[新闻术语]日益高级的网络安全威胁“凭证填充”

by Choi Hokyung

Published 16 Jan.2025 17:00(KST)

网站被随意输入用户ID和密码
惰性安全意识与复杂攻击检测成“漏洞”
需以通行密钥模式、自动化机器人与AI技术应对

“凭证填充（Credential Stuffing）”是指黑客将泄露的账号（ID）和密码等登录信息随机输入到各类网站或应用中，一旦登录成功便窃取个人信息的一种网络攻击手法。Credential在英文中指“加密的个人信息”或“登录凭证”，Stuffing则是指“向物体内部填充的行为或材料”。

近期企业和机构遭遇凭证填充攻击的案例激增。最近一家受害企业是GS Retail。今年年初，GS Retail网站因这一攻击导致约9万名客户的个人信息被泄露。经查明，自去年27日至本月4日，黑客在9天内持续发动攻击。推测泄露的信息包括姓名、性别、出生日期、联系方式、地址、ID、电子邮箱等7类信息。

GS Retail 【图片来源=亚经济数据库】

凭证填充之所以有效，原因在于人们习以为常的低安全意识。很多人在多个网站上重复使用相同的ID和密码，因为这样便于记忆，而且不愿意定期更改密码。黑客正是利用这一点，先大规模获取用户的ID和密码，然后在多个网站上尝试登录。

此外，大小写字母、数字和特殊符号混用等复杂规则以及频繁更改密码，反而可能让用户出于担心遗忘，而设置出容易被预测的密码。在这种情况下，安全风险进一步增加。泄露的个人信息还可能被用于短信钓鱼在内的各种网络钓鱼攻击，引发额外损失。

“用户信息”这一“合法”工具也使得凭证填充难以被侦测。这种手法与通过植入恶意代码实施攻击的一般黑客行为性质不同。由于是未获授权者伪装成已获授权者进行访问，不仅难以制定明确的检测策略，安全设备也很难对这类攻击进行拦截。

黑客犯罪 [图片出处=阿经数据库供图]

为防止安全事故发生，需要用户方面的配合与努力。有必要平时就确认按日或按时段的登录次数，以及是否出现异常登录尝试或失败，并采取阻断海外IP等应对方式。还可以考虑采用在ID和密码之外增加额外认证程序的“多重认证”方式，从源头上阻断凭证填充攻击。

不过，通过封锁互联网协议（IP）地址的方式进行应对存在明显局限。可以尝试根据某一特定IP发生登录尝试或失败的频率来决定是否封锁。但近期在凭证填充攻击中，已发现先行控制大量网络设备和服务器等资源，再实施分布式攻击的手法。

网络安全业界正提出多种防御凭证填充的对策。其中具有代表性的是无密码认证方式。例如，以指纹、虹膜识别等生物认证为基础的Passkey方式。通过自动化机器人（bot）区分正常与恶意流量，或利用人工智能（AI）学习异常模式，预测安全风险等技术也在不断开发中。

本报道由人工智能(AI)翻译技术生成。