AI 自动化攻击促使「网路犯罪即服务」成为热门暗黑生意

如今最常见的Web 攻击类型莫过于凭据填充(Credential Stuffing)攻击。亦即网路罪犯会从资料外泄窃取密码,并使用工具自动登录到其他网站每个相对应的帐号,以接管这些帐号,并窃取资金或资料。之所以能发生这类所谓「帐号接管」(Account Takeover,ATO)事件,是因为人们经常在不同网站重复使用相同的密码。总之骇客用自动化凭证填充手法测试窃取到的使用者密码,可提升并加快解锁使用者帐号的成功率与速度。可怕的是,网路犯罪分子可从每起资料外泄事件获得数十亿组使用者密码,这使网路犯罪成为蓬勃发展的专门生意,AI 技术更让大规模自动化攻击成为可能。

u乐平台苹果版
u乐平台苹果版

当前抵御凭证填充攻击的最常见防御措施之一就属CAPTCHA 验证码机制。CAPTCHA 是在几十年前发明的,试图提出一种人类应该觉得容易但对机器人会很困难的挑战式验证(如变形字元)防止网路机器人攻击。不幸的是,AI 化网路犯罪已扭转这局面。Google 几年前进行的研究发现,基于机器学习的OCR 光学字元辨识技术,可轻松破解99.8% 的CAPTCHA 挑战式验证。

u乐平台pc版
u乐平台pc版

AI 技术早创造用来更快破解密码,机器学习可辨识最佳攻击目标,并用来优化网路犯罪的供应链和基础设施。我们见识到网路犯罪分子的回应速度快得令人难以置信,他们可在几分钟内关闭并重启挟带动辄数百万笔交易量的攻击。他们透过完全合法的攻击基础设施,以及合法商业世界流行的DevOps 营运开发技术做到这点。这并不足为奇,因运行这种犯罪系统类似运行大型商业网站,且网路犯罪即服务(Cyber​​crime-as-a-Service)现已成为一种常见的「商业模式」。随着时间推移,AI 进一步注入这些应用程式,以协助达到更大规模,并变得更难以防御。

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注