺詐或操縱技巧,強迫用戶洩漏登入憑證或其他敏感資訊。一般而言,攻擊者會先調查受害者,接著獲取信任,最終誘騙他們洩露自身相關資訊。

ATO 攻擊者最常使用的社交工程技巧包含:

  • 拋餌:攻擊者謊稱會提供商品或服務,誘騙受害者落入竊取敏感資訊的陷阱。這些可在現實世界 (例如留下讓受害者發現的受感染隨身碟) 或網路上 (例如謊稱給予免費數位資產,欺騙受害者點擊惡意連結) 進行。

  • 恐嚇軟體:攻擊者會用不存在的安全威脅假警報轟炸受害者,使受害者相信系統遭惡意軟體感染。軟體接著會提示用戶購買或下載無用甚至危險的軟體,以修復不存在的問題,而用戶實際上已成為攻擊受害人。假防毒軟體是常見的恐嚇軟體形式,諷刺的是,這些應該要打擊惡意軟體的服務,竟然本身就是惡意軟體。

  • 網路釣魚:攻擊者會發送詐騙訊息,通常透過假冒可信任實體的假造檔案進行,欺騙用戶洩漏如登入憑證或其他機密數據等敏感資訊。網路釣魚攻擊中,攻擊者通常會向多個用戶發送相同訊息。因此,這類攻擊在擁有威脅分享平台的伺服器上通常較為容易偵測。

  • 魚叉式網路釣魚:魚叉式網路釣魚是更為複雜的針對性網路釣魚攻擊,攻擊者會針對特定個人或組織制定攻擊方式。攻擊者會對目標進行大量研究,製作說服力極高的個人化詐騙電子郵件或訊息,誘騙用戶洩漏敏感資訊。因其個人化的特性,魚叉式網路釣魚攻擊效果更好,成功機率亦更高。 

惡意軟體攻擊

此類攻擊情境即是攻擊者運用惡意軟體繞過授權,存取用戶帳戶或系統。攻擊者的目標是透過社交工程攻擊等技巧誘騙受害者下載並安裝惡意軟體。安裝完成後,惡意軟體會在背景中隱密執行,滲透系統或網路並進行破壞、竊取敏感資訊或控制系統。 

ATO 攻擊者最常用的惡意軟體類型包含下列類型: 

  • 病毒:病毒會感染本機文件,將自身附加到正當檔案,以散播到其他電腦上。病毒能執行多種作業,包含損毀、刪除或修改檔案,破壞作業系統或在特定日期傳送有害程式碼。

  • 蠕蟲:與病毒功能類似,蠕蟲會自我複製,並透過電腦網路而非感染本機文件傳播。蠕蟲經常造成網路壅塞或系統當機。

  • 木馬:木馬會偽裝成無害程式,在背景中運行並竊取資訊,允許遠端存取系統,或等待攻擊者發出命令。

  • 勒索軟體:勒索軟體用於加密受害者電腦檔案,直到受害者向攻擊者支付贖金為止。

  • 廣告軟體:這類型的惡意軟體會在用戶瀏覽網路時顯示廣告。這些廣告可能用戶並不想看見,亦有可能是社交工程攻擊一部份的惡意廣告。這些廣告軟體也可用於追蹤用戶活動,進而可能損害隱私。

  • 間諜軟體:間諜軟體會監控並蒐集受害者活動資訊,例如按鍵紀錄、瀏覽的網站或登入憑證,並發送給攻擊者。其目標是在被發現前盡可能蒐集敏感資訊。

  • 遠端存取工具 (RAT):駭客通常會透過後門與木馬的 RAT 組合,遠端存取並控制受害者的裝置。

API 攻擊

應用程式介面 (API) 為用於創建軟體應用程式的協定或工具,允許第三方系統與用戶的線上應用程式連結。API 攻擊即是攻擊者利用 API 功能啟用的應用程式安全性漏洞,竊取用戶登入憑證或其他敏感資訊。

API 攻擊有多種形式,例如:

  • 注入攻擊:在 API 呼叫中注入惡意程式碼,執行未授權動作或竊取資訊。

  • 中間人 (MitM) 攻擊:攔截各方通訊,透過 API 修改應用程式之間傳送的資訊。

  • 阻斷服務 (DoS) 攻擊:利用大量請求使 API 工作量超過負荷上限,因而當機或無法使用。

  • 失效存取控制:利用 API 驗證或授權機制當中的漏洞,繞過授權存取敏感資訊或功能。

  • 連線劫持:竊取有效的用戶連線 ID,並透過該 ID 以相同層級的授權存取 API。

防範 ATO 攻擊的策略

ATO 攻擊可對個人與企業造成顯著影響。個人可能承受經濟上的損失、身份被盜用與名譽受損。對企業而言,攻擊可能導致資訊洩漏、經濟損失、監管單位罰鍰、商譽受損與失去客戶的信任。

因此,我們必須擁有防範 ATO 攻擊的策略。個人與組織皆應採取可靠的安全性措施與做法。 

個人防範 ATO 攻擊的措施

個人遵照下列作法,便能妥善防範 ATO 攻擊: 

  • 在條件允許時啟用多步驟驗證 (MFA),為安全性增加一層保障。在幣安,用戶啟用 4 種 MFA:電子郵件驗證、電話號碼驗證、幣安或 Google Authenticator,以及生物辨識認證。  

  • 為各個帳戶設定獨特的高強度密碼,應包含大小寫字母、數字與特殊字元。避免使用容易猜測的資訊,例如姓名、生日或常見語句。現在 ATO 攻擊 – 特別是暴力破解 – 特別多的原因,便是低強度密碼仍隨處可見。同時請固定更新密碼,並避免在多個帳戶上重複使用相同密碼。

  • 固定檢查您的線上帳戶與交易是否有可疑活動,並即時向網站或服務供應商回報任何異常活動。

  • 避免點擊可疑連結或開啟預期外的電子郵件附件,這些可能會令您遭受網路釣魚攻擊。務必檢查寄件人身分,並在採取任何行動前檢查電子郵件的內容。

  • 為您的裝置更新最新的安全性補丁,並使用如防毒軟體等可靠的安全性軟體以防範威脅。

  • 不公開個人資訊,並不要在社交媒體或其他網路平台上過度分享個人資訊,攻擊者可能會用於猜測您的密碼或通過您的安全提問,甚至對您發起針對性網路釣魚攻擊。

  • 避免在使用公共無線網路時登入敏感帳戶,因攻擊者可能會攔截您的資訊。連線公共網路時,使用信譽良好的 VPN 服務加密您的網路連線。

  • 為您的帳戶設定強效復原選項,如備用電子郵件地址或電話號碼,並隨時更新。這能協助您在帳戶遭人未授權存取時重新獲得帳戶存取權限。

  • 多加學習,了解最新的安全性威脅以及保護您的帳戶與個人資訊的最佳手段。持續更新有關網路安全維護的知識,以妥善保護自己,免受潛在攻擊的威脅。

組織防範帳戶接管攻擊的措施

組織可用運下列策略防範 ATO,並保護用戶帳戶免於未經授權存取:  

  • 強制推行可靠密碼政策,要求用戶設定獨特高強度密碼,並建立最低密碼長度與複雜度要求。設立固定要求用戶更新密碼並防止在多個帳戶或服務上重複使用密碼的政策。

  • 為所有用戶帳戶實行多步驟認證 (MFA),特別是能存取敏感資訊以及擁有管理權限的帳戶。 

  • 固定追蹤用戶活動並監控是否有異常行為,例如不正常的登入時間、地點或多次登入失敗。運用進階分析方法與機器學習演算法偵測潛在帳戶接管嘗試。

  • 實行在一定次數連續登入失敗後鎖定用戶帳戶的措施,包含帳戶解鎖前的冷卻時間。

  • 為員工提供固定安全意識培訓,以利辨識並回報潛在網路釣魚攻擊、社交工程嘗試或其他可能導致帳戶接管的威脅。

  • 確保員工使用的所有裝置皆有最新防毒軟體的保護,並強制執行保持作業系統與應用程式安裝最新安全性補丁的政策。

  • 固定執行安全性審核與漏洞評估,辨識組織安全態勢中的潛在弱點並即時處理。

用戶安全是幣安的首要任務,我們也投入了大量資源,確保切實執行上列清單所有措施,並額外實行其他有用的方法。

若您的憑證遭侵害,該怎麼辦

若您的登入憑證遭駭客竊取,您必須立刻採取行動,以保護您的帳戶與敏感資訊。您可遵照下列步驟減輕損害,並阻止損害繼續擴大:

  • 更改您的密碼:第一個、同時也是最重要的步驟,便是變更所有受到影響的帳戶密碼。

  • 聯繫您的服務供應商:若特定服務的登入憑證被竊取,請聯絡服務供應商,讓他們了解事件過程。他們可以採取行動,協助保護您的帳戶。

在幣安,用戶安全是我們的首要任務,我們竭盡所能保障您的安全。若您懷疑您的幣安帳戶遭入侵,請立刻聯繫客戶服務

  • 考慮使用信用監控服務:若您認為您的社會安全碼或信用卡資訊等個人資訊遭竊,請考慮註冊信用監控服務,這項服務能在您的帳戶發生可疑活動時即時發出警示。

請務必迅速採取行動,發現登入憑證可能遭竊時應盡速採取上述步驟。

保持安全

保護您的登入憑證,對於保障數位資產至關必要。用戶與公司若能了解不同類型的 ATO 攻擊、攻擊者如何竊取登入憑證以及防範 ATO 攻擊的策略,便能採取預防性措施保護自身。實行高強度密碼政策、多步驟驗證與在線監控及風險評估,有助於防範 ATO 攻擊,並保障數位資產的安全。

幣安的安全專家持續追蹤平台上的可疑行為,並據此強化我們的安全性協定。當用戶提交 ATO 報告時,我們會徹查按鍵,並向受影響的用戶提供協助。

幣安雖致力於保障您帳戶的安全,您的安全仍需由您負責。遵循本篇文章中提及的預防措施,您可以保護您的機密資訊,並降低成為 ATO 攻擊受害者的機率。若您認為您的幣安帳戶可能遭入侵,請立即聯繫客戶服務

延伸閱讀

免責聲明和風險警告:本內容均「如實」呈現,僅供一般資訊與教育用途,無任何類型的陳述或保證。資料內容不應視為財務建議,亦未意圖建議購買任何特定產品或服務。數位資產價格可能會有所波動。您的投資價值可升可跌,而且可能無法收回投入金額。您必須為您的投資決策全權負責,幣安對您可能承受的損失概不負責。本文非財務建議。更多資訊請參考我們的使用條款風險警告

239,213,398 位用戶選擇了我們。立即一探究竟。
立即註冊