凭据填充:一次泄露如何引发连锁危机
如果你曾在多个账户中重复使用同一个密码——大多数人都这样做过——那么你就是凭据填充攻击的潜在目标。这是当今网络犯罪分子最常用、最有效的攻击手段之一,它利用的正是人类一个非常普遍的习惯:贪图方便,忽视安全。
什么是凭据填充
凭据填充是一种自动化网络攻击。黑客获取大量泄露的用户名和密码列表(通常来自此前的数据泄露事件),然后系统性地在数十乃至数百个不同网站上逐一尝试。其逻辑很简单:如果某人在游戏论坛和网上银行账户中使用了相同的邮箱和密码,那么攻破其中一个,实际上就等于攻破了另一个。
与暴力破解攻击不同——后者尝试的是随机或基于字典的密码——凭据填充使用的是真实凭据,这些凭据已经在某处被证明有效。这使得此类攻击效率更高,也更难被察觉。
攻击流程
整个过程通常遵循一套可预测的模式:
- 获取数据 — 攻击者从暗网市场购买或下载泄露的凭据数据库。某些列表包含数亿条用户名/密码组合。
- 自动化执行 — 攻击者使用专用工具(有时被称为"账户检测器"或凭据填充框架),加载窃取的凭据并将其指向目标登录页面。
- 分布式攻击 — 为避免触发频率限制或IP封锁,攻击者通过僵尸网络或大量住宅代理路由流量,使登录尝试看起来来自全球数千名不同用户。
- 收割有效账户 — 软件标记所有登录成功的账户,让攻击者获得已验证账户的访问权限。这些账户随后被直接利用、转卖,或用于进一步的欺诈活动。
攻击成功率通常较低——一般在0.1%至2%之间——但当测试的凭据数量达到数百万条时,即便只有0.5%的成功率,也意味着数千个账户遭到入侵。
为何VPN用户需要关注
VPN用户并不能免疫凭据填充攻击——事实上,有一个值得特别关注的角度。部分VPN服务商本身就曾成为攻击目标。在过去的事件中,针对VPN服务的凭据填充攻击导致攻击者成功访问用户账户,某些情况下甚至波及用户的连接设备或私有配置。
此外,如果你的凭据已经泄露,使用VPN也无法保护你。VPN能隐藏你的IP地址并加密你的流量,但它无法阻止攻击者用你在某个已泄露网站上重复使用的密码,登录你的Netflix、邮箱或银行账户。
不过,VPN确实可以通过间接方式帮助降低你的风险敞口。通过隐藏你的真实IP地址,追踪者和数据经纪商将更难建立关联你各个在线账户的用户画像——这在数据泄露发生时,有助于缩小潜在的损失范围。
真实案例
- 2020年,多家VPN服务商和视频流媒体平台同时遭到凭据填充攻击,攻击者使用的是从无关的游戏和零售平台泄露事件中窃取的凭据。
- Disney+在上线后不久便经历了大规模账户盗取浪潮——并非因为Disney自身系统遭到入侵,而是因为用户在其他已泄露的服务中重复使用了相同的密码。
- 金融机构每天面临的凭据填充尝试动辄数以百万计,大多数通过频率限制和多因素认证得以拦截。
如何保护自己
防御方法直截了当,即便养成新习惯并非易事:
- 为每个账户使用唯一密码。 密码管理器能让这一做法切实可行。
- 尽可能开启双因素认证(2FA)。 即使攻击者掌握了你的密码,也无法获得你的第二重验证。
- 通过HaveIBeenPwned等泄露数据库查询你的凭据是否已被曝光。
- 监控账户登录记录,留意来自陌生地点或设备的登录行为。
凭据填充之所以奏效,是因为人们重复使用密码。只要改掉这个习惯,这种攻击对你来说基本上就会失效。