什么是凭证填充?
在智能产品充斥的时代,人的生活与智能手机、智能电视、智能助手,甚至智能汽车密不可分;密码是黑客用来破坏帐户和窃取个人资料的最常见方式。
凭证填充是网络攻击的一种。在这种攻击中,被盗窃的帐户凭证资料,通常是来自数据泄露的;资料一般包括用户名,和/或电邮地址以及相应密码。不法分子利用这些资料,以自动化方式,大量侵入其他网站服务,以非法获取用户权限。*
在现实中,这是一个非常简单的黑客技术。以下情况为例:
- John创建了一组由大小写字母、数字和特殊字符组成的特殊密码。由于他不想记住多个不同的密码,他创建了一组能被多个网站接受的密码。
- 然后,他用这组密码来登录各个他喜欢的网站——如食品配送App、他用来发布家庭照片的社交平台、播客网站、他的个人电邮帐户以及网上银行帐户。他更用这组密码来登录他的网上银行。
- 他最喜欢的播客网站被入侵了,而网站的管理员不知道这件事。数以千计的登录名称和密码组合被泄露,包括John的在内,并在黑客之间被秘密出售。
- 黑客使用这些已知的有效登录名称和密码组合,试图访问多个网站。最终,他们成功从John喜欢的网站获取了John的数据:他的电话号码、完整的地址、个人电邮地址和他的工作地点。还有一份银行对帐单,是他上周下载并发送至他的电邮帐户的。
- 一周后,他接到一通神秘电话,说是银行防欺诈小组的人打来,要求他提供一组已发送到他手机上的密码。他觉得可能出了问题,于是决定给银行打电话,并发现这是一个企图欺诈的行为。
我该如何预防凭证填充攻击?
不要在个人和工作的网站上使用相同的密码。为国泰银行创建特定的密码,不要与您在其他网站上使用的密码相同或相似。
在可能的情况下,为不同属性的网站创建不同的密码,特别是那些可能会影响你财务的网站。银行通常会在以下情况要求加强认证:发现不寻常交易、使用新设备、或要求的交易类型和/或金额与客户的资料不一致。
加强认证的步骤,通常是通过向用户手机发送多一个代码。不要把这个代码提供给任何人,因为它是用于电脑程式的。
*用源:Wikipedia.com
