【安全资讯】男子因出售数万个被黑DraftKings账户被判30个月监禁

概要：

在日益猖獗的网络犯罪活动中，针对在线平台的凭证填充攻击已成为窃取用户资产和隐私的主要手段。近日，一起涉及美国知名体育博彩网站DraftKings的大规模账户劫持案宣判，主犯之一因转售数万个被盗账户访问权限被判入狱，此案揭示了网络黑产链条的运作模式及其对企业和用户造成的严重经济损失。

主要内容：

2022年11月，Nathan Austad与Joseph Garrison等人发起了一场大规模的凭证填充攻击，利用从其他数据泄露事件中窃取的凭证列表，成功入侵了近68,000个DraftKings用户账户。攻击的核心技术在于利用用户在不同网站重复使用相同密码的习惯，通过自动化工具尝试批量登录，从而绕过安全验证。

得手后，攻击者不仅直接盗取了约63.5万美元的资金，还将大量账户访问权限通过自建的“商店”进行出售，非法获利超过210万美元。其中，23岁的Kamerin Stokes批量购入这些被盗账户，并通过自己的渠道进行转售，构成了黑产链条的下游分销环节。

此次攻击导致DraftKings被迫向受害用户退还数十万美元的被盗资金。事件暴露出，即便在账户添加新支付方式时仅存入5美元进行验证，攻击者也能迅速提走所有可用余额，凸显了平台在交易风控机制上的潜在缺陷。

令人震惊的是，Stokes在认罪并获保释候审期间，竟以“欺诈很有趣”为标语重开犯罪店铺，继续销售各类被盗账户，最终因违反保释条件再次被捕。除30个月监禁外，他还被判处3年监督释放，并需支付超过145万美元的赔偿和罚金，为其犯罪行为付出了沉重代价。