增长中的凭证填充攻击：黑客威胁金融公司的财务健康

关键要点

近期，凭证填充攻击频繁发生，给支付和金融公司带来了前所未有的挑战。突出本周的两起重大攻击事件，安全官们正在努力寻找减少此类攻击风险的有效方法。

在线婚礼策划新创公司 Zola 本周确认，其用户账户受到凭证填充攻击，黑客能够迅速掏空部分客户账户资金，甚至非法使用 linked 的信用卡和礼品卡。Zola 在公开声明中表示，受影响账户少于01，但并未透露具体的用户数量。

Arkose Labs 的首席商业官 Richard Dufty 大胆地指出，凭证填充攻击是安全官们最为害怕且难以防止的攻击形式，因为它通常是账户接管的前奏，而且凭证填充攻击一般是大规模的。

“这些攻击正在以一种可以压倒整个企业安全团队的规模发生。” Duffy

根据 Arkose Labs 最新的攻击趋势报告，2022 年第一季度的凭证填充攻击比过去两年的平均水平高出30。该报告名为 2022 年第二季度欺诈与账户安全状态。

凭证填充，即黑客使用已曝光或被盗的有效用户名和密码，在各个网站上访问重复使用相同凭证的账户，近日再次浮出水面。

在 Zola 用户账户被攻破后的第二天，有报告显示 通用汽车 的顾客也上个月遭受了凭证填充攻击。利用从 GM 外部网站和应用程序收集的凭证，黑客成功入侵这家美国汽车巨头的在线账单支付及奖励访问，在四月的两个多星期内进行了破坏。攻击者主要针对合法顾客的财务和支付数据。

“随着 Zola 和 GM 最近遭遇的攻击，凭证填充攻击继续为网页攻击生命周期提供燃料，这些被盗的用户凭证有可能在其他电子商务网站上被利用。” PerimeterX 的新兴产品副总裁 Uriel Maimon 表示。“我们预计这些凭证会很快在我们日常使用的其他应用程序上被测试。”

因此，凭证填充攻击的核心问题在于其不易发现因为黑暗网络中的坏分子使用的是合法用户凭证而且这类攻击往往不是一次性的。正如 Duffy 和 Maimon 指出的，这些将是反复发生的犯罪行为，支付公司与金融信用、借记卡和礼品卡公司可能不得不承担这一负担。

一旦网络犯罪分子进入账户，他们可以购买商品、兑现忠诚度积分、在黑暗网络上出售凭证，甚至申请信用额度，根据 Maimon 的说法。根据 PerimeterX 的研究，在 2021 年，有恶意登录尝试占总登录尝试的比例呈上升趋势，8 月份达到了惊人的 938。

Dufty 指出，凭证填充攻击会导致“财务损耗”，包括修复攻击本身的成本、对运营效率的损害和无法量化的后续成本。更大的公司每年在呼叫中心的成本上可能超过200万美元，用于帮助客户重置密码。对于有责任补偿客户合法损失的金融与支付公司而言，凭证填充攻击是另一个必须承担的负担。

然而，只要在线用户