账户接管
本文约需 2 分钟阅读
账户接管 (Account Takeover, ATO) 是指攻击者非法获取并滥用正规用户的认证信息,从而访问其账户的攻击手法的总称。一旦邮箱账户被接管,损害会经由密码重置功能波及到社交媒体和金融服务,呈连锁式扩大,因此单一账户的失陷可能导致整个数字生活的崩溃。近年来撞库攻击的自动化工具在黑市上以低价流通,ATO 攻击的数量逐年增加。
攻击手法的分类
ATO 有各种手法,但大致可分为四类。
将过去因信息泄露而流出的 ID 与密码组合,大量尝试登录其他服务的手法。密码的重复使用会扩大损害。
通过伪造的登录页面或假装紧急的邮件,诱使用户自行输入认证信息的手法。钓鱼是 ATO 最常见的入口。
欺骗移动运营商,将受害者的电话号码转移到攻击者的 SIM 卡上,从而突破短信验证的手法。详情请参阅SIM 卡交换。
窃取有效的会话令牌,劫持已认证状态的手法。通过恶意软件或中间人攻击窃取 Cookie 是典型的情形。
损害的连锁
ATO 的可怕之处在于,单个账户的失陷会以连锁反应的方式扩大损害。攻击者首先瞄准邮箱账户,因为邮箱几乎是所有服务的密码重置目标,只要掌握了邮箱,就能接连夺取其他账户。
在实际案例中,曾有报告显示攻击者在攻破邮箱账户后 24 小时内便侵入了银行账户。损害的详情请参阅文章账户被接管后会发生什么。
检测手法
要尽早检测 ATO,需要能够捕捉偏离正常登录模式的机制。异常登录检测会将来自异常 IP 地址、地理位置和时间段的访问评估为风险分数。设备指纹通过浏览器类型、屏幕分辨率、已安装字体等组合来识别设备,从而检测来自未知设备的登录。对企业而言,通过SIEM 进行日志关联分析也很有效。
应对措施
最有效的应对措施是引入多因素认证 (MFA)。即使密码泄露,没有第二要素也无法登录,因此可以大幅降低 ATO 的风险。由于短信验证易受 SIM 卡交换攻击,建议使用认证应用或通行密钥。如果使用密码管理器为每个服务生成唯一的密码,还能消除撞库攻击的风险。关于密码管理的实用指南,也请参阅文章密码重复使用的风险。账户安全相关书籍 (Amazon)也可以用来系统地学习。
账户恢复设计的重要性
ATO 的应对措施仅靠登录防御是不够的。在万一被接管时,设计能让正规用户夺回账户的恢复手段也必不可少。预先发放恢复代码、注册受信任的设备、通过身份证件进行人工恢复等,准备多条恢复路径是实务上的最佳实践。事件发生时的应对步骤在信息泄露应对指南中有详细说明。
这篇文章对您有帮助吗?