Imperva 於史上最大規模的 ATO 攻擊中阻止 Bot 挾持金融帳戶

Imperva 近期阻止了史上最大規模且持續時間最長的 ATO (帳戶接管，Account Takeover)攻擊。此攻擊針對一家數位銀行的登入頁面，於三周內發起了超過 5 億次惡意登入請求，平均每天約有 2500 萬次惡意登入請求。

我們都知道當 ATO 攻擊成功時，將對於您的品牌信譽及業務造成重大的損害，其嚴重程度甚至超越了輕微停機所造成的影響。

當一大群高度複雜的 Bad Bot，以您的登入頁面為目標，並在數天的持續攻擊中發送數百萬個憑證填充 (Credential Stuffing) 攻擊，將會成為您與眾多資安業者的噩夢！並且在近幾年，我們觀察到 Bad Bot 的複雜性有所增加，Bad Bot 用於規避檢測的技術包含頻繁輪用 IP 位址、更改 User-Agent 和操縱登入參數及 cookie；Bad Bot 甚至可透過各項工具和平台 ( 如 Death by Captcha 、 2Captcha) 來繞過或破解 CAPTCHA challenges。

ATO 保護是 Imperva 在市場領先的 WAAP ( Web 應用程序和 API 保護) 解決方案的一部分，可以幫助您減輕 ATO 攻擊並防止基於帳戶的詐欺。

接下來一起查看此次攻擊的始末：

本次事件時間表

此攻擊活動於 2022年7月8日開始，攻擊者首次試探該登入頁面 (如上圖黃色短峰值所示)，其行為旨在評估目標並了解它是否收到充分的保護，確認這些 ATO 攻擊測試皆未受到阻止，攻擊者隨後於 2022年7月10日開始發起全面攻擊 (如上圖黃色長峰值所示)，客戶於 2022年7月28日啟用 ATO 保護緩解措施 (如上圖藍色長峰值所示) ，而您可能注意到這與攻擊開始的時間之間存在差距，這是因為客戶需在內部通過各種批准且須於開啟緩解措施前回答一些必要問題，所以是可以理解的。

在攻擊期間，Imperva 團隊與客戶密切溝通合作以消除任何疑慮，定期啟用 ATO 保護緩解措施以測試 Imperva 會如何影響客戶網站 (如上圖黃色流量中的藍色峰值所示)，直到客戶解決所有疑慮便在其網站上完全設置 ATO 保護緩解措施。

針對 Imperva ATO 保護緩解措施阻止惡意登入請求，我們列出以下常見問題與回覆：

Q：我怎麼確定這是攻擊？

A：Imperva 可精準確認登入頁面的請求是否帶有 ATO 攻擊嘗試的特徵。Imperva 透過多層檢測過濾流程來實現這點，其中包含利用群眾外包數據的聲譽分析、進階客戶分類引擎以及 Imperva 開發的專有算法，如行為分析模型等。Imperva 能夠藉由在全球客戶網路中看到的攻擊中收集群眾外包數據，並用於微調 Imperva 專有算法，再回饋給全球客戶。

Q：是否會誤擋合法用戶流量？

A：如同上題敘述，Imperva 能夠精準確認登入頁面的請求是否帶有 ATO 攻擊嘗試的特徵，這意味著合法流量不會被阻擋。

Q：這會對用戶造成任何影響嗎？

A：Imperva 的多層檢測過濾流程方法提供 Laser-focused 檢測，誤報率極低、減少使用 CAPTCHA challenges 並保持用戶體驗。

Q：是否會有任何額外延遲？

A：不會。ATO 保護緩解措施部署於 Imperva 全球網路，利用強大的 CDN 提供最佳的速度、性能和彈性，可以確保惡意登入請求再最接近其來源的地方會立即得到阻止。

ATO 保護緩解措施

一旦啟用 ATO 保護緩解措施便會立即開始行動，阻止攻擊流量。可以看到上方左圖攻擊流量從黃色轉變為藍色，並同時允許合法用戶繼續登入帳戶不會中斷。

當客戶利用開箱即用的 ATO 保護緩解措施時，若登入活動被歸類為高風險則會被阻擋，而中風險和低風險的登入活動皆不採取任何措施，確保客戶不會遭受到誤報的影響。

再看到上方右圖，由於客戶啟用了 ATO 保護緩解措施，我們可以發現攻擊開始平息。此現象說明攻擊者喜歡瞄準沒有防護的網站，若攻擊者遇上一個受到良好防護的網站，就必須付出更多的時間與資源，最終攻擊者有非常大的機率放棄。

所以阻止攻擊者並降低攻擊投資報酬率才是啟用 ATO 保護緩解措施的主要原因，而非僅在受到攻擊時才啟用。

使用 Imperva 減輕 ATO 攻擊並防止基於帳戶的詐欺

Imperva ATO 保護緩解措施提供登入防護，不會影響到合法用戶流量，也不會增加延遲。

Imperva 可以精準地確認登入頁面的請求是否帶有 ATO 攻擊嘗試的特徵，在 ATO 攻擊剛發起時，甚至是在有機會到達您的基礎設施之前就阻止請求。

ATO 保護緩解措施主要在登入功能上啟用欺詐行為調查和檢測，使用者可以於儀表板看到針對攻擊嘗試、洩露的用戶憑證、受損的用戶帳戶和成功的登錄嘗試等數據，而用戶行為異常檢測則是指出了存在欺詐活動風險的帳戶。

ATO 保護是 Imperva 在市場領先的 WAAP (Web 應用程序和 API 保護) 解決方案的一部分。