尼日利亚黑客利用撞库攻击，窃取工资存款

据外媒网站消息，一个尼日利亚人（Charles Onus）侵入一家人力资源公司的用户账户，并且通过将工资支付转移到他的借记卡上，以此窃取工资存款。目前，这个案件已经在纽约南区地方法院接受审理。

据起诉书和法庭上的陈述，从2017年7月开始，到他被抓捕之前，Charles Onus总共入侵了5500个用户账户，窃取总计80万美元的工资。

利用撞库来窃取账户

Charles Onus使用撞库攻击窃取账户，通过凭证填充，攻击者使用从以前的数据泄露中获取的用户名和密码组合来登录账户。这个方法和暴力破解或猜测密码不同，因为不涉及破解，而是依赖于受害者在多个平台使用重复相同的凭据。

在公司用户账户被盗用后，Charles Onus将用户指定的银行账户信息，修改成自己控制的预付借记卡，这样就能接收用户的工资。
2021年4月14日，Charles Onus在机场被捕了，并且承认了相关罪行，最终裁决由Gardephe法官于2022年5月12日决定。

如何防止撞库攻击

使用某种形式的多重身份验证（MFA），可以有效防止撞库攻击。除了用户名和密码，还需要单独的验证码。这个验证码通过短信或身份验证应用程序发给用户，因此，就算用户的登录名和密码被盗取，如果没有MFA一次性密码，攻击者也无法登录。

用户应该在不同的网站使用不同的密码，并且将密码设置得复杂一些，避免使用123456这样过于简单的密码。

因为据《2021世界密码排行》公布，123456是使用人数最多的密码。为了提高网络安全，防止不法分子轻易获得密码，大家一定不要怕麻烦，设置具有一定长度且复杂的密码，来保护个人账户的安全。