全球电商网站超90%的登陆都来自黑客

对于黑客来说，销售窃取而来的个人数据是笔大生意：他们会在暗网出售窃取的邮箱地址或是密码（但愿是旧密码）。网络罪犯会大批量购买这类数据信息，用以登陆一些网站，从而盗取有价值的物品，如现金、航空积分或是昂贵的奶酪。没错，就是奶酪。

网络安全公司 Shape Security 发布报告称，线上零售商往往会受到最严重的网络攻击。黑客会使用一种叫做“撞库“（credential stuffing）的程序，以便批量使用窃取来的数据进行登陆尝试。近日，全球电商网站超90%登陆都来自这些黑客。航空公司与个人银行业也没能幸免，其中60%的登陆尝试均来源于网络罪犯。

Shape 声称，网络攻击的成功率有3%，而且这也大大增加了企业的成本负担。这类诈骗每年给电商部门带来近60亿美元的损失，而个人银行业每年的损失约17亿美元。酒店行业与航空公司也是网络攻击的主要目标，每年失窃的积分会造成价值7亿美元的损失。

据 Shape 报告，犯罪分子从数据泄漏中获取用户名及密码，并在能想得到的网站或移动应用程序上尝试登陆。Mountain View 的总部位于加利福尼亚，该公司表示其检测发现了16亿次撞库行为。这家公司成立7年之久，其联合创始人曾担任五角大楼顾问，也曾在国防合约商Raytheon 工作。

当黑客侵入数据库并窃取登录信息时，这一过程就开始了。Equifax 和雅虎发生了几起轰动一时的“数据泄漏”事件，而且发生的相当频繁。据Shape，去年发生51起数据泄漏事件，造成23亿登陆凭证丢失。黑客通常会攻击网络论坛：Lady Gaga 的“小怪物”粉丝网站于去年遭受攻击，报道称近100万账户信息失窃，其中包括出生日期、账户密码以及电子邮件信息。

相比之下，成人网站去年没有汇报任何数据泄漏事件。我们要想得知是这类网站成功阻挡了黑客，或是他们没有意识到（或汇报）其数据可能已经泄漏，仍需一段时间。AdultFriendFinder.com 的数据泄漏是2016年最大的凭证漏洞之一。

当你发现黑客入侵时，往往就已经晚了；平均而言，从数据信息泄漏之日到入侵暴露之时，需历时15个月。对于黑客来说，他们在这段时间内足以利用不设防用户的数据进行数千次的撞库攻击。

网络罪犯从保护薄弱的地方窃取个人信息，然后在价值更高并且受到更好保护的网站或应用程序上进行登陆。登陆银行账户是窃取登录信息以获利的一种方式。在美国，社区银行受到攻击的次数远远多于其他产业集团。据Shape数据，该行业每天遭受多达2亿次的网络攻击。

另一种窃取数据以获利的方式是购买易于转售的商品，其中包括礼品卡以及电子产品等实体商品。事实证明，昂贵的奶酪有时也会出现在黑客的计划当中，如每磅200美元的 Wyke Farms 切德干酪。Shape 声称，黑客利用窃取来的信息登入网上食品店账户，购买高价奶酪，然后将其转售给餐馆以谋取现金。

航空公司的飞行常客里程也是黑客的目标之一。Shape 指出，这些里程或积分不像金融账户那样有着复杂的安全性保护，当其用户发现他们的账户被洗劫一空时，往往已经过去了很长时间。

失窃的常用里程数助长了灰色市场的发展。黑客将其卖给从酒店或航空公司购买奖励积分的专业经纪人。Shape 声称，当英里数转到经纪人的账户后，黑客通常支持 PayPal 转账。里程经纪人然后将积分售至给线上旅行社，这些旅行社就可以出售商务舱或头等舱机票的折扣票。一些折扣机票真是便宜得令人难以置信。

网络罪犯变得愈加复杂，他们会与其他黑客在非法网站分享成功的技巧或工具。但 Shape 表示，并非所有人的密码都会丢失，在去年的报告中，凭证泄露大致稳定在51起，而2016年共计52起。数据泄漏的规模也有所下降。种种迹象表明，即便威胁进一步升级，网络安全也在逐步加强。与此同时，消费者也需尽自己的一份力，更改密码，以便将这些攻击减到最少。

本文作者：

John Detrixhe，记者，Future of Finance

本文原载于世界经济论坛Agenda博客，与Quartz 联合发表，转载请注明来源并附上本文链接。

翻译：程杨

编辑：王思雨