什麼是憑證填充?
在智能產品充斥的時代,人的生活與智能手機、智能電視、智能助手,甚至智能汽車密不可分;密碼是黑客用來破壞帳戶和竊取個人資料的最常見方式。
憑證填充是網絡攻擊的一種。在這種攻擊中,被盜竊的帳戶憑證資料,通常是來自數據洩露的;資料一般包括用戶名,和/或電郵地址以及相應密碼。不法分子利用這些資料,以自動化方式,大量侵入其他網站服務,以非法獲取用戶權限。*
在現實中,這是一個非常簡單的黑客技術。以下情況為例:
- John創建了一組由大小寫字母、數字和特殊字符組成的特殊密碼。由於他不想記住多個不同的密碼,他創建了一組能被多個網站接受的密碼。
- 然後,他用這組密碼來登錄各個他喜歡的網站——如食品配送App、他用來發佈家庭照片的社交平台、播客網站、他的個人電郵帳戶以及網上銀行帳戶。他更用這組密碼來登錄他的網上銀行。
- 他最喜歡的播客網站被入侵了,而網站的管理員不知道這件事。數以千計的登錄名稱和密碼組合被洩露,包括John的在內,並在黑客之間被秘密出售。
- 黑客使用這些已知的有效登錄名稱和密碼組合,試圖訪問多個網站。最終,他們成功從John喜歡的網站獲取了John的數據:他的電話號碼、完整的地址、個人電郵地址和他的工作地點。還有一份銀行對帳單,是他上周下載並發送至他的電郵帳戶的。
- 一周後,他接到一通神秘電話,說是銀行防欺詐小組的人打來,要求他提供一組已發送到他手機上的密碼。他覺得可能出了問題,於是決定給銀行打電話,並發現這是一個企圖欺詐的行為。
我該如何預防憑證填充攻擊?
不要在個人和工作的網站上使用相同的密碼。為國泰銀行創建特定的密碼,不要與您在其他網站上使用的密碼相同或相似。
在可能的情況下,為不同屬性的網站創建不同的密碼,特別是那些可能會影響你財務的網站。銀行通常會在以下情況要求加強認證:發現不尋常交易、使用新設備、或要求的交易類型和/或金額與客戶的資料不一致。
加強認證的步驟,通常是通過向用戶手機發送多一個代碼。不要把這個代碼提供給任何人,因為它是用於電腦程式的。
*用源:Wikipedia.com
