根据纽约州的一项调查显示，在针对17家不同公司的一系列凭证篡改攻击中，已经有超过110万个在线账户遭到了破坏。

凭证填充攻击，如去年对Spotify的攻击，攻击者使用自动脚本对在线账户进行了大量的用户名和密码组合的尝试，并试图接管它们。一旦进入到账户内，网络犯罪分子就可以利用被攻击的账户达到各种目的。并以此作为入口，深入到受害者的机器和网络，提取出账户的敏感信息。如果是电子邮件账户，他们还可能冒充受害者来攻击他人。

由于用户使用了重复的密码和使用一些常见的容易猜解的密码，如 "123456"，这种攻击往往会成功。它们给企业造成的损失很高，Ponemon研究所的 "凭证填充攻击成本" 报告发现，企业平均每年会因凭证填充攻击而损失600万美元，这些都表现为应用程序停机、客户流失和IT成本增加。

安全意识倡导者James McQuiggan通过电子邮件说："由于在野有超过84亿个密码，其中有超过35亿个密码与实际的电子邮件地址紧密相关，这为网络犯罪分子提供了一个很方便的攻击载体，来针对各种在线网站的客户账户进行利用攻击。这些类型的攻击可以获得用户的个人信息，他们的税务信息，当然还有他们相关的直系亲属的社会安全号码。此外，网络犯罪分子认识到，许多组织或用户不会使用其他额外的安全措施，而且还会在各种网站账户中使用相同的密码"。

为了研究这个问题的严重程度，总检察长办公室开始对地下网络犯罪论坛中专门进行凭证填充攻击的攻击活动进行了长达数月的审查。

根据周三的媒体声明，总检察长办公室的网站出现了数以千计的帖子，其中包含了攻击者在凭证填充攻击中测试过的客户登录凭证，并确认这些凭证可用于访问网站或应用程序上的账户。

该办公室补充说，受影响的17家机构是知名的在线零售商、连锁餐厅和食品配送服务公司。

OAG提醒相关公司，尽早通知消费者重新设置密码。这些公司自己的内部调查显示，大多数攻击以前都没有被发现，因此几乎所有的公司都实施或计划实施其他的保障措施，包括：机器人检测服务、多因素认证和无密码认证。

纽约总检察长Letitia James说："现在，有超过150亿个被盗的证书在互联网上流传，因此用户的个人信息一直处于危险之中。企业有责任采取适当的措施来保护其客户的在线账户的安全性，我们必须尽一切努力来保护消费者的个人信息和他们的隐私"。

研究人员补充说，用户也应该提防后续的网络攻击。

安全专家Ron Bradley通过电子邮件说："像今天的许多人一样，我有一个社区专用应用程序，它会提醒我在社区里发生的事情。经常会有人发布威胁者检查汽车和家庭门锁的视频......事实上，互联网上有数十亿个被泄露的凭证，很容易获得。威胁者将不断利用这些资源，试图破坏数字资产"。

如何防范凭证填充攻击

Bradley提供了一些额外的建议。在这种情况下，身份和访问管理(IAM)的存在是无比重要的。企业必须要对数据实施多层保护，特别是在访问敏感数据的时候。

他说，以下的内容是理想的保护方法：

• 使用强密码是很好的，但是使用口令会更好。
• 应该使用多因素认证进行特权访问。
• 控制面向互联网的应用程序的登录次数，防止进行密码爆破的尝试。
• 必须定期部署和验证检测响应机制。

安全人员总结道："这些只是保护你的数据所需的一些基本的控制措施，重要的是要记住你的数字资产边界就像挤压气球一样。你可以收紧一边，但另一边就会膨胀。安全人员最大的挑战就在于如何找到这个中间地带。当第三方参与进来时，这项任务就会变得越来越困难，因为你必须要确保他们遵循的控制措施不低于你所指定的控制措施。"

每个人都应该停止使用那些已被泄露的旧密码，查看一个人的账户是否可能被攻击的最简单方法是查看HaveIBeenPwned.com网站，该网站追踪了过去15年中出现过数据泄露的电子邮件地址和电话号码。

本文翻译自：https://threatpost.com/compromised-accounts-17-major-companies/177417/