提升账号安全迫在眉睫，2018年账号填充攻击事件暴增逾300亿次

最近几年，我们常听到许多资安专家呼吁，他们劝导使用者，应避免在多个网站服务里，设置相同的使用者名称和密码，以免自身曝露于账号填充攻击（Credential Stuffing）的威胁。而这种攻击态势，如今可说是越演越烈，但背后的原因为何？Akamai于今年度资安报告里，揭露有关的种种发现。

Akamai指出，光是过去一年里，骇客总共发动了超过300亿次的账号填充攻击，从每天总计的数据来看，最严重的3天里，一天之内就有超过2.5亿次的攻击，次数最多是发生在2018年10月27日，当天共发生接近3亿次的异常存取事件；至于当中规模最大的攻击事件，存取接近2亿次。相较于2017年规模最大者1.33亿次，2018这年骇客发动攻击的规模，明显比往年高出许多。

虽然，Akamai并未公布骇客攻击与正常存取次数的比例，但若是参考他们去年报告里的资料，单是这样的恶意存取行为，就占全部网站登录次数的43%，大约接近一半。面对这样的现象，不单是使用者须设法自保，对于网站经营者而言，面临这种行为大量出现，势必要妥善因应。

为何骇客大肆进行账号填充攻击，且情况日益恶化？Akamai揭露他们的发现，原因包含：网站资料外泄的事件更加频繁，以及现成的攻击工具泛滥，使得作案的成本极低，甚至没有任何技术门槛。

多款自动化攻击工具现身，使得攻击门槛大幅降低

针对网站资料外泄的态势，Akamai在报告里，提到今年年初时，遭到泄露的5个史上最大的账号资料组合包，它们被称为Collection#1到Collection#5，内容总计含有超过250亿个电子邮件账号与密码。不过，光有大量的账号资料外泄，还不足以让人直接联想骇客如何滥用资料。Akamai指出，账号填充的攻击工具，已发展成可随手可得的整合包（AIO），部分能够从互联网上直接取得。

举例来说，SNIPR是最有代表性的攻击工具整合包，因为，它同时锁定了社群网站、串流媒体，以及游戏平台，作为主要目标。

骇客不只透过公开的网页提供SNIPR，Akamai的研究人员还发现：这些骇客在YouTube上传一系列教学影片，从如何利用Google搜索引擎，找出网站潜在的SQL注入漏洞开始；待观看者看完，会播放另一段影片，解析渗透的执行步骤。

同时，SNIPR的频道会协助观看者，下载电子邮件账号和密码对照表，并要求经由指定的代理服务器，测试取得的账号和密码是否有效。换言之，就算新手骇客不懂相关技术，也能按照影片的教学，逐步发动攻击，根据Akamai的研究，至少近9万人观看这些影片。

至于骇客取得这项工具的成本，Akamai指出，SNIPR的零售价为20美元，其他整合包工具的开价也不高，还有另一款透过暗网推出的STORM，零售价约为52 美元。因此，基于上述的种种现象，账号填充攻击的威胁，未来只会更加普遍，所有人都必须采取有关的资安措施才行。