近期FBI警告說,網路犯罪分子使用住宅代理IP進行大規模撞庫攻擊而攻擊源卻不被跟蹤、標記的趨勢正在上升。
該警告是聯邦調查局的網際網路犯罪投訴中心(IC3)上作為私營行業通知釋出的主要是用來提高需要實施針對撞庫攻擊的防禦的網際網路平臺管理員的意識。
一、撞庫攻擊
撞庫是一種攻擊型別,威脅行為者使用以前資料洩露中暴露的大量使用者名稱、密碼組合來嘗試訪問其他線上平臺。由於大部分使用者通常會在不同的網站上使用相同的密碼,因此網路犯罪分子有充分的機會獲取賬戶,而無需破解密碼或網路釣魚。
FBI對於此次利用住宅代理IP的撞庫攻擊進行了詳細的說明“惡意攻擊者利用使用者洩露的賬號密碼可以訪問多個行業的眾多賬戶和服務,包括媒體公司、電商零售、醫療保健、外賣平臺等。然後以欺詐手段獲取商品、服務和訪問其他線上資源,如金融賬戶的財產等”。那麼網路犯罪分子使用住宅代理IP進行大規模撞庫攻擊為何不會被發現呢?
二、撞庫與代理IP
由於撞庫攻擊具有區別於常規登入且不斷嘗試的特定特徵,因此網站可以透過IP代理檢測軟體檢測出而已攻擊者的撞庫行為並阻止它們。
所以惡意攻擊者為了解決普通的IP代理檢測,開始使用大量住宅代理IP。FBI表示這些威脅者如今大部分都在使用住宅代理IP,這樣就可以把真實的IP地址隱藏在普通家庭使用者相關的IP地址後面。為什麼攻擊者會選擇使用住宅代理呢?首先我們要了解代理的性質。
代理是代替常規Internet服務提供商(ISP)工作的中間伺服器。我們也可以理解為代理人是一箇中介伺服器,代替常規網際網路服務提供商(ISP)工作。
後者為您提供網際網路的同時還可以提供:
一個用於連線網際網路的IP地址
訪問網際網路所透過的網路
因此,代理給你一個新的IP地址和一個新的網路連線,這將使你的在網際網路中匿名瀏覽。更準確地說,代理給你一堆新的IP地址,可以一個接一個輪流使用它們。
不同的IP地址會分散你在網際網路上的行為,這樣就無法在同一個IP地址下被追蹤到。這意味著可以減少不必要的關注,因為你在網際網路上的行為不能組合在一起,所以不能被視為太廣泛或其他意義上的異常行為。
透過代理,你的網際網路監視可以最小化同時也不會有被阻止或者被封鎖的風險。此外,即使你代理使用的這些IP地址之一被阻止,它也不會影響你上網,因為代理會為你提供許多不同的IP地址。它們中的每一個都可以很容易地被另一個替換。
而且全球的任何區域限制也不會影響你的網際網路行為。如果你的IP地址包含有關使用該IP的不同地點的資訊,那麼您的真實位置將變得不可追溯,你將能夠訪問所有受地理限制的內容、商品、價格等。
三、什麼是住宅代理IP及作用
如果代理是中間伺服器,那它們怎麼變成住宅IP的?確實一般情況下IP地址歸ISP所有及分配,但是我們通常會把IP地址分為十幾類應用場景方便使用,其中一部分IP地址是住宅屬性,也就是我們常說的家庭寬頻使用者。
所謂住宅代理IP的特殊性源於使用的IP地址是由不同的ISP分配給不同住宅區的真實裝置。換句話說,當你使用住宅代理時,其實你是透過使用不同家庭中不同裝置的IP來掩蓋你的真實IP地址。
代理的主要思想是讓你看起來像一個眾多網際網路使用者的普通使用者。住宅代理IP則是讓你透過使用不同家庭寬頻的不同網際網路訪問來執行此任務。這就可以掩蓋你的的原始可識別的IP地址。
而且因為住宅代理擁有龐大的不同 IP 地址池,可以覆蓋大多數地理位置,可以在全世界使用來自不同裝置的 IP 地址。
網路犯罪分子還可以透過入侵調變解調器或其他物聯網等方式,在使用者不知情的情況下將家庭使用者的計算機轉換為代理,從而使這些住宅IP供網路犯罪分子使用。而且住宅IP是隨機分配使用,溯源難度會更大。
住宅代理IP與他們巨大的IP數量和高水平的合法性允許機器人幾乎完全自由地運作,他們的不同行動將在不同的IP地址下完成。因此,他們將看起來像不同的網際網路使用者,彼此之間沒有任何聯絡。所以,在網路攻擊方面,住宅代理可以使攻擊者的IP地址看起來像是來自網際網路的普通家庭寬頻連線,而不是網路攻擊。
住宅代理龐大IP地址池導致了防火牆等保護機制很難區分到底是可疑的攻擊者還是普通消費者流量。而且這些住宅IP地址一般情況下不會出現在高風險IP阻止列表中或者安全軟體中。這也是攻擊者選擇住宅代理IP的原因,住宅代理IP地址池龐大,同時在代理IP的基礎上又偽裝了一層,無法識別,追溯難度較大,可以為攻擊者們掩蓋真實的IP地址,進入網站也是暢通無阻。