W sumie jest 500 milionów kont Zoom do sprzedaży w ciemnej sieci dzięki „wypychaniu poświadczeń”. Jest to powszechny sposób włamywania się przestępców na konta online. Oto, co właściwie oznacza ten termin i jak możesz się chronić.
Spis treści:
Zaczyna się od wycieku baz danych haseł
Ataki na usługi online są powszechne. Przestępcy często wykorzystują luki w zabezpieczeniach systemów w celu uzyskania baz danych nazw użytkowników i haseł. Bazy danych skradzionych danych logowania są często sprzedawane online w ciemnej sieci, a przestępcy płacą w Bitcoin za przywilej dostępu do bazy danych.
Załóżmy, że masz konto na forum Avast, którym było naruszone w 2014 roku. To konto zostało naruszone, a przestępcy mogą mieć Twoją nazwę użytkownika i hasło na forum Avast. Avast skontaktował się z Tobą i czy zmieniłeś hasło na forum, więc w czym problem?
Niestety problem polega na tym, że wiele osób używa tych samych haseł na różnych stronach internetowych. Załóżmy, że Twoje dane logowania na forum Avast to „[email protected]” i „Niesamowite hasło”. Jeśli zalogowałeś się do innych witryn internetowych przy użyciu tej samej nazwy użytkownika (adresu e-mail) i hasła, każdy przestępca, który zdobędzie Twoje ujawnione hasła, może uzyskać dostęp do tych innych kont.
Wypychanie poświadczeń w akcji
„Wypychanie danych uwierzytelniających” polega na korzystaniu z tych baz danych zawierających dane logowania, które wyciekły, i próbie zalogowania się za ich pomocą w innych usługach online.
Przestępcy pobierają duże bazy danych kombinacji nazw użytkowników i haseł, które wyciekły – często miliony danych logowania – i próbują zalogować się za ich pomocą w innych witrynach internetowych. Niektórzy używają tego samego hasła w wielu witrynach internetowych, więc niektóre będą pasować. Zwykle można to zautomatyzować za pomocą oprogramowania, szybko wypróbowując wiele kombinacji logowania.
W przypadku czegoś tak niebezpiecznego, co brzmi tak technicznie, to wszystko – próba ujawnienia danych uwierzytelniających w innych usługach i sprawdzanie, co działa. Innymi słowy, „hakerzy” umieszczają wszystkie te dane logowania w formularzu logowania i sprawdzają, co się stanie. Niektóre z nich na pewno zadziałają.
Jest to obecnie jeden z najczęstszych sposobów, w jaki osoby atakujące „włamują się” na konta internetowe. Tylko w 2018 roku sieć dostarczania treści Akamai zarejestrował prawie 30 miliardów ataków polegających na wypychaniu poświadczeń.
Jak się chronić
Ochrona przed wypychaniem danych uwierzytelniających jest dość prosta i wymaga przestrzegania tych samych praktyk bezpieczeństwa haseł, które eksperci od lat zalecają. Nie ma magicznego rozwiązania – tylko dobra higiena hasła. Oto rada:
Unikaj ponownego używania haseł: używaj unikalnego hasła do każdego konta, z którego korzystasz online. Dzięki temu nawet jeśli Twoje hasło wycieknie, nie będzie można go używać do logowania się w innych witrynach internetowych. Atakujący mogą próbować wepchnąć Twoje dane logowania do innych formularzy logowania, ale nie będą one działać.
Użyj menedżera haseł: zapamiętanie silnych, unikalnych haseł jest zadaniem prawie niemożliwym, jeśli masz konta w kilku witrynach internetowych, a prawie każdy ma. Zalecamy korzystanie z menedżera haseł, takiego jak 1Password (płatne) lub Bitwarden (darmowy i open-source), aby zapamiętać Twoje hasła. Może nawet generować te silne hasła od podstaw.
Włącz uwierzytelnianie dwuetapowe: W przypadku uwierzytelniania dwuetapowego musisz podać coś innego – na przykład kod wygenerowany przez aplikację lub wysłany do Ciebie SMS-em – za każdym razem, gdy logujesz się do witryny internetowej. Nawet jeśli osoba atakująca ma Twoją nazwę użytkownika i hasło, nie będzie mogła zalogować się na Twoje konto, jeśli nie ma tego kodu.
Otrzymuj powiadomienia o wycieku hasła: dzięki usłudze takiej jak Czy zostałem Pwned?, możesz otrzymać powiadomienie, gdy Twoje poświadczenia pojawią się w wycieku.
Jak usługi mogą chronić przed wprowadzaniem poświadczeń
Podczas gdy osoby fizyczne muszą wziąć odpowiedzialność za zabezpieczenie swoich kont, istnieje wiele sposobów ochrony przez usługi online przed atakami polegającymi na wypychaniu danych uwierzytelniających.
Skanuj wyciekłe bazy danych w poszukiwaniu haseł użytkowników: Facebook i Netflix zeskanowano wyciekły bazy danych haseł, porównując je z danymi logowania w ich własnych usługach. Jeśli znajdzie się odpowiednik, Facebook lub Netflix mogą poprosić własnego użytkownika o zmianę hasła. To jest sposób na pokonanie tych, którzy wypychają referencje do ponczu.
Oferuj uwierzytelnianie dwuskładnikowe: użytkownicy powinni mieć możliwość włączenia uwierzytelniania dwuskładnikowego, aby zabezpieczyć swoje konta online. Szczególnie wrażliwe usługi mogą uczynić to obowiązkowym. Mogą również poprosić użytkownika o kliknięcie łącza weryfikacyjnego logowania w wiadomości e-mail, aby potwierdzić żądanie logowania.
Wymagaj CAPTCHA: jeśli próba logowania wygląda dziwnie, usługa może wymagać wprowadzenia kodu CAPTCHA wyświetlonego na obrazku lub kliknięcia innego formularza w celu zweryfikowania, że człowiek – a nie bot – próbuje się zalogować.
Ogranicz powtarzające się próby logowania: usługi powinny próbować blokować roboty przed próbami dużej liczby prób logowania w krótkim czasie. Nowoczesne, wyrafinowane boty mogą próbować zalogować się z wielu adresów IP jednocześnie, aby ukryć swoje próby wypychania danych uwierzytelniających.
Słabe praktyki dotyczące haseł – a mówiąc szczerze, słabo zabezpieczone systemy online, które często są zbyt łatwe do złamania – sprawiają, że upychanie danych uwierzytelniających stanowi poważne zagrożenie dla bezpieczeństwa konta online. Nic dziwnego, że wiele firm z branży technologicznej chce zbudować bezpieczniejszy świat bez haseł.