利用撞库攻击,一尼日利亚黑客将他人工资据为己有
2022-2-24 13:36:52 Author: www.freebuf.com(查看原文) 阅读量:16 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据Bleeping Computer网站消息,一名叫查尔斯·奥努斯(Charles Onus)的尼日利亚人侵入一家人力资源公司的用户账户并窃取工资存款,此案已在纽约南区地方法院接受审理。

根据起诉书和在法庭上的陈述,奥努斯从2017年7月开始,陆续将这家公司的用户工资窃取并转移到了自己的银行账户中,直到被捕时,已累计入侵了5500个用户账户,总共转移了80万美元。

奥努斯使用了简单而又粗暴的方式——撞库来窃取账户。通过凭证填充,攻击者使用从以前的数据泄露中获取的用户名和密码组合来登录账户。该方法不同于暴力破解或猜测密码,因为它不涉及破解,而是依赖于受害者往往在多个平台上重复使用相同的凭证。

奥努斯已于2021年4月14日在机场被捕,并承认了相关罪行,最终的裁决将在2022 年 5 月 12 日公布。

其实,阻止撞库攻击的一个简单方法是使用多因素认证(MFA),除了用户名和密码,还需要一个单独的验证码,这类验证码通常通过短信或使用身份验证应用程序发送给用户,因此即使攻击者的登录名和密码被盗,如果没有 MFA 一次性密码也无法登录。

除此以外,用户也尽量避免在多个平台上使用相同或过于相似的账户密码,也不要使用过于简单的密码,比如根据Nord Security发布的《2021世界密码排行》,123456依然是使用人数最多的密码,这类简单且连续的密码往往给网络犯罪分子提供了可乘之机。

参考来源:https://www.bleepingcomputer.com/news/security/nigerian-hacker-pleads-guilty-to-stealing-payroll-deposits/


文章来源: https://www.freebuf.com/articles/323067.html
如有侵权请联系:admin#unsafe.sh