據Bleeping Computer網站消息，一名叫查爾斯·奧努斯（Charles Onus）的尼日利亞人侵入一家人力資源公司的用戶賬戶并竊取工資存款，此案已在紐約南區地方法院接受審理。

根據起訴書和在法庭上的陳述，奧努斯從2017年7月開始，陸續將這家公司的用戶工資竊取并轉移到了自己的銀行賬戶中，直到被捕時，已累計入侵了5500個用戶賬戶，總共轉移了80萬美元。

奧努斯使用了簡單而又粗暴的方式——撞庫來竊取賬戶。通過憑證填充，攻擊者使用從以前的數據泄露中獲取的用戶名和密碼組合來登錄賬戶。該方法不同于暴力破解或猜測密碼，因為它不涉及破解，而是依賴于受害者往往在多個平臺上重復使用相同的憑證。

奧努斯已于2021年4月14日在機場被捕，并承認了相關罪行，最終的裁決將在2022 年 5 月 12 日公布。

其實，阻止撞庫攻擊的一個簡單方法是使用多因素認證（MFA），除了用戶名和密碼，還需要一個單獨的驗證碼，這類驗證碼通常通過短信或使用身份驗證應用程序發送給用戶，因此即使攻擊者的登錄名和密碼被盜，如果沒有 MFA 一次性密碼也無法登錄。

除此以外，用戶也盡量避免在多個平臺上使用相同或過于相似的賬戶密碼，也不要使用過于簡單的密碼，比如根據Nord Security發布的《2021世界密碼排行》，123456依然是使用人數最多的密碼，這類簡單且連續的密碼往往給網絡犯罪分子提供了可乘之機。

參考來源：https://www.bleepingcomputer.com/news/security/nigerian-hacker-pleads-guilty-to-stealing-payroll-deposits/