最近Akamai發布了《2018年互聯網安全狀況報告：撞庫攻擊》，該報告顯示，從2017年11月初到2018年6月末，Akamai的研究分析結果顯示，惡意登錄嘗試在8個月內超過300億次。全球惡意登錄的次數在不斷增加，情況不容樂觀。

 

在2018年1月到4月間，Akamai每月大約檢測到32億次惡意登錄，此外，2018年5月和6月的爬蟲程序惡意登錄次數超過83億次，月平均增長率達到30%。

惡意登錄嘗試是由撞庫攻擊行為造成的，黑客利用僵尸網絡不斷嘗試在Web上竊取登錄信息。由于用戶習慣性的將多個服務賬戶使用相同的登錄信息（同一個賬戶名和密碼），因此黑客們有了可乘之機。

 

這些黑客更傾向于將目標瞄準銀行和電商的登錄。根據此前Ponemon Institute發布的《撞庫造成的損失》顯示，撞庫每年可使企業機構遭受數百萬到數千萬美元的與欺詐相關的損失。

Akamai安全部門副總裁Josh Shaul分享了一個例子“一家全球最大的金融服務公司每月遭遇了8000多次賬戶竊取行為，導致每天與欺詐相關的直接損失高達10萬美元。Akamai幫助其在每個消費者登錄端點的前端部署了基于行為特征的爬蟲程序檢測功能，此舉立即將賬戶盜取行為的發生大幅減少到每月僅有一至三次，并將每天與欺詐有關的損失減少到只有1000至2000美元。”

研究表明，撞庫攻擊者正在不斷改進攻擊手段從海量（volume-based）攻擊，轉向低可見度慢速隱形攻擊。如果沒有特定的專業知識和工具來抵御這些混合的、多方向的攻擊活動，企業機構則會很容易遭受一些最危險的撞庫攻擊。