撞庫攻擊
撞庫攻擊
撞庫攻擊是一種常見的網路攻擊方式,「撞庫」的英文名稱是 Credential Stuffing(密碼嗅探),也非常直白的說明了撞庫的主要場景,犯罪分子(有心人士或是駭客)試圖獲取正確的帳號與密碼組合,主要的目的就是要「盜用帳號」。
網路普及的時代,多數的服務或是應用都已經結合到網路平台,而各式平台為了簡化申請帳號的流程,都會讓使用者可以選擇使用其他平台的帳號進行註冊,可以直接登入。這時,此平台就會保留其他平台的帳號資料。
簡單來說,撞庫攻擊就是透過這個特性,犯罪分子通常會收集網路上已洩露的使用者和密碼資訊,生成對應的帳號密碼對照表(又被稱為字典表),再利用這個對照表,搭配自動化系統,嘗試登錄其他知名網站或平台,成功登入後,即可獲得一系列可以登錄的帳號密碼。
然而,很多使用者在不同網站,所使用的是相同的帳號密碼,因此犯罪分子可以通過獲取使用者在 A 網站的帳戶嘗試登錄 B 網站,這就可以被視為受到「撞庫攻擊」。撞庫攻擊取決於密碼的重複使用,受害者通常是多個線上平台帳戶設定相同的使用者帳號和密碼組合。
撞庫攻擊是一種常見的網路攻擊方式,「撞庫」的英文名稱是 Credential Stuffing(密碼嗅探),也非常直白的說明了撞庫的主要場景,犯罪分子(有心人士或是駭客)試圖獲取正確的帳號與密碼組合,主要的目的就是要「盜用帳號」。
網路普及的時代,多數的服務或是應用都已經結合到網路平台,而各式平台為了簡化申請帳號的流程,都會讓使用者可以選擇使用其他平台的帳號進行註冊,可以直接登入。這時,此平台就會保留其他平台的帳號資料。
簡單來說,撞庫攻擊就是透過這個特性,犯罪分子通常會收集網路上已洩露的使用者和密碼資訊,生成對應的帳號密碼對照表(又被稱為字典表),再利用這個對照表,搭配自動化系統,嘗試登錄其他知名網站或平台,成功登入後,即可獲得一系列可以登錄的帳號密碼。
然而,很多使用者在不同網站,所使用的是相同的帳號密碼,因此犯罪分子可以通過獲取使用者在 A 網站的帳戶嘗試登錄 B 網站,這就可以被視為受到「撞庫攻擊」。撞庫攻擊取決於密碼的重複使用,受害者通常是多個線上平台帳戶設定相同的使用者帳號和密碼組合。
0 comments