信息來源：51CTO

當前，至少有150億個憑證在各種黑市和論壇上流傳，這為網絡犯罪分子提供了接管帳戶攻擊和身份出租服務的便利。

經過安全公司Digital Shadows的調查報告顯示，多數泄露都是由于消費者自身對數據不夠重視所導致的，于是黑客們可以利用這些憑證和數據，來發(fā)動憑證填充攻擊。

報告顯示：暴力破解工具和帳戶檢查程序在黑市和論壇上都有售賣，平均售價為4美元，其中最受歡迎的市場是UnderWorld(以前為RichLogs)和Tenebris，但最大的市場仍然是Genesis Market。

部分用戶名和密碼組合都是免費提供的，其中有50億張憑證是“獨一無二”“可售賣的”，這50億張憑證的平均售價是15.43美元，防病毒帳戶是20多美元，而其他類型的帳戶(有線電視、社交媒體、流媒體、成人、音樂、文件共享和視頻游戲帳戶)通常不到10美元。

最昂貴的帳戶是用于域管理員訪問的，因為它們在網絡上提供了最高級別的信任和控制，所以許多廣告公司通過拍賣來提供域名管理員的訪問權限，并以高達12萬美元(平均3139美元)的價格將其賣給出價最高者。

這些價格的定位取決于所在行業(yè)，其中對地方政府和金融部門的要價最高。

如今憑據很少以純文本形式出現，許多服務會檢查指紋數據以識別未經授權的登錄嘗試。

于是黑市又開發(fā)了新的模式，比如Genesis Market的用戶可以租用帳戶訪問權限來代替購買憑據，在一定時期內，使用最近推出的ATO“即服務”模式，罪犯可以用不到10美元的價格租用一個身份，該服務還提供了受害者的“指紋數據”(例如cookie，IP地址，時區(qū))，使其看起來像合法的所有者登錄，從而更容易劫持帳戶和執(zhí)行交易而不會被發(fā)現。

從直接銷售數據到通過憑證填充獲得對其他帳戶的訪問權，再到租用帳戶，使用數據創(chuàng)建綜合身份，再到進行欺詐，網絡罪犯有各種各樣的賺錢方法。

除了破解密碼外，攻擊者們可以利用來自數據泄露的憑據列表，輕松地部署憑據填充(憑據重用)攻擊，從而使同一用戶可以訪問更多帳戶，并有機會收集更多個人信息。

長期以來，Sentry MBA一直是憑證填充攻擊的最愛。它具有繞過某些安全防護(例如IP位置或速率限制)的功能。這使它可以嘗試使用數百萬個用戶名和密碼的組合，以找到目標網站的有效登錄名。

在網絡犯罪論壇上廣泛討論的另一種工具是OpenBullet，截至2020年，已占整個網絡犯罪論壇的35%，這是一種網站測試套件，可以在目標Web應用程序上運行請求。它具有開源特性，自定義選項和較低的CPU使用率，以及隨附的用于解析和抓取的工具，因此使其成為有吸引力的選擇。

下圖顯示了網絡犯罪分子在2020年提到的一組憑證驗證工具。

對于普通用戶而言，防御ATO攻擊是一項輕松的任務，他們可以選擇強而唯一的密碼，并在支持該功能的服務上啟用兩因素身份驗證(2FA)，但這不能完全消除風險。