How do hackers get lists of username and password combinations to use in credential stuffing attacks?

Hackers obtain credential lists primarily from publicly disclosed data breaches—when companies experience security incidents, the stolen data is often shared on dark web forums or sold to other criminals. These breach databases are compiled and organized by username and password, making them valuable commodities in the cybercriminal underground. Additionally, credentials may come from malware-infected devices that logged keystrokes, purchased from other hackers, or scraped from public sources like LinkedIn profiles combined with passwords from previous breaches.

If I use a strong password, am I protected from credential stuffing attacks?

A strong password protects you only if it's unique and not already in a breach database. Credential stuffing attacks don't involve guessing—they use stolen credentials, so password strength is irrelevant if that exact username-password combination was leaked elsewhere. However, if attackers only have your username (without your password), a strong unique password becomes your actual defense. This is why both password uniqueness and strength matter: uniqueness protects against credential stuffing, and strength protects if attackers try brute-force attacks.

How quickly can a credential stuffing attack compromise my account?

Modern credential stuffing attacks can test thousands of stolen credentials per minute using automated tools and distributed servers. If your credentials are in the attacker's database, your account could be compromised within minutes to hours of the attack beginning. Attackers typically scan and organize successful logins in real-time, allowing them to identify valuable accounts immediately. This rapid timeline means you may not discover the compromise until days or weeks later when you notice suspicious account activity or receive fraud alerts.

If my password wasn't in a breach, can I still be affected by credential stuffing?

If your specific password wasn't in a breach, you're protected from credential stuffing—but most people aren't in that position. The reality is that billions of credentials from hundreds of major breaches are actively being used in credential stuffing campaigns right now. Even if you've created a strong unique password, you could still be vulnerable if any of your other accounts were breached, because attackers often test variations and mutations of known passwords. You should assume that some of your credentials are in use somewhere unless you actively monitor breach databases.

What should I do immediately if I discover my account was compromised through credential stuffing?

First, change the password for the compromised account to something completely new and unique, then enable multi-factor authentication if it's not already active. Second, check your account activity history and revoke access to any connected apps, devices, or sessions you don't recognize. Third, change the passwords for any other accounts using the same or similar credentials. Finally, monitor the compromised account and associated email for suspicious activity for the next 30-90 days, watch your credit reports for fraudulent accounts, and contact your bank and credit card companies to flag potential fraud.

高风险平均损失: $5,000 持续时间: 1-30 days

凭证填充攻击：黑客如何利用您的密码

凭证填充是一种自动化攻击，黑客使用被盗的用户名和密码组合在多个网站和服务上获得未授权访问权限。这种攻击之所以有效，是因为许多人在不同平台上重复使用相同的密码——当一家公司遭遇数据泄露时，犯罪分子会汇编泄露的凭证，并使用专门软件在数百个其他网站上快速测试这些相同的登录组合。根据2024年Verizon数据泄露调查报告，凭证泄露涉及超过40%的数据泄露事件，使其成为最常见的攻击向量之一。单次凭证填充攻击可以在数小时内测试数百万个登录组合，成功率取决于攻击者的密码列表质量，通常在0.1%到2%之间。这意味着从一百万个被盗凭证列表中，攻击者可能成功破入1000到20000个账户——这些账户通常包含财务信息、个人数据或对更敏感系统的访问权限。凭证填充的危害远不止初次账户入侵。一旦攻击者获得您的电子邮件账户访问权限，他们可以在您的银行、社交媒体和加密货币账户上请求密码重置。如果他们通过LinkedIn凭证访问您的工作电子邮件，就能为公司间谍活动或勒索软件部署打开突破口。FBI的2023互联网犯罪投诉中心收到了超过14000份与凭证泄露相关的报告，造成的损失超过1.37亿美元。这种攻击特别险恶，因为受害者往往直到账户中出现欺诈性费用或发现个人资料遭未授权更改时才意识到被入侵。LinkedIn（7亿个账户）、Yahoo（30亿个账户）和众多零售连锁店的大规模泄露已创建了犯罪分子正在积极利用的巨大凭证数据库。

常见手法如何识别如何保护自己真实案例常见问题

常见手法

• 从暗网市场或之前的数据泄露中获取被盗凭证列表，然后使用Sentry MBA或OpenBullet等自动化工具快速测试这些凭证与银行、电子邮件提供商、社交媒体平台和电子商务网站的登录门户。
• 使用轮换代理服务器和住宅IP地址将请求分散到多个IP范围，绕过标准速率限制安全措施，这些措施通常会标记来自单个源的快速登录尝试。
• 首先在论坛账户或零售商等保护较少的网站上测试凭证，然后再尝试电子邮件和银行账户等高价值目标，这样可以验证哪些凭证仍然有效，然后再针对具有财务价值的账户。
• 在攻击期间实施被盗密码的轻微变化或变异，例如添加常见后缀如'123'或'!'，以应对用户在泄露后略微更改密码的情况。
• 监控成功的账户访问以识别哪些凭证提供最有价值的信息，然后要么在暗网上出售这些已验证的活动凭证，要么将其用于二次攻击，如账户接管或身份盗用。
• 在非高峰时间或在延长时期内安排攻击，以避免触发由大量同时失败登录尝试生成的安全警报。

如何识别

您收到通知，有人从不熟悉的位置或设备登录了您的账户，或您看到在您不在线时的登录活动。
您的电子邮件账户包含您未启动的密码重置通知或账户恢复尝试，表明有人试图访问您的账户。
您注意到异常活动，例如更改的个人资料信息、未授权的购买、修改的安全设置，或账户上的不熟悉的已连接应用或设备。
财务账户显示未授权交易，或您的银行提醒您存在可疑登录尝试，尽管您使用强大的唯一密码。
您收到电子邮件提供商关于可疑活动、来自多个位置的失败登录尝试或来自您不认识的源的密码更改请求的警报。
您的社交媒体账户被用来向您的联系人发送未请求的消息或好友请求，这表明有人掌握了您的登录凭证。

如何保护自己

使用Bitwarden、1Password或Dashlane等密码管理器为每个在线账户创建唯一的复杂密码——避免在网站间重复使用密码，这正是凭证填充攻击成功的原因。
在所有支持的账户上启用多因素认证（MFA），特别是电子邮件、银行、加密货币和社交媒体账户；尽可能使用Google Authenticator或Authy等身份验证器应用，而不是短信，因为短信容易遭受SIM卡交换攻击。
定期监控您的账户以查找可疑活动，并为来自新设备或位置的登录设置账户警报；大多数主要平台都允许您查看活动会话并登出未知设备。
向Equifax、Experian和TransUnion提交欺诈警报或信用冻结，以防止攻击者在入侵过程中获得您的个人信息后以您的名义开设新账户。
使用haveibeenpwned.com和researchbreaches.com检查您的电子邮件地址是否出现在已知数据泄露中；如果在泄露中发现，立即更改该账户的密码以及任何使用相同凭证的其他账户。
使用最新的安全补丁更新您的设备，并使用信誉良好的防病毒软件，以防止键盘记录器或凭证盗取恶意软件在密码到达目标网站之前捕获您的密码。

真实案例

一位软件开发人员的LinkedIn凭证在2021年泄露中被暴露，但她没有更新密码。几个月后，攻击者使用她泄露的用户名和密码访问了她的LinkedIn账户，然后使用账户恢复流程重置了她的Gmail密码。进入她的电子邮件后，他们重置了她的AWS、GitHub和银行密码，获得了对她公司云基础设施的访问权限和个人储蓄。当她公司的安全团队检测到异常的AWS访问模式时，她发现了这次泄露，该攻击已造成8000美元的欺诈性云费用，并暴露了机密项目代码。

一位零售经理在工作账户、电子邮件和个人银行系统上重复使用相同的密码。当该零售商遭遇暴露50000员工凭证的数据泄露时，攻击者立即针对流行的银行网站测试这些凭证。经理的银行账户在12小时内被访问，欺诈分子将4200美元转入加密货币交易所，然后银行的欺诈检测系统触发了对额外交易的暂停。调查显示攻击者在47个不同网站上测试了凭证，成功访问了他的电子邮件和PayPal账户。

一位电子商务企业主注意到她的商户账户上出现异常拒付，并发现攻击者通过凭证填充获得了她的电子邮件访问权限。利用电子邮件访问权限，他们登录了她的电子商务平台管理面板，修改了产品价格，将客户付款重定向到攻击者控制的账户，并窃取了客户支付信息。在她发现欺诈前的5天内，攻击者处理了23000美元的转向交易，并泄露了超过300名客户的支付数据，造成了重大的法律责任和声誉损害。

常见问题

黑客如何获得在凭证填充攻击中使用的用户名和密码组合列表？

黑客主要从公开披露的数据泄露中获得凭证列表——当公司遭遇安全事件时，被盗数据通常会在暗网论坛上共享或被出售给其他犯罪分子。这些泄露数据库按用户名和密码进行编译和组织，使其成为网络犯罪地下的宝贵商品。此外，凭证可能来自记录了击键的恶意软件感染设备、从其他黑客购买，或从LinkedIn个人资料等公开源和来自以前泄露的密码抓取而来。

如果我使用强密码，我能否免受凭证填充攻击？

强密码只有在它是唯一的且不在任何泄露数据库中时才能保护您。凭证填充攻击不涉及猜测——它们使用被盗凭证，因此如果该用户名-密码组合在别处泄露，密码强度就无关紧要。但是，如果攻击者只有您的用户名（没有您的密码），强唯一密码就成为您的实际防御。这就是为什么密码的唯一性和强度都很重要：唯一性可以防止凭证填充，强度可以在攻击者尝试暴力破解时提供保护。

凭证填充攻击需要多长时间才能破坏我的账户？

使用自动化工具和分布式服务器的现代凭证填充攻击每分钟可以测试数千个被盗凭证。如果您的凭证在攻击者的数据库中，您的账户可能在攻击开始后几分钟到几小时内被破坏。攻击者通常实时扫描和组织成功的登录，使他们能够立即识别有价值的账户。这个快速的时间表意味着您可能直到数天或数周后才发现被破坏，当时您会注意到账户上的可疑活动或收到欺诈警报。

如果我的密码没有在泄露中出现，我仍然会受到凭证填充的影响吗？

如果您的特定密码没有在泄露中出现，您将不会受到凭证填充的影响——但大多数人不在这种情况下。现实情况是数十亿个来自数百个主要泄露的凭证正在被积极用于凭证填充活动中。即使您创建了强大的唯一密码，如果您的任何其他账户被泄露，您仍然可能容易受到攻击，因为攻击者通常会测试已知密码的变化和变异。除非您主动监控泄露数据库，否则应该假设您的某些凭证正在某处被使用。

如果我发现我的账户通过凭证填充被破坏，我应该立即做什么？

首先，将被破坏账户的密码更改为完全新的和唯一的，然后启用多因素认证（如果尚未激活）。其次，检查您的账户活动历史，并撤销对任何您不认识的已连接应用、设备或会话的访问权限。第三，更改使用相同或相似凭证的任何其他账户的密码。最后，在接下来的30-90天内监控被破坏账户和相关电子邮件的可疑活动，查看您的信用报告以获取欺诈账户，并联系您的银行和信用卡公司以标记潜在欺诈。

按线索进入

安全检测

威胁情报

工具与举报

高级服务

扩展与 API