数据的价值正在推动大规模账户攻击的发生。

Digital Shadows的最新研究发现，在Dark Web和地下市场上流传着150亿份凭证。超过10万份被泄露的凭证涉及各类账户，包括域管理员账户、银行和金融账户、社交媒体和视频流服务账户。

这些证书在犯罪市场的价格从域名管理账户的平均3139美元到银行账户的70.91美元不等，防病毒程序的帐户访问约21.67 美元，而成人网站的凭证不到 10 美元，视频游戏账号和文件共享网站的用户名和密码的价格不到2美元。

高价值账户的凭证——比如已确认拥有一定数量资金的银行账户，或者有权访问大型企业网络和系统的账户——往往会卖到高得多的价格。Digital Shadows的研究人员在地下论坛上发现了数十个广告，这些广告将管理员帐户以500美元到12万美元不等的价格拍卖给竞标者。这里的许多高级证书都有用户名，比如“发票”、“清单”、“付款凭证”等，这些用户名表明它们与金融账户有关。

“数字帐户的成本因其质量而异，” Digital Shadows的威胁研究员Kacey Clark说。“一个经过验证的，包含受害人的个人信息的银行帐户的有效认证凭证，将会比一大堆可能活跃也可能不活跃的流媒体账户更贵。”

总体而言，Digital Shadows研究人员所发现的被盗和泄露的证书广告中，有25%是针对银行和其他金融账户的。根据广告的数量，其他流行类别包括流媒体账户、代理/VPN账户和有线电视账户。

 Clark说：“这份报告的主要结论之一是，网络犯罪领域账户交易的规模很大。网络犯罪分子的目标是公司财务账户或内部账户这一明显的金矿，但他们也看到了流媒体或防病毒账户的价值。”

近年来，网络凭证被盗已经成为消费者和企业面临的一个主要问题。犯罪分子使用了各种各样的策略，包括仿冒僵尸网络、凭证填塞和暴力技术来获取在线账户的凭证。然后，他们出售或使用窃取的凭证进行各种恶意活动，从启动从企业帐户发起的欺诈性电子汇款到免费访问流媒体和游戏服务。

近年来，几千万甚至上亿的互联网用户的凭证被泄露，发生了无数次大规模的入侵。其中最引人注目的一次涉及雅虎(Yahoo)，有5亿至30亿条记录被曝光；而去年一次涉及Facebook的有2.6亿多条记录。

很多互联网用户倾向于在多个账户上使用相同(且容易被猜到)的密码，这加剧了这些入侵的威胁。Clark说，诸如Sentry MBA和OpenBullet之类的工具还使网络罪犯更容易快速完成数百万个用户名和密码问题的测试，来查看是否匹配。因此，攻击者可以使用从一个漏洞获得的凭证，尝试打开其他帐户。

Digital Shadows的研究发现，网络犯罪分子通过犯罪论坛和市场获得的受攻击证书数量自2018年以来激增了300%。据估计，目前流动的150亿个凭据中，约有50亿个是唯一的，这意味着它们仅在犯罪论坛上被广告过一次。

Digital Shadows观察到的一个趋势是，为犯罪分子提供获取被盗账户交易渠道的市场数量在持续增加。

 Clark说：“账户接管服务（ATaaS）可以显着降低网络罪犯的进入门槛。”就像网络钓鱼和恶意软件服务一样，ATaaS使网络犯罪分子能够租用数字身份来访问特定帐户。她说：“身份可以包括指纹数据、cookie、IP地址、凭证等。”

犯罪市场（如Genesis Market，UnderWorld Market和Tenebris等）使犯罪分子可以选择租用不同帐户类型的访问权限，包括电子商务、流媒体和社交媒体，有时价格低至10美元。

Clark指出：“这些服务通过使用多种策略来执行帐户接管操作，然后将进入被攻破账户的权限出租出去。”Digital Shadows表示，ATaaS模型非常受欢迎，地下形式的攻击者往往非常渴望得到这些市场的邀请。

组织可以采取多种措施来减少账户接管攻击的风险。其中之一是需要监控通过“HaveIBeenPwned”等网站泄露的员工证书，以及在犯罪论坛“Digital Shadows”上提到的该组织或品牌。监视代码存储库和供应商泄露的客户凭证也是一个好主意。

此外，建议实施强密码要求。通过多因素身份验证添加安全层可以大大降低您的帐户被网络罪犯滥用的可能性。

*本文出自SCA安全通信联盟，转载请注明出处。（SCA安全通信联盟原创文章对外开白，欢迎加微信MrYe9173751开白）