HackerNews 编译,转载请注明出处:
身份认证服务商Okta警告称,注册欺诈已达到“惊人”的规模,并声称在2024年,高达46%的客户注册尝试是由机器人发起的。
Okta在其《2025年客户身份趋势报告》中披露了这些数据。该报告基于对全球6750名消费者的调查以及其Auth0平台上的运营遥测数据编写而成。
Okta表示,注册欺诈尝试的激增逆转了近期下降的趋势,这可能是由AI赋能的攻击流程导致的。
“今年的结果凸显了AI如何挑战我们信任数字交互真实性的能力,” Okta EMEA首席安全官Stephen McDermid表示。“我们正在进入一个时代,在这个时代里,我们不仅必须问‘谁’值得信任,更要问‘什么’才能真正信任。这个新的攻击面要求我们为AI时代构建一个安全的基础,从静态策略转向动态策略,并将身份置于核心位置。”
报告指出,欺诈尝试在全年波动显著,在4月6日飙升至近93%,而在2月29日则低至14%。不过,在其他任何一天,该数字都没有低于30%。
零售和电子商务公司受到的打击最为严重,占2024年注册欺诈尝试的69%,其次是金融服务(64%)、能源/公用事业(56%)和制造业(54%)。Okta表示,零售商和金融服务机构提供的注册激励和会员专属优惠可能吸引了欺诈者的关注。
然而,Okta警告称,注册欺诈不仅消耗此类注册奖励。它还可能使网络犯罪分子能够发现现有用户账户,利用沉淀账户在日后绕过安全控制,甚至通过消耗资源来执行拒绝服务(DoS)攻击。
企业面临的挑战在于,如何在加强身份认证安全的同时,不过度增加注册过程的摩擦。
报告还揭示了一个矛盾现象:尽管64%的用户表示担心身份欺诈,72%的用户在注册前会评估公司的安全措施,但仍有近四分之一的用户“总是”或“经常”因注册或登录流程问题而放弃在线购买。填写冗长的登录/注册表单(62%)最常被用户视为注册或登录过程中的烦恼来源。
如何应对暴力破解攻击?
Okta敦促企业采取以下措施来反击此类机器人驱动的欺诈尝试:
- 投资于DDoS缓解服务;部署基于行为分析、威胁情报和反馈循环的机器人过滤技术;实施速率限制控制;在达到风险阈值时增加验证码(CAPTCHA)要求;收紧可疑IP阈值,并实施访问控制列表(ACL)以阻止滥用IP;在边缘使用Web应用防火墙(WAF)规则拦截恶意活动;鼓励客户使用通行密钥(passkey)进行注册。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
