Cu atât de multe site-uri web și aplicații care necesită acreditări unice de utilizator, adică un nume de utilizator și o parolă, ar putea fi tentant să folosești aceleași acreditări pe toate aceste platforme.
De fapt, conform Raportului anual de expunere a identității din 2022 al SpyCloud, care a analizat peste 15 miliarde de acreditări compromise disponibile pe site-uri subterane criminale, s-a constatat că 65% dintre parolele încălcate au fost folosite pentru cel puțin două conturi.
Pentru utilizatorii care refolosesc acreditările pe diferite platforme, ar putea părea o modalitate ingenioasă de a evita uitarea parolelor, dar, în realitate, este un dezastru care așteaptă să se întâmple.
În cazul în care unul dintre sisteme este compromis și acreditările dvs. sunt capturate, toate celelalte conturi care utilizează aceleași acreditări sunt expuse riscului de compromis. Ținând cont de faptul că acreditările compromise sunt vândute ieftin pe dark web, s-ar putea să deveniți cu ușurință o victimă a umplerii de acreditări.
Umplutura de acreditări este un atac cibernetic în care actori rău intenționați folosesc acreditări furate pentru un cont sau sistem online pentru a încerca să acceseze alte conturi sau sisteme online care nu au legătură.
Un exemplu în acest sens este un actor rău intenționat care obține acces la numele dvs. de utilizator și parola pentru contul dvs. Twitter și utilizează acele acreditări compromise pentru a încerca să acceseze un cont Paypal.
În cazul în care utilizați aceleași acreditări pe Twitter și Paypal, contul dvs. Paypal va fi preluat din cauza unei încălcări a acreditărilor dvs. Twitter.
În cazul în care vă folosiți acreditările Twitter pe mai multe conturi online, acele conturi online ar putea fi, de asemenea, compromise. Un astfel de atac este cunoscut sub numele de umplutură de acreditări și exploatează faptul că mulți utilizatori reutiliza acreditările pe mai multe conturi online.
Actorii rău intenționați care efectuează atacuri de umplere a acreditărilor folosesc de obicei roboți pentru a automatiza și scala procesul. Acest lucru le permite să utilizeze un număr mare de acreditări compromise și să vizeze mai multe platforme online. Având în vedere că acreditările compromise sunt scurse din încălcări ale datelor și sunt vândute și pe dark web, atacurile de umplutură de acreditări au devenit predominante.
Cuprins
Cum funcționează Credential Stuffing
Un atac de umplere de acreditări începe cu achiziționarea de acreditări compromise. Aceste nume de utilizator și parole pot fi cumpărate de pe dark web, accesate de pe site-uri de descărcare a parolelor sau pot fi obținute din încălcări ale datelor și atacuri de phishing.
Următorul pas implică configurarea unor roboți pentru a testa acreditările furate pe diferite site-uri web. Boții automati sunt instrumentul de bază în atacurile de completare a acreditărilor, deoarece roboții pot efectua în mod ascuns umplurea acreditărilor folosind un număr mare de acreditări împotriva multor site-uri la viteze mari.
Provocarea blocării unei adrese IP după mai multe încercări de conectare eșuate este, de asemenea, evitată prin utilizarea boților.
Când se lansează un atac de completare a acreditărilor, procesele automate pentru monitorizarea autentificărilor reușite sunt, de asemenea, lansate în paralel cu atacul de completare a acreditărilor. Astfel, atacatorii obțin cu ușurință acreditări care funcționează pe anumite site-uri online și le folosesc pentru a prelua un cont pe platforme.
Odată ce atacatorii au avut acces la un cont, ceea ce pot face cu acesta este la latitudinea lor. Atacatorii pot vinde acreditările altor atacatori, pot fura informații sensibile din cont, pot confirma identitatea sau pot folosi contul pentru a face achiziții online în cazul în care un cont bancar este compromis.
De ce sunt eficiente atacurile de umplutură de acreditări
Credential Stuffing este un atac cibernetic cu rate de succes foarte scăzute. De fapt, conform raportului The Economy of Credential Stuffing Attacks by Insikt Group, care este divizia de cercetare a amenințărilor a Recorded Future, rata medie de succes a atacurilor de credential stuffing este între unu până la trei procente.
Oricât de scăzute sunt ratele de succes, Akamai Technologies, în raportul privind starea internetului/securității din 2021, a remarcat că în 2020, Akamai a înregistrat 193 de miliarde de atacuri la nivel global.
Motivul numărului mare de atacuri de completare a acreditărilor și motivul pentru care acestea devin din ce în ce mai răspândite este din cauza numărului de acreditări compromise disponibile și a accesului la instrumente avansate de bot care fac atacurile de completare a acreditărilor mai eficiente și aproape imposibil de distins de încercările de conectare umană.
De exemplu, chiar și la o rată scăzută de succes de doar 1%, dacă un atacator are 1 milion de acreditări compromise, poate compromite aproximativ 10.000 de conturi. Volume mari de acreditări compromise sunt tranzacționate pe dark web, iar astfel de volume mari de acreditări compromise pot fi reutilizate pe mai multe platforme.
Aceste volume mari de acreditări compromise duc la o creștere a numărului de conturi compromise. Acest lucru, împreună cu faptul că oamenii continuă să-și refolosească acreditările pe mai multe conturi online, atacurile de umplere a acreditărilor devin foarte eficiente.
Umplutura de acreditări vs. Atacurile de forță brută
Deși umplutura de acreditări și atacurile cu forță brută sunt ambele atacuri de preluare a contului, iar Proiectul de securitate a aplicațiilor web deschise (OWASP) consideră că umplutura de acreditări este un subset de atacuri cu forță brută, cele două diferă în modul în care sunt executate.
Într-un atac cu forță brută, un actor rău intenționat încearcă să preia un cont ghicind numele de utilizator sau parola sau ambele. Acest lucru se face, de obicei, încercând cât mai multe combinații posibile de nume de utilizator și parolă, fără context sau indicii despre ce ar putea fi acestea.
O forță brută poate folosi modele de parole utilizate în mod obișnuit sau un dicționar de expresii de parolă utilizate în mod obișnuit, cum ar fi Qwerty, parolă sau 12345. Un atac cu forță brută poate avea succes dacă utilizatorul folosește parole slabe sau parole implicite de sistem.
Un atac de umplere a acreditărilor, pe de altă parte, încearcă să preia un cont utilizând acreditări compromise obținute de la alte sisteme sau conturi online. Într-un atac de umplere a acreditărilor, atacul nu ghicește acreditările. Succesul unui atac de umplere a acreditărilor se bazează pe faptul că un utilizator își reutiliza acreditările pe mai multe conturi online.
În mod obișnuit, ratele de succes ale atacurilor cu forță brută sunt mult mai mici decât umplerea acreditărilor. Atacurile cu forță brută pot fi prevenite folosind parole puternice. Cu toate acestea, utilizarea parolelor puternice nu poate împiedica încărcarea acreditărilor în cazul în care parola puternică este partajată în mai multe conturi. Umplerea acreditărilor este împiedicată prin utilizarea acreditărilor unice pe conturile online.
Cum să detectați atacurile de umplutură de acreditări
Actorii amenințărilor de umplere a acreditărilor folosesc de obicei roboți care imită agenți umani și este adesea foarte dificil să deosebești o încercare de conectare de un om real și una de un bot. Cu toate acestea, există încă semne care pot semnala un atac în curs de umplere a acreditărilor.
De exemplu, o creștere bruscă a traficului web ar trebui să ridice suspiciuni. Într-un astfel de caz, monitorizați încercările de conectare pe site și, în cazul în care există o creștere a încercărilor de conectare pe mai multe conturi de la mai multe adrese IP sau o creștere a ratei de eșec de conectare, acest lucru ar putea indica un atac de umplere a acreditărilor în curs.
Un alt indicator al unui atac de umplere a acreditărilor este utilizatorul care se plânge că a fost blocat din conturile lor sau că primește notificări cu privire la încercările eșuate de autentificare care nu au fost făcute de ei.
În plus, monitorizați activitatea utilizatorului și, în cazul în care observați activitate neobișnuită a utilizatorului, cum ar fi modificarea setărilor, informațiile de profil, transferurile de bani și achizițiile online, acest lucru ar putea semnala un atac de umplere a acreditărilor.
Cum să vă protejați împotriva umplerii de acreditări
Există mai multe măsuri care pot fi luate pentru a evita să fii victimă a atacurilor de umplere a acreditărilor. Aceasta include:
#1. Evitați reutilizarea acelorași acreditări în mai multe conturi
Umplerea acreditărilor depinde de partajarea de către un utilizator a acreditărilor în mai multe conturi online. Acest lucru poate fi evitat cu ușurință prin utilizarea acreditărilor unice pe diferite conturi online.
Cu managerii de parole, cum ar fi Google Password Manager, utilizatorii pot folosi în continuare parole unice și foarte precise, fără să-și facă griji că își uită datele de conectare. De asemenea, companiile pot impune acest lucru prin prevenirea utilizării e-mailurilor ca nume de utilizator. În acest fel, este mai probabil ca utilizatorii să folosească acreditări unice pe diferite platforme.
#2. Utilizați autentificarea multifactor (MFA)
Autentificarea multifactor este utilizarea mai multor metode pentru a autentifica identitatea unui utilizator care încearcă să se autentifice. Aceasta poate fi implementată prin combinarea metodelor tradiționale de autentificare a unui nume de utilizator și a unei parole, împreună cu un cod secret de securitate partajat utilizatorilor prin e-mail sau mesaj text pentru a le confirma în continuare identitatea. Acest lucru este foarte eficient în prevenirea umplerii acreditărilor, deoarece adaugă un nivel suplimentar de securitate.
Vă poate anunța chiar și când cineva încearcă să vă compromită contul, deoarece veți primi un cod de securitate fără a solicita unul. MFA este atât de eficient încât un studiu Microsoft a stabilit că conturile online sunt cu 99,9% mai puțin probabil să fie compromise dacă folosesc MFA.
#3. Amprentarea dispozitivului
Amprentarea dispozitivului poate fi utilizată pentru a asocia accesul la un cont online cu un anumit dispozitiv. Amprentarea dispozitivului identifică dispozitivul utilizat pentru a accesa un cont folosind informații precum modelul și numărul dispozitivului, sistemul de operare utilizat, limba și țara, printre altele.
Acest lucru creează o amprentă unică a dispozitivului, care este apoi asociată cu un cont de utilizator. Accesul la cont folosind un alt dispozitiv nu este permis fără permisiunea acordată de dispozitivul asociat contului.
#4. Monitorizați parolele scurse
Atunci când utilizatorii încearcă să creeze nume de utilizator și parole pentru o platformă online, mai degrabă decât să verifice pur și simplu puterea parolelor, acreditările pot fi verificate împotriva parolelor publicate scurse. Acest lucru ajută la prevenirea utilizării acreditărilor care pot fi exploatate ulterior.
Organizațiile pot implementa soluții care monitorizează acreditările utilizatorilor în raport cu acreditările scurse de pe dark web și pot notifica utilizatorii ori de câte ori se găsește o potrivire. Utilizatorilor li se poate cere apoi să își verifice identitatea printr-o varietate de metode, să schimbe acreditările și, de asemenea, să implementeze MFA pentru a-și proteja și mai mult contul.
#5. Hashing acreditiv
Aceasta implică amestecarea acreditărilor utilizatorului înainte ca acestea să fie stocate într-o bază de date. Acest lucru ajută la protejarea împotriva utilizării greșite a acreditărilor în cazul unei încălcări a datelor a sistemelor, deoarece acreditările vor fi stocate într-un format care nu poate fi utilizat.
Deși aceasta nu este o metodă sigură, poate oferi utilizatorilor timp să-și schimbe parolele în cazul unei încălcări a datelor.
Exemple de atacuri de umplere a acreditărilor
Câteva exemple notabile de atacuri de umplere a acreditărilor includ:
- Furtul a peste 500.000 de acreditări Zoom în 2020. Acest atac de umplere a acreditărilor a fost executat folosind nume de utilizator și parole obținute de pe diferite forumuri de pe dark web, cu acreditări obținute din atacuri care datează încă din 2013. Acreditările de zoom furate au fost puse la dispoziție pe întuneric web și vândut ieftin către cumpărători dornici
- Compromis cu mii de conturi de utilizator Canada Revenue Agency (CRA). În 2020, aproximativ 5500 de conturi CRA au fost compromise în două atacuri separate de acreditări, ceea ce a dus la imposibilitatea utilizatorilor de a accesa serviciile oferite de CRA.
- Compromis de 194.095 de conturi de utilizator The North Face. The North Face este o companie care vinde îmbrăcăminte sport și a suferit un atac de umplere a acreditărilor în iulie 2022. Atacul a dus la scurgerea numelui complet al utilizatorului, numărul de telefon, sexul, punctele de fidelitate, adresa de facturare și livrare, data creării contului, și istoricul achizițiilor.
- Atacul de umplere a acreditărilor Reddit în 2019. Mai mulți utilizatori Reddit au fost blocați din conturile lor după ce acreditările lor au fost compromise prin atacuri de umplere a acreditărilor.
Aceste atacuri evidențiază importanța necesității de a te proteja împotriva unor atacuri similare.
Concluzie
Este posibil să fi întâlnit vânzători de acreditări pentru site-uri de streaming precum Netflix, Hulu și disney+ sau servicii online precum Grammarly, Zoom și Turnitin, printre altele. De unde credeți că obțin acreditările vânzătorii?
Ei bine, astfel de acreditări sunt probabil obținute prin atacuri de umplere a acreditărilor. Dacă utilizați aceleași acreditări în mai multe conturi online, este timpul să le schimbați înainte de a deveni victimă.
Pentru a vă proteja și mai mult, implementați autentificarea multifactorială în toate conturile dvs. online și evitați să cumpărați acreditări compromise, deoarece acest lucru creează un mediu favorabil pentru atacurile de umplere a acreditărilor.