2020年，攻击者突然调高了凭证填充（撞库）的档位，用被盗凭证或重用凭证对网站狂轰滥炸，试图获取用户账户访问权限。根据阿卡迈新一期的《互联网现状》报告，仅失败的凭证攻击尝试就高达1930亿次。

事实上，尽管阿卡迈将攻击数量的陡然上升部分归因于其客户增长和对此类攻击的可见性增强，但相比2019年的470亿次，使用凭证的登录攻击尝试数量猛增了310%+。总体Web攻击，例如SQL注入攻击，增长幅度并不大，从2019年的62亿，增长到2020年的63亿。

阿卡迈首席安全研究员Steve Ragan表示，攻击增长不仅仅是攻击者将更多请求砸向网站看看哪个能黏住不掉，而是代表着威胁增多。

“总体数量增加的时候，就意味着威胁增多了。我们看到的不过是冰山一角。我们只查看了一小部分攻击。那些我们没有看到的，才是问题所在。如果我们看到的数字在增加，那你就知道问题也越来越严重了。”

去年，多数企业将其大部分基础设施迁移到云端，以便让新冠肺炎疫情催生的远程员工能够访问企业应用和数据。由于很多云服务都可以用用户名-口令组合访问，攻击者也将更多精力放在了这些服务和虚拟专用网（VPN）网关上。

阿卡迈认为，2020年上半年泄露的数百万新鲜用户名和口令，是该年下半年凭证填充攻击数量猛增的原因之一。

阿卡迈研究人员在5月19日发布的报告中写道：“一旦这些被盗凭证在网上流传，攻击者就会分门别类地对互联网上的品牌门户测试其有效性，包括一些金融机构。犯罪经济中凭证滥用暴涨的疯狂和混乱背后是有其道理的。”

尽管阿卡迈阻止的Web应用攻击在数量上远少于凭证填充攻击，但此类攻击更加危险。SQL注入（SQLi）攻击针对支撑网站的数据库，占据所有Web应用攻击的三分之二强，本地文件包含（LFI）攻击位居第二，但占比远少于SQL注入攻击，约占Web应用攻击总数的22%，跨站脚本攻击则位列第三，占比6%。

最新版阿卡迈报告还揭示了对金融服务公司的攻击情况。报告发现，与去年同期相比，针对金融行业的凭证填充攻击尝试次数增长了45%，2020年达到了35亿次之多。不同于总体攻击趋势，针对金融服务公司的Web攻击中，本地文件包含攻击占据了最大份额，占比高达52%。SQL注入攻击占三分之一，跨站脚本攻击则占9%。

报告提到了名为Kr3pto的网络犯罪团伙，称该团伙曾用网络钓鱼工具包对位于英国的金融公司品牌下手。

阿卡迈的报告中写道：“Kr3pto网络钓鱼工具包针对受害者的用户名和口令，以及所使用的任意第二身份验证方法，比如安全问题与答案、短信PIN码等。工具包所用工作流无缝衔接，且动态适应受害者在其银行的登录体验。”

报告中分析的另一个网络钓鱼工具包名为Ex-Robotos，针对使用Dropbox、Office 365、OneDrive和SharePoint等产品的公司和员工。该工具包是网络钓鱼工具包开发商的最新产品，可将其他犯罪工具整合到一个“犯罪软件即服务”产品中。

短信网络钓鱼也成为了主要威胁。由于用户对短信中的URL缺乏戒心（约98%的短信都会被打开），用户更容易被短信中的链接钓上钩。

Ragan称：“网络钓鱼依然是个数字游戏：抛出尽可能多的诱饵，看看你能得到什么。但越来越多的专业网钓者，尤其是运营网络钓鱼即服务的那些，他们现在几乎只做有针对性的诱饵或鱼叉式网络钓鱼，因为他们有数据来支撑这种针对性攻击。”

阿卡迈建议使用基于时间的一次性口令（OTP）进行多因素身份验证（MFA），如Google Authenticator或Duo双因素身份验证，作为防止凭证填充和网络钓鱼攻击成功的最佳方法。此外，通用第二因素（U2F）方法，如YubiKey等，允许大多数应用采用这种更健壮的身份验证形式。

阿卡迈新一期互联网现状报告《金融网络钓鱼》：（戳阅读原文查看）
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/soti-security-phishing-for-finance-report-2021.pdf

关键词：凭证填充；Web应用攻击；撞库