2021年10月08日 | 面对ATO攻击，中国企业如何做到攻守有道？

作为网购用户，你可曾遇到过这些奇怪的情况？当登录自己的电商账户时，订单列表里出现了一些并不知情的订单；或者在自己的电子邮箱里出现了未曾操作过的确认邮件，邮件显示你在某一平台上的积分转入了其他账户。如果你曾遇到过相似的状况，那么很遗憾，你可能遭遇到了账户接管（ATO）攻击。

ATO攻击又称账户接管攻击或身份测试攻击，即攻击者通过测试数千个被盗凭据的有效性来破解账户，然后利用破解成功的账户进行诸如盗窃、欺诈和数据泄露之类的非法活动。撞库攻击成功后的结果其实就是账户接管。自疫情爆发以来，ATO攻击在互联网上持续升温。Forrester预计，在新冠疫情以及由此引发的数字交互增加的助推下，2019年至2020年期间，身份盗窃和账户接管事件至少增加了10%到15%，而2021年此类攻击事件可能会再次增加8%到10%。实际上，2020年，Akamai也在全球范围内监测到1930亿次撞库攻击，其中34亿次攻击针对的是金融服务机构，同比增长超过45%。

如果说陡然上升的ATO攻击频率还不足以引起企业对安全管理的重视，那么我国刚刚颁布的《数据安全法》也给企业敲响了安全的警钟。《数据安全法》针对企业的数据安全管理做出了明确要求及相应罚则，要求企业制定相关制度来保障数据安全，补救数据安全风险，如企业拒不遵守法律或酿成重大数据泄露事故，企业将被处以罚款。但随着ATO攻击手段不断创新，攻击者可有效避开企业的防护手段，并逃避监管，因此此类攻击的成功率不断升高。由此看来，数据安全挑战愈发严峻，由ATO攻击导致的数据泄露将成为企业难以承受之重，而《数据安全法》也如一把悬剑，这些都让企业加强安全能力建设势在必行。

面对ATO攻击，企业只有精准掌握此类攻击的全貌，才能够快速预判潜在的安全风险。如果将ATO攻击的过程拆解，它可分为信息搜集、信息验证、信息出售三个步骤。

ATO攻击“三步曲”

第一步：信息搜集：“深网”已成为ATO攻击的“温床”

如果从ATO攻击链条的源头开始溯源，攻击者首先要做的就是搜集数据，“自我尝试”、“直接购买”、“信息工厂”是攻击者直接获取账户信息的主要方式。由于被泄露的账户信息也可能被贴在一些公开的网站上，攻击者会选择去社交网站等广受欢迎的公开网站上搜寻一番；如果想通过自我尝试获取账户信息，攻击者会选择在PASTEBIN.COM等工具网站上自行编写脚本来进行探测，只不过这种方式往往需要花费大量时间；如果想直接购买账户信息，攻击者会选择COMBO LIST等网站进行交易；如果想集中获取大量账户信息，攻击者往往会选择“信息工厂”，即“深网”。

“表网”与“暗网”已经被许多人熟知，但什么是“深网”？其实，互联网分为“表网”、“暗网”、“深网”三部分，“表网”是指正常浏览互联网时访问的网站，仅占整个互联网的4%；“暗网”是指隐藏的网络，普通网民无法通过常规手段搜索访问，需要使用一些特定的软件、配置或者授权等才能登录，占整体互联网的6%；而“深网”是指无法通过常规搜索引擎访问到的内容，占整个互联网的90%。

“深网”的隐蔽性为攻击者提供了犯罪的温床，账户接管的数据大多都在“深网”中被分享出来。这些数据是无法直接通过搜索引擎被索引出来的，因为这些数据其实隐藏在数据库的后端。攻击者需要注册、登录或付费才能获得相应的权限查看某些信息。除了交换账户接管的账户信息以外，攻击者还会在“深网”中共享一些犯罪“指南”，相互借鉴ATO攻击的经验。

第二步：信息验证：看似正常的网络请求往往披着隐蔽的外衣

攻击者在搜集完成可用的账户信息之后，就会试图去做很多账户验证。因为只有正确的、经过验证的账号信息才会更容易被卖出、也能卖出更好的价格。攻击者通常会通过一些工具去验证账户信息是否有效、攻击是否成功。

在验证之前，为了让攻击更加隐秘，攻击者通常会通过代理服务和僵尸网络两类隐蔽的手法来隐藏攻击。当攻击者获取代理服务时，会通过自己构建和租用两种方式，通过市面上海量的代理机构来获取大量的静态IP地址。通过这些看似正常的IP地址发动的攻击非常隐蔽，被攻击者或者监管部门不太好去追溯。因为即使通过这些IP的犯罪行为被发现，攻击者也可以通过快速下线IP或者停止运营整个代理机构来躲避追溯。而当攻击者采用爬虫程序或者爬虫网络时，仅需简单的两行命令就可以对目标的站点发起恶意攻击。

在确保了隐蔽性之后，攻击者会选择“账户验证”工具，通常工具包括配置文件、代理文件、想要验证的账号文件组合列表三部分。配置文件主要是指明想要攻击的目标，通常是目标站点的页面URL；代理文件主要是代理IP地址，通常是被感染的端点或者是僵尸网络，攻击者用它们隐藏攻击行为。常见的“账户验证”工具有自动化工具Snipr、Sentry MBA以及专门针对互联网上某一些或者某一家企业设计的工具等。

以Snipr为例，攻击者只需要选择其想要验证的账号名密码文件列表，Snipr就会自动加载账号名密码的文件列表，同时在Snipr内部所有的代理机器上自动运行验证程序。在运行的过程中，Snipr能够非常清楚地显示出验证通过的账号。

第三步：信息售卖：被盗信息往往通过看似正规的渠道流入攻击者的口袋

在验证过需要的账户信息的凭证之后，攻击者会选择出售账户信息或直接发起账号接管攻击从而获取利益。当攻击者想要出售账户信息时也会通过相对隐蔽的方式，例如广为大众熟知的加密货币、积分转移、礼品卡兑换等方式将账户信息转换为其他资产。值得注意的是，除了上述几种方式，“钱骡”也是攻击者匿名转移资金的常用工具。“钱骡”指的是以转移或转运经骗取得来的资金和高价值货物谋取金钱利益的人。

有时，普通人无意之中也可能被选为“钱骡”。典型的场景是，一个人钱包和信用卡被盗，但并没有及时发现，待他意识到之后才发现信用卡账单上出现了其他地区的礼品卡交易信息。攻击者就是这样通过其信用卡转移资金来避免后续追踪的，而这个人是攻击者的“钱骡”。

此外，“钱骡”不仅局限于人，还可以是机构组织。以Blackhawk Network（黑鹰网络）为例，它是相对合法的组织，并不是一个犯罪组织。但是这类组织提供相应金钱兑换和支付的行为，可以帮助某些不法分子或某些攻击者提供相应的积分转换或金钱快速汇款等操作，也可以作为“钱骡”。

如何抵御ATO攻击？将爬虫程序抵御与新的人类用户分析和风险评分相结合

面对来势汹汹且手法隐蔽的ATO攻击，企业又该如何保护好自己及客户的账户信息？我们将攻击过程拆解后，发现此类攻击的防范其实有章可循。

如前所述，攻击者通常会利用看似正常的IP地址伪装自己，发送合法请求和相应的头部信息。这些IP地址的本地网络与攻击目标相同，而且名誉良好，非常具有迷惑性。因此，企业需要考虑，哪些情况是攻击者无法通过普通的IP地址设备完成的？如果企业为真实的用户创建用户画像，限定用户的登录边界，判定用户在登录时的行为和场景。那么当用户的账号被攻击者利用时，攻击者就无法持有与此类用户相同或类似的相关信息或设备指纹进行ATO攻击，这就是新的人类用户分析和风险评分技术。举例而言，某个位于广东的用户，日常习惯通过移动网络使用iPhone手机登录自己的账户，倘若他登录成功后的五分钟，他的账号又通过一台位于新加坡的电脑进行登录，这种情况就会被判定为可疑的登录操作。

当然，爬虫程序抵御方案也是必要的网络攻击防护手段。因为攻击者在进行撞库攻击、账户密码验证时，通常会使用自动化的爬虫程序。通过爬虫的管理方案，可以管理有益和有害的爬虫，减轻爬虫程序造成账号密码的泄漏风险。但爬虫程序管理方案并不足以防范ATO攻击，有时其他途径也会造成账户密码的泄漏。未来账户保护的技术需要将爬虫程序抵御方法与新的人类用户分析和风险评分相结合，去探索真实用户的登录行为，形成防御效果更好的纵深防护系统，从而帮助企业的平台、网站以及系统成功抵御ATO攻击。

作者：李岳霖，Akamai高级技术顾问，CISSP认证。主要从事大型企业、教育、电商、金融等相关行业的云基础架构、信息安全解决方案的规划与建设，具有多年网络性能、媒体交付、互联网攻击防护、爬虫管理、应用访问控制等工作经验。