Przy tak wielu witrynach i aplikacjach wymagających unikalnych danych uwierzytelniających użytkownika, czyli nazwy użytkownika i hasła, może pojawić się pokusa, aby używać tych samych danych uwierzytelniających na wszystkich tych platformach.
W rzeczywistości, zgodnie z dorocznym raportem dotyczącym narażenia tożsamości z 2022 r. sporządzonym przez firmę SpyCloud, w którym przeanalizowano ponad 15 miliardów zhakowanych danych uwierzytelniających dostępnych w podziemnych witrynach przestępczych, stwierdzono, że 65 procent naruszonych haseł było używanych do co najmniej dwóch kont.
Użytkownikom, którzy ponownie używają danych uwierzytelniających na różnych platformach, może się wydawać, że jest to genialny sposób na uniknięcie zapomnienia hasła, ale w rzeczywistości jest to katastrofa, która może się wydarzyć.
W przypadku naruszenia bezpieczeństwa jednego z systemów i przechwycenia danych uwierzytelniających wszystkie inne konta korzystające z tych samych danych uwierzytelniających są zagrożone. Mając na uwadze, że zhakowane dane uwierzytelniające są tanio sprzedawane w ciemnej sieci, możesz łatwo stać się ofiarą upychania danych uwierzytelniających.
Credential stuffing to cyberatak, w którym złośliwi aktorzy wykorzystują skradzione dane logowania do konta lub systemu online, aby uzyskać dostęp do innych niepowiązanych kont lub systemów online.
Przykładem tego jest złośliwy aktor, który uzyskuje dostęp do Twojej nazwy użytkownika i hasła do Twojego konta na Twitterze i używa tych przejętych danych uwierzytelniających, aby spróbować uzyskać dostęp do konta Paypal.
W przypadku, gdy używasz tych samych danych uwierzytelniających na Twitterze i Paypal, Twoje konto PayPal zostanie przejęte z powodu naruszenia Twoich danych uwierzytelniających na Twitterze.
Jeśli używasz swoich danych logowania na Twitterze na wielu kontach internetowych, te konta internetowe również mogą zostać przejęte. Taki atak jest znany jako upychanie poświadczeń i wykorzystuje fakt, że wielu użytkowników ponownie używa poświadczeń na wielu kontach internetowych.
Złośliwi aktorzy przeprowadzający ataki polegające na upychaniu danych uwierzytelniających zazwyczaj używają botów do automatyzacji i skalowania tego procesu. Dzięki temu mogą wykorzystywać dużą liczbę zhakowanych danych uwierzytelniających i atakować wiele platform internetowych. W związku z wyciekiem skompromitowanych poświadczeń w wyniku naruszeń danych, a także sprzedażą w ciemnej sieci, ataki polegające na upychaniu danych uwierzytelniających stały się powszechne.
Spis treści:
Jak działa upychanie poświadczeń
Atak polegający na upychaniu poświadczeń rozpoczyna się od pozyskania zhakowanych poświadczeń. Te nazwy użytkownika i hasła można kupić w ciemnej sieci, uzyskać do nich dostęp z witryn zrzutów haseł lub uzyskać w wyniku naruszeń danych i ataków phishingowych.
Następny krok polega na skonfigurowaniu botów do testowania skradzionych danych uwierzytelniających na różnych stronach internetowych. Zautomatyzowane boty są podstawowym narzędziem w atakach polegających na upychaniu poświadczeń, ponieważ boty mogą potajemnie upychać dane uwierzytelniające przy użyciu dużej liczby poświadczeń w wielu witrynach z dużą szybkością.
Wyzwanie związane z blokowaniem adresu IP po kilku nieudanych próbach logowania można również uniknąć, używając botów.
Gdy przeprowadzany jest atak polegający na upychaniu poświadczeń, równolegle z atakiem polegającym na upychaniu danych uruchamiane są również zautomatyzowane procesy monitorowania udanych logowań. W ten sposób osoby atakujące łatwo uzyskują dane uwierzytelniające, które działają w określonych witrynach internetowych, i wykorzystują je do przejęcia konta na platformach.
Gdy atakujący uzyskają dostęp do konta, to, co mogą z nim zrobić, zależy od ich uznania. Atakujący mogą sprzedawać dane uwierzytelniające innym atakującym, kraść poufne informacje z konta, ujawniać tożsamość lub używać konta do robienia zakupów online w przypadku naruszenia bezpieczeństwa konta bankowego.
Dlaczego ataki polegające na upychaniu poświadczeń są skuteczne
Credential Stuffing to cyberatak o bardzo niskim wskaźniku powodzenia. W rzeczywistości, zgodnie z raportem The Economy of Credential Stuffing Attacks przygotowanym przez Insikt Group, który jest działem badań nad zagrożeniami firmy Recorded Future, średni wskaźnik powodzenia ataków polegających na upychaniu danych uwierzytelniających wynosi od jednego do trzech procent.
Chociaż wskaźniki sukcesu są niskie, firma Akamai Technologies w swoim raporcie o stanie Internetu / bezpieczeństwa z 2021 r. zauważyła, że w 2020 r. firma Akamai odnotowała 193 miliardy ataków polegających na upychaniu danych uwierzytelniających na całym świecie.
Powodem dużej liczby ataków polegających na upychaniu poświadczeń i ich coraz większej popularności jest liczba dostępnych złamanych poświadczeń oraz dostęp do zaawansowanych narzędzi botów, które sprawiają, że ataki upychania poświadczeń są bardziej skuteczne i prawie nie do odróżnienia od prób logowania się przez ludzi.
Na przykład, nawet przy niskim wskaźniku sukcesu wynoszącym zaledwie jeden procent, jeśli atakujący ma 1 milion zhakowanych danych uwierzytelniających, może przejąć około 10 000 kont. W ciemnej sieci handluje się dużymi ilościami zhakowanych danych uwierzytelniających, a tak duże ilości zhakowanych danych uwierzytelniających można ponownie wykorzystać na wielu platformach.
Te duże ilości przejętych danych uwierzytelniających powodują wzrost liczby przejętych kont. To, w połączeniu z faktem, że ludzie nadal ponownie wykorzystują swoje dane uwierzytelniające na wielu kontach internetowych, ataki polegające na upychaniu danych uwierzytelniających stają się bardzo skuteczne.
Upychanie poświadczeń vs. Ataki brutalnej siły
Chociaż upychanie poświadczeń i ataki siłowe są atakami polegającymi na przejęciu konta, a projekt Open Web Application Security Project (OWASP) uważa upychanie poświadczeń za podzbiór ataków siłowych, oba różnią się sposobem ich wykonania.
W przypadku ataku brute-force złośliwy aktor próbuje przejąć konto, odgadując nazwę użytkownika lub hasło lub jedno i drugie. Zwykle odbywa się to poprzez wypróbowanie jak największej liczby możliwych kombinacji nazwy użytkownika i hasła bez kontekstu lub pojęcia, czym one mogą być.
Brutalna siła może wykorzystywać często używane wzorce haseł lub słownik często używanych fraz, takich jak Qwerty, hasło lub 12345. Atak brutalnej siły może się powieść, jeśli użytkownik użyje słabych haseł lub domyślnych haseł systemowych.
Z drugiej strony atak polegający na upychaniu danych uwierzytelniających próbuje przejąć konto przy użyciu skompromitowanych danych uwierzytelniających uzyskanych z innych systemów lub kont internetowych. W ataku upychania poświadczeń atak nie odgaduje poświadczeń. Powodzenie ataku upychania danych uwierzytelniających zależy od ponownego wykorzystania przez użytkownika swoich danych uwierzytelniających na wielu kontach internetowych.
Zazwyczaj wskaźniki powodzenia ataków siłowych są znacznie niższe niż w przypadku upychania poświadczeń. Atakom siłowym można zapobiegać, używając silnych haseł. Jednak używanie silnych haseł nie może zapobiec upychaniu poświadczeń w przypadku, gdy silne hasło jest udostępniane na wielu kontach. Upychaniu poświadczeń zapobiega się, używając unikalnych poświadczeń na kontach internetowych.
Jak wykryć ataki polegające na upychaniu poświadczeń
Aktorzy zajmujący się upychaniem danych uwierzytelniających zazwyczaj używają botów, które naśladują agentów ludzkich, i często bardzo trudno jest odróżnić próbę logowania od prawdziwego człowieka i od bota. Jednak nadal istnieją oznaki, które mogą sygnalizować trwający atak polegający na upychaniu danych uwierzytelniających.
Na przykład nagły wzrost ruchu w sieci powinien wzbudzić podejrzenia. W takim przypadku monitoruj próby logowania do serwisu, a w przypadku wzrostu liczby prób logowania na wiele kont z wielu adresów IP lub wzrostu wskaźnika niepowodzeń logowania może to oznaczać trwający atak polegający na upychaniu danych uwierzytelniających.
Innym wskaźnikiem ataku polegającego na upychaniu danych uwierzytelniających jest narzekanie użytkownika na zablokowanie dostępu do konta lub otrzymywanie powiadomień o nieudanych próbach logowania, które nie zostały wykonane przez niego.
Ponadto monitoruj aktywność użytkowników, a jeśli zauważysz nietypową aktywność użytkownika, taką jak wprowadzanie zmian w ustawieniach, informacjach profilowych, przelewach pieniężnych i zakupach online, może to oznaczać atak polegający na upychaniu danych uwierzytelniających.
Jak chronić się przed upychaniem poświadczeń
Istnieje kilka środków, które można podjąć, aby uniknąć bycia ofiarą ataków polegających na upychaniu danych uwierzytelniających. To zawiera:
# 1. Unikaj ponownego używania tych samych danych logowania na wielu kontach
Upychanie poświadczeń jest zależne od udostępniania poświadczeń przez użytkownika na wielu kontach online. Można tego łatwo uniknąć, używając unikalnych danych uwierzytelniających na różnych kontach internetowych.
Dzięki menedżerom haseł, takim jak Menedżer haseł Google, użytkownicy mogą nadal używać unikalnych i bardzo unikalnych haseł, nie martwiąc się, że zapomną swoje dane uwierzytelniające. Firmy mogą to również egzekwować, uniemożliwiając używanie wiadomości e-mail jako nazw użytkowników. W ten sposób użytkownicy są bardziej skłonni do używania unikalnych danych uwierzytelniających na różnych platformach.
#2. Użyj uwierzytelniania wieloskładnikowego (MFA)
Uwierzytelnianie wieloskładnikowe to wykorzystanie wielu metod do uwierzytelnienia tożsamości użytkownika próbującego się zalogować. Można to zrealizować, łącząc tradycyjne metody uwierzytelniania nazwy użytkownika i hasła wraz z tajnym kodem bezpieczeństwa udostępnianym użytkownikom za pośrednictwem poczty elektronicznej lub wiadomości tekstowej w celu dalszego potwierdzenia ich tożsamości. Jest to bardzo skuteczne w zapobieganiu upychaniu poświadczeń, ponieważ dodaje dodatkową warstwę bezpieczeństwa.
Może nawet powiadomić Cię, gdy ktoś spróbuje włamać się na Twoje konto, ponieważ otrzymasz kod bezpieczeństwa bez proszenia o niego. Usługa MFA jest tak skuteczna, że badanie przeprowadzone przez firmę Microsoft wykazało, że konta internetowe są o 99,9% mniej narażone na ataki, jeśli korzystają z usługi MFA.
#3. Odcisk palca urządzenia
Odcisk palca urządzenia może służyć do powiązania dostępu do konta online z określonym urządzeniem. Odcisk palca urządzenia identyfikuje urządzenie używane do uzyskiwania dostępu do konta na podstawie informacji, takich jak między innymi model i numer urządzenia, używany system operacyjny, język i kraj.
Tworzy to unikalny odcisk palca urządzenia, który jest następnie powiązany z kontem użytkownika. Dostęp do konta za pomocą innego urządzenia jest niedozwolony bez zezwolenia urządzenia powiązanego z kontem.
#4. Monitoruj wycieki haseł
Kiedy użytkownicy próbują tworzyć nazwy użytkowników i hasła do platformy internetowej, zamiast tylko sprawdzać siłę haseł, dane uwierzytelniające można sprawdzić w odniesieniu do opublikowanych haseł, które wyciekły. Pomaga to zapobiegać używaniu poświadczeń, które mogą zostać później wykorzystane.
Organizacje mogą wdrażać rozwiązania, które monitorują dane uwierzytelniające użytkowników pod kątem danych uwierzytelniających, które wyciekły w ciemnej sieci i powiadamiają użytkowników, gdy zostanie znalezione dopasowanie. Użytkownicy mogą następnie zostać poproszeni o zweryfikowanie swojej tożsamości za pomocą różnych metod, zmianę danych uwierzytelniających, a także wdrożenie usługi MFA w celu dalszej ochrony konta
#5. Haszowanie poświadczeń
Obejmuje to szyfrowanie poświadczeń użytkownika, zanim zostaną one zapisane w bazie danych. Pomaga to chronić przed niewłaściwym użyciem danych uwierzytelniających w przypadku naruszenia danych w systemach, ponieważ dane uwierzytelniające będą przechowywane w formacie, którego nie można użyć.
Chociaż nie jest to niezawodna metoda, może dać użytkownikom czas na zmianę hasła w przypadku naruszenia bezpieczeństwa danych.
Przykłady ataków polegających na upychaniu poświadczeń
Niektóre godne uwagi przykłady ataków polegających na upychaniu danych uwierzytelniających obejmują:
- Kradzież ponad 500 000 danych uwierzytelniających Zoom w 2020 r. Ten atak polegający na upychaniu danych uwierzytelniających został przeprowadzony przy użyciu nazw użytkowników i haseł uzyskanych z różnych ciemnych forów internetowych, z danymi uwierzytelniającymi uzyskanymi podczas ataków już w 2013 r. Skradzione dane uwierzytelniające Zoom zostały udostępnione w ciemności sieci i tanio sprzedawali chętnym nabywcom
- Włamanie do tysięcy kont użytkowników Canada Revenue Agency (CRA). W 2020 r. około 5500 kont agencji ratingowych zostało przejętych w wyniku dwóch oddzielnych ataków na dane uwierzytelniające, w wyniku których użytkownicy nie mogli uzyskać dostępu do usług oferowanych przez agencję ratingową.
- Włamanie 194 095 kont użytkowników The North Face. The North Face to firma sprzedająca odzież sportową, która w lipcu 2022 roku padła ofiarą ataku polegającego na upychaniu danych uwierzytelniających. Atak doprowadził do wycieku pełnego imienia i nazwiska użytkownika, numeru telefonu, płci, punktów lojalnościowych, adresu rozliczeniowego i wysyłkowego, daty utworzenia konta, i historii zakupów.
- Atak polegający na upychaniu danych uwierzytelniających Reddit w 2019 r. Kilku użytkowników Reddit zostało zablokowanych na swoich kontach po tym, jak ich dane uwierzytelniające zostały naruszone w wyniku ataków polegających na upychaniu danych uwierzytelniających.
Ataki te podkreślają znaczenie potrzeby ochrony przed podobnymi atakami.
Wniosek
Być może natknąłeś się na sprzedawców danych uwierzytelniających do serwisów streamingowych, takich jak Netflix, Hulu i disney+ lub usług online, takich jak między innymi Grammarly, Zoom i Turnitin. Jak myślisz, skąd sprzedawcy biorą dane uwierzytelniające?
Cóż, takie dane uwierzytelniające są prawdopodobnie uzyskiwane w wyniku ataków polegających na upychaniu danych uwierzytelniających. Jeśli używasz tych samych danych uwierzytelniających na wielu kontach online, nadszedł czas, aby je zmienić, zanim staniesz się ofiarą.
Aby dodatkowo się zabezpieczyć, zaimplementuj uwierzytelnianie wieloskładnikowe na wszystkich swoich kontach internetowych i unikaj kupowania naruszonych danych uwierzytelniających, ponieważ stwarza to sprzyjające środowisko dla ataków polegających na upychaniu danych uwierzytelniających.