Zagrożenia wynikające z ponownego wykorzystywania haseł
W dzisiejszym cyfrowym świecie, gdzie mnóstwo stron internetowych i aplikacji wymaga od nas posiadania unikatowych danych logowania – nazw użytkownika i haseł – może pojawić się pokusa, aby dla wygody stosować te same dane we wszystkich serwisach. Takie podejście, choć pozornie ułatwia życie, stwarza poważne zagrożenia dla naszego bezpieczeństwa w sieci.
Badania przeprowadzone przez firmę SpyCloud, zawarte w ich corocznym raporcie dotyczącym wycieków tożsamości z 2022 roku, ujawniły niepokojący trend. Analiza ponad 15 miliardów skradzionych danych uwierzytelniających, dostępnych w podziemnych serwisach przestępczych, wykazała, że aż 65% zhakowanych haseł było wykorzystywanych w co najmniej dwóch różnych miejscach.
Użytkownicy, którzy powielają swoje dane logowania na różnych platformach, mogą uważać to za sprytny sposób na uniknięcie problemów z zapamiętywaniem haseł, ale w rzeczywistości jest to prosta droga do poważnych kłopotów. Takie zachowanie drastycznie zwiększa ryzyko padnięcia ofiarą cyberprzestępców.
W sytuacji, gdy dojdzie do naruszenia bezpieczeństwa jednego z systemów, w którym korzystamy z powielonych haseł i nasze dane zostaną przechwycone, automatycznie stwarzamy zagrożenie dla wszystkich pozostałych kont, na których używamy tych samych danych logowania. Ze względu na łatwą dostępność i niski koszt zakupu zhakowanych danych w darknecie, stajemy się potencjalnym celem ataków typu credential stuffing.
Czym właściwie jest credential stuffing? To nic innego jak cyberatak, w którym przestępcy wykorzystują skradzione dane logowania do konta lub systemu internetowego, aby uzyskać nieautoryzowany dostęp do innych kont lub systemów. Mówiąc prościej, jeśli złośliwy aktor pozyska Twoją nazwę użytkownika i hasło do Twittera, może spróbować użyć tych samych danych, aby uzyskać dostęp do Twojego konta PayPal.
Jeśli, niefortunnie, używasz tych samych danych logowania do obu serwisów, konto na PayPal może zostać przejęte w wyniku naruszenia bezpieczeństwa konta Twitter. W przypadku gdy te same dane wykorzystujesz na wielu innych stronach, konsekwencje mogą być jeszcze bardziej dotkliwe. Tak właśnie działa upychanie poświadczeń, wykorzystujące nawyk wielu użytkowników do powielania danych logowania.
Przestępcy, którzy przeprowadzają ataki typu credential stuffing, często korzystają z botów, które automatyzują i skalują ten proces. Dzięki temu mogą na masową skalę wykorzystywać skradzione dane logowania, atakując wiele platform internetowych jednocześnie. Rozpowszechnianie skompromitowanych danych w wyniku wycieków i ich sprzedaż w darknecie sprawiły, że ataki tego typu stały się bardzo powszechne.
Jak działa upychanie poświadczeń?
Proces ataku credential stuffing rozpoczyna się od pozyskania skradzionych danych logowania, które można kupić w darknecie, zdobyć z serwisów, które ujawniają hasła, lub pozyskać w wyniku wycieków danych i ataków phishingowych.
Kolejnym krokiem jest konfiguracja botów do testowania skradzionych danych na różnych stronach internetowych. Zautomatyzowane boty stanowią kluczowy element ataków credential stuffing, umożliwiając przetestowanie ogromnej liczby danych logowania na wielu stronach z bardzo dużą prędkością i w sposób niezauważony.
Boty potrafią również omijać zabezpieczenia związane z blokowaniem adresu IP po kilku nieudanych próbach logowania, co czyni ten typ ataku jeszcze bardziej niebezpiecznym.
Podczas ataku credential stuffing, równolegle z testowaniem danych logowania, uruchamiane są zautomatyzowane procesy monitorujące udane logowania. Dzięki temu, przestępcy łatwo identyfikują dane, które działają w określonych serwisach i wykorzystują je do przejęcia kont.
Po uzyskaniu nieautoryzowanego dostępu do konta, atakujący mogą robić z nim, co im się podoba. Mogą sprzedawać dane innym przestępcom, kraść poufne informacje z konta, doprowadzać do wycieku tożsamości, lub używać konta do robienia zakupów, w przypadku dostępu do konta bankowego.
Dlaczego ataki typu credential stuffing są skuteczne?
Ataki typu credential stuffing charakteryzują się stosunkowo niskim wskaźnikiem powodzenia. Raport „The Economy of Credential Stuffing Attacks” przygotowany przez Insikt Group, dział zajmujący się analizą zagrożeń w firmie Recorded Future, wskazuje, że średni wskaźnik sukcesu wynosi od 1 do 3 procent.
Chociaż wskaźnik ten może wydawać się niski, firma Akamai Technologies w swoim raporcie „State of the Internet / Security” z 2021 roku zauważyła, że w roku 2020 odnotowała aż 193 miliardy ataków credential stuffing na całym świecie.
Przyczyną tak dużej liczby ataków i ich rosnącej popularności jest ogromna liczba skradzionych danych logowania oraz dostępność zaawansowanych narzędzi botów. Dzięki nim, ataki credential stuffing są bardziej skuteczne i coraz trudniejsze do odróżnienia od standardowych prób logowania dokonywanych przez ludzi.
Przykładowo, nawet przy niskim wskaźniku powodzenia wynoszącym zaledwie jeden procent, przestępca posiadający milion skradzionych danych, może przejąć około 10 000 kont. Duże ilości danych logowania są dostępne na sprzedaż w darknecie i mogą być wielokrotnie wykorzystywane na różnych platformach.
Połączenie dużej dostępności skradzionych danych, z faktem, że wiele osób nadal powiela swoje dane logowania, powoduje, że ataki credential stuffing są bardzo skuteczne i niebezpieczne.
Upychanie poświadczeń a ataki brute-force
Chociaż zarówno ataki credential stuffing, jak i brute-force służą do przejęcia konta, różnią się sposobem działania. Projekt Open Web Application Security Project (OWASP) klasyfikuje credential stuffing jako podzbiór ataków brute-force, ale warto zaznaczyć, że ich mechanizmy są różne.
Podczas ataku brute-force, przestępca próbuje odgadnąć nazwę użytkownika lub hasło metodą prób i błędów, testując jak najwięcej kombinacji. Często wykorzystuje przy tym wzorce haseł, czy słowniki często używanych zwrotów, jak „qwerty” czy „12345”. Atak tego typu może się powieść, jeśli użytkownik używa słabych lub domyślnych haseł systemowych.
Z kolei atak credential stuffing wykorzystuje skradzione dane logowania, uzyskane z innych systemów lub serwisów internetowych. Atakujący nie odgaduje danych logowania, lecz wykorzystuje te, które zostały wcześniej skradzione. Powodzenie tego typu ataku zależy od tego, czy użytkownik używa tych samych haseł w wielu miejscach.
Wskaźniki powodzenia ataków brute-force są zazwyczaj znacznie niższe niż w przypadku upychania poświadczeń. Chociaż przed atakami brute-force można się chronić używając silnych haseł, nie chroni to przed atakami credential stuffing, jeżeli silne hasło jest powielane na wielu kontach. Jedynym sposobem na zabezpieczenie się przed upychaniem poświadczeń, jest używanie unikalnych haseł do każdego konta internetowego.
Jak wykryć ataki credential stuffing?
Cyberprzestępcy, którzy przeprowadzają ataki credential stuffing, zazwyczaj używają botów naśladujących zachowanie użytkowników, przez co trudno jest odróżnić próbę logowania dokonywaną przez bota od tej, dokonywanej przez człowieka. Mimo to, istnieją pewne sygnały, które mogą sugerować, że jesteśmy celem ataku credential stuffing.
Na przykład, nagły wzrost ruchu w sieci powinien wzbudzić naszą czujność. W takim przypadku warto monitorować próby logowania do serwisu. Zwiększona liczba prób logowania z wielu adresów IP lub wyższy wskaźnik nieudanych prób logowania może oznaczać trwający atak.
Innym wskaźnikiem ataku credential stuffing są skargi użytkowników na zablokowany dostęp do konta lub powiadomienia o nieudanych próbach logowania, których nie podejmowali. Dodatkowo warto monitorować aktywność użytkowników i zwracać uwagę na niecodzienne zachowania, takie jak zmiany w ustawieniach, informacje profilowe, nieautoryzowane przelewy czy zakupy.
Jak chronić się przed atakami credential stuffing?
Istnieje kilka skutecznych metod, które możemy zastosować, aby zmniejszyć ryzyko padnięcia ofiarą ataków credential stuffing. Oto niektóre z nich:
#1. Unikaj powielania danych logowania
U podstaw ataków credential stuffing leży powielanie tych samych danych logowania na różnych kontach internetowych. Najprostszym sposobem, aby się przed tym chronić, jest używanie unikatowych danych logowania w każdym serwisie. Dzięki menedżerom haseł, takim jak Menedżer haseł Google, możemy używać skomplikowanych haseł i nie martwić się o ich zapamiętanie. Firmy mogą również uniemożliwić używanie adresów e-mail jako nazw użytkownika, aby zachęcić użytkowników do tworzenia unikalnych danych logowania.
#2. Używaj uwierzytelniania wieloskładnikowego (MFA)
Uwierzytelnianie wieloskładnikowe (MFA) to metoda weryfikacji tożsamości użytkownika, która wykorzystuje więcej niż jedną metodę uwierzytelniania. Najczęściej polega ona na połączeniu tradycyjnej metody – nazwy użytkownika i hasła – z tajnym kodem bezpieczeństwa, przesyłanym użytkownikowi e-mailem lub SMS-em. MFA dodaje dodatkową warstwę bezpieczeństwa i jest bardzo skuteczną metodą zapobiegania atakom credential stuffing. MFA może również powiadomić Cię, gdy ktoś próbuje włamać się na Twoje konto, poprzez przesłanie kodu bezpieczeństwa, którego nie zamawiałeś. Badanie przeprowadzone przez Microsoft wykazało, że konta internetowe korzystające z MFA są o 99,9% mniej narażone na ataki.
#3. Odcisk palca urządzenia
Odcisk palca urządzenia, to sposób na powiązanie dostępu do konta internetowego z konkretnym urządzeniem. Identyfikacja urządzenia opiera się o takie informacje jak model i numer, używany system operacyjny, język i kraj. Na podstawie tych danych tworzony jest unikatowy „odcisk palca” urządzenia, który jest powiązany z kontem użytkownika. Dostęp do konta z innego urządzenia jest niemożliwy bez zezwolenia powiązanego urządzenia.
#4. Monitoruj wycieki haseł
Podczas tworzenia nazw użytkownika i haseł w serwisach internetowych, warto sprawdzić nie tylko ich siłę, ale również to, czy nie wyciekły one już wcześniej. Organizacje mogą monitorować dane uwierzytelniające użytkowników w darknecie i powiadamiać ich w przypadku znalezienia dopasowania. Użytkownicy powinni wtedy zweryfikować swoją tożsamość, zmienić hasło oraz wdrożyć MFA.
#5. Haszowanie danych uwierzytelniających
Polega na szyfrowaniu danych logowania użytkownika przed ich zapisaniem w bazie danych. W przypadku wycieku danych, pomaga to ochronić dane logowania, ponieważ będą one zapisane w formie nieczytelnej i niemożliwej do wykorzystania. Chociaż ta metoda nie jest niezawodna, daje użytkownikom czas na zmianę hasła w przypadku naruszenia bezpieczeństwa.
Przykłady ataków typu credential stuffing
Kilka przykładów udanych ataków typu credential stuffing:
- Kradzież ponad 500 000 danych logowania do serwisu Zoom w roku 2020. W tym ataku wykorzystano skradzione nazwy użytkowników i hasła z darknetowych forów, pozyskane w atakach już od 2013 roku. Dane te były tanio sprzedawane w darknecie.
- Włamanie na tysiące kont użytkowników Canada Revenue Agency (CRA). W 2020 roku około 5500 kont zostało przejętych w wyniku dwóch oddzielnych ataków, uniemożliwiając użytkownikom dostęp do usług agencji.
- Włamanie na 194 095 kont użytkowników The North Face. Firma, sprzedająca odzież sportową, padła ofiarą ataku w lipcu 2022 roku. W wyniku ataku wyciekły dane osobowe, numery telefonów, adresy, historia zakupów i punkty lojalnościowe klientów.
- Atak credential stuffing na serwis Reddit w 2019 roku. Wielu użytkowników zostało zablokowanych na swoich kontach, w wyniku naruszenia ich danych logowania.
Te przykłady doskonale pokazują, jak ważne jest zabezpieczanie się przed tego typu atakami.
Podsumowanie
Zapewne spotkałeś się ze sprzedawcami oferującymi konta na serwisach streamingowych, jak Netflix, Hulu czy Disney+, lub usług internetowych, takich jak Grammarly, Zoom, czy Turnitin. Zastanawiałeś się skąd sprzedawcy biorą te dane? Najprawdopodobniej pochodzą one z ataków credential stuffing. Jeżeli używasz tych samych haseł na wielu kontach, najwyższy czas, aby to zmienić, zanim staniesz się ofiarą przestępców.
Aby dodatkowo się zabezpieczyć, włącz uwierzytelnianie wieloskładnikowe na wszystkich swoich kontach i unikaj kupowania zhakowanych danych logowania, ponieważ tworzy to korzystne warunki dla ataków credential stuffing.
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.