Arkose Labs 的一項研究顯示，在過去12個月內，發生了超過 20 億次的撞庫攻擊 (2,831,028,247)，相比去年暴增98%，并預計將在即將來臨的圣誕節購物月達到頂峰。

2021 年上半年，撞庫占所有在線流量的 5%，這是攻擊者近來常用的網絡攻擊方法，用于未經授權訪問受害者者的個人帳戶。

通常，攻擊者獲取受害者帳戶后，會通過多種方式將其“貨幣化”，包括耗盡賬戶的資金、竊取和轉售個人數據、出售已知的經過驗證的用戶名和密碼組合列表，以及使用被盜賬戶來進行洗錢活動。攻擊通常利用人們在多個站點上重復使用相同的用戶名或密碼組合。

在過去幾年中，撞庫已被反欺詐組織確定為一種日益增長的威脅趨勢。近幾個月來，由于新冠疫情大流行和網上購物的增長，撞庫攻擊行為迅速激增。

據研究分析師稱，去年圣誕節和新年購物期間的撞庫事件增加了 56%，預計 2021 年同期每天將有多達 800 萬次針對消費者的攻擊。

2021 年上半年，Arkose Labs 網絡檢測并阻止了 2.85 億次撞庫攻擊，單周峰值超過 8000 萬次，其中一個受到嚴重攻擊的社交媒體組織在短短一周內就發生了 150 萬次撞庫攻擊。

Arkose Labs首席執行官Kevin Gosschalk評論道：“全球電子商務格局比以往任何時候都更加緊密，個人信息已成為欺詐者的“貨幣”。撞庫攻擊是多產的。它已成為在線業務的一個巨大威脅，并且正在迅速取代其他眾所周知的攻擊策略，例如勒索軟件，成為需要提防的網絡攻擊方式。”

此外，研究還發現，游戲、數字和社交媒體以及金融服務是各行業中受到攻擊最多的行業，其中針對游戲行業的近50%的攻擊來源于撞庫攻擊，而英國也被確定為對世界其他地區發起撞庫攻擊最多的國家之一。

參考來源：https://www.helpnetsecurity.com/2021/12/23/2021-credential-stuffing-attacks/

原文鏈接：https://www.freebuf.com/articles/317317.html