2020年，攻擊者突然調高了憑證填充(撞庫)的檔位，用被盜憑證或重用憑證對網站狂轟濫炸，試圖獲取用戶賬戶訪問權限。根據阿卡邁新一期的《互聯網現狀》報告，僅失敗的憑證攻擊嘗試就高達1930億次。

[[402447]]

事實上，盡管阿卡邁將攻擊數量的陡然上升部分歸因于其客戶增長和對此類攻擊的可見性增強，但相比2019年的470億次，使用憑證的登錄攻擊嘗試數量猛增了310%+。總體Web攻擊，例如SQL注入攻擊，增長幅度并不大，從2019年的62億，增長到2020年的63億。

阿卡邁首席安全研究員Steve Ragan表示，攻擊增長不僅僅是攻擊者將更多請求砸向網站看看哪個能黏住不掉，而是代表著威脅增多。

“總體數量增加的時候，就意味著威脅增多了。我們看到的不過是冰山一角。我們只查看了一小部分攻擊。那些我們沒有看到的，才是問題所在。如果我們看到的數字在增加，那你就知道問題也越來越嚴重了。”

去年，多數企業將其大部分基礎設施遷移到云端，以便讓新冠肺炎疫情催生的遠程員工能夠訪問企業應用和數據。由于很多云服務都可以用用戶名-口令組合訪問，攻擊者也將更多精力放在了這些服務和虛擬專用網網關上。

阿卡邁認為，2020年上半年泄露的數百萬新鮮用戶名和口令，是該年下半年憑證填充攻擊數量猛增的原因之一。

阿卡邁研究人員在5月19日發布的報告中寫道：“一旦這些被盜憑證在網上流傳，攻擊者就會分門別類地對互聯網上的品牌門戶測試其有效性，包括一些金融機構。犯罪經濟中憑證濫用暴漲的瘋狂和混亂背后是有其道理的。”

盡管阿卡邁阻止的Web應用攻擊在數量上遠少于憑證填充攻擊，但此類攻擊更加危險。SQL注入(SQLi)攻擊針對支撐網站的數據庫，占據所有Web應用攻擊的三分之二強，本地文件包含(LFI)攻擊位居第二，但占比遠少于SQL注入攻擊，約占Web應用攻擊總數的22%，跨站腳本攻擊則位列第三，占比6%。

最新版阿卡邁報告還揭示了對金融服務公司的攻擊情況。報告發現，與去年同期相比，針對金融行業的憑證填充攻擊嘗試次數增長了45%，2020年達到了35億次之多。不同于總體攻擊趨勢，針對金融服務公司的Web攻擊中，本地文件包含攻擊占據了最大份額，占比高達52%。SQL注入攻擊占三分之一，跨站腳本攻擊則占9%。

報告提到了名為Kr3pto的網絡犯罪團伙，稱該團伙曾用網絡釣魚工具包對位于英國的金融公司品牌下手。

阿卡邁的報告中寫道：“Kr3pto網絡釣魚工具包針對受害者的用戶名和口令，以及所使用的任意第二身份驗證方法，比如安全問題與答案、短信PIN碼等。工具包所用工作流無縫銜接，且動態適應受害者在其銀行的登錄體驗。”

報告中分析的另一個網絡釣魚工具包名為Ex-Robotos，針對使用Dropbox、Office 365、OneDrive和SharePoint等產品的公司和員工。該工具包是網絡釣魚工具包開發商的最新產品，可將其他犯罪工具整合到一個“犯罪軟件即服務”產品中。

短信網絡釣魚也成為了主要威脅。由于用戶對短信中的URL缺乏戒心(約98%的短信都會被打開)，用戶更容易被短信中的鏈接釣上鉤。

Ragan稱：“網絡釣魚依然是個數字游戲：拋出盡可能多的誘餌，看看你能得到什么。但越來越多的專業網釣者，尤其是運營網絡釣魚即服務的那些，他們現在幾乎只做有針對性的誘餌或魚叉式網絡釣魚，因為他們有數據來支撐這種針對性攻擊。”

阿卡邁建議使用基于時間的一次性口令(OTP)進行多因素身份驗證(MFA)，如Google Authenticator或Duo雙因素身份驗證，作為防止憑證填充和網絡釣魚攻擊成功的最佳方法。此外，通用第二因素(U2F)方法，如YubiKey等，允許大多數應用采用這種更健壯的身份驗證形式。

阿卡邁新一期互聯網現狀報告《金融網絡釣魚》：

https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/soti-security-phishing-for-finance-report-2021.pdf