Akamai互联网安全现状报告：零售商成为凭证填充攻击的最大受害者

日期：2019年3月21日 上午9:30 香港2019年3月21日 /美通社/ -- Akamai 发佈的“2019互联网/安全现状报告：零售攻击和API流量报告”（2019 State of the Internet / Security: Retail Attacks and API Traffic）显示，自去年5月至12月，骇客对零售网站发起的凭证滥用攻击高达100多亿次，而零售业是本次研究中受到最多攻击的行业。该报告 还指出了另外两个紧迫的安全问题 -- 应用程式介面（Application Programming Interface, 简程API）召用流量偏多和基於IPv6流量的明显误报。
Akamai专门研究了名为“凭证填充”的凭证滥用技术，骇客们有系统地利用殭尸网络从网络中尝试窃取登入资料。它们以银行和零售商的登录页面为目标，因为许多客户的多个服务和账户使用相同的登入凭证。商品价值导致骇客对零售业情有独钟，他们通过窃取账户获取商品，然后频繁地转售。
根据该报告，骇客部署危险的AIO机器人是一种多功能工具，可以利用凭证填充和一些规避技术快速购买商品。一个AIO机器人可以同时瞄準120多个零售商。
报告指出，媒体和娱乐行业也是凭证滥用的受害者。它们的价值在於这些网站维护的个人资料。例如，当最终用户网上註册串流媒体服务时，他们会提供信用卡和个人资料。这类数据在黑市上有很高的价值。Akamai还指出，大量凭证滥用攻击针对金融服务、酒店和旅游以及消费品网站。
本报告的安全研究员和编辑主任Martin McKeay认为：“技术变了，但动机—即人性的贪婪始终不变。由於失窃的商品被迅速出售，且价格不菲，零售商一直处於易受攻击的最前沿。正因如此，数据显示拥有最高商品价值的服装网站成为首要目标。”
除了服装行业，Akamai还跟踪了零售业中针对直销、百货店、办公用品店和时尚品（如：珠宝和手錶）的凭证填充攻击。
盛行的API流量和潜在的IPv6漏报成为安全问题

根据报告中详细介绍的2018年10月Akamai流量评估，API召用佔网络流量的83%。大部分API流量用於数码转型和云端应用部署而带来的定制式应用。安全团队在考虑风险时，API数量增长非常重要，因为有些安全工具并不具备管理API流量的功能。
McKeay解释说：“网络应用一般都具有流动性，许多API召用均来自於特定的应用或企业，并且需要採取与静态HTML流量截然不同的安全方法。”

同时，报告中的DNS流量分析指出，IPv6流量引发的问题可能被低估，因为许多能够使用IPv6的系统仍然倾向於IPv4。这可能造成设备配置错误，或不当的监视和网络盲点等安全问题。由於IPv6仍然被认为是网络流量的一小部分，所以它并不是许多安全工具的主要卖点。
如需免费获得“2019年互联网/安全状况：零售攻击和API流量报告”，请点击此处下载 。如需瞭解有关凭证滥用（特别是凭证填充）的详情，以及为面临此类攻击的企业提供的有用建议，请点击此处查看 。有关Akamai其他解决方案的信息，包括DNS安全的解决方案，请点击访问此处 。
研究方法

Akamai“2019年互联网/安全状态：零售攻击和API流量报告”结合了来自Akamai全球架构的攻击数据，反映了全公司不同团队的研究结果。该报告提供了当前云安全和威胁环境的分析，以及通过Akamai Intelligent Platform 平台收集的数据所获得的攻击趋势洞察。本报告的撰稿人包括Akamai常驻各地的安全专家，涉及安全情报响应小组（Security Intelligence Response Team）、威胁研究部门（Threat Research Unit）、信息安全（Information Security）和自定义分析（Custom Analytics）小组。
关於Akamai
Akamai 为全球最大型企业递送安全的数码体验。Akamai 智慧型边缘平台（Akamai Intelligent Edge Platform）涵盖范围横跨企业到云端，让客户及其公司能够享有高速、智慧与安全的体验。全球顶尖品牌均仰赖 Akamai 提供灵活解决方案扩充多云端架构，帮助品牌获得具竞争力的优势。Akamai 领先业界，让决策、应用程式和体验更贴近使用者需求，并保护他们免受攻击和威胁。Akamai 的产品组合包含边缘安全防护、网站与流动效能、企业存取、以及视像递送解决方案，皆享有卓越客户服务与 24 小时全年无休的监控支援。想瞭解为何世界顶尖品牌均信赖 Akamai，欢迎瀏览www.akamai.com/tw/zh  或 blogs.akamai.com ，并在 Twitter  追踪 @Akamai。亦可以在 www.akamai.com/locations  找到Akamai的全球联络资讯。
Akamai 依据美国私人证券诉讼改革法案（Private Securities Litigation Reform Act） 所述声明
本新闻稿包含 Akamai 管理阶层对於未来期望、计画及前景之相关资讯，构成 1995 年美国私人证券诉讼改革法案 （The Private Securities Litigation Reform Act of 1995） 安全港条款所述之前瞻性声明。实际结果可能因为各种重要因素而与前瞻性声明所述內容之间形成实质差异，其中包括但不限於串流市场未能依据预期发展、新推出的解决方案未能依据预期运作或无法满足既定市场需求、未能开发符合市场需求变化的新解决方案、Akamai 的网络基础架构发生故障，以及 Akamai 在 Form 10-K 年度报表、Form 10-Q 季报表，以及定期向美国证券交易委员会（SEC）提交的其他文件中所述之其他因素。
图标 - https://photos.prnasia.com/prnh/20190320/2408932-1LOGO