С таким количеством веб-сайтов и приложений, требующих уникальных учетных данных пользователя, то есть имени пользователя и пароля, может возникнуть соблазн использовать одни и те же учетные данные на всех этих платформах.
Фактически, согласно ежегодному отчету SpyCloud о раскрытии личных данных за 2022 год, в котором проанализировано более 15 миллиардов скомпрометированных учетных данных, доступных на криминальных подпольных сайтах, было обнаружено, что 65 процентов взломанных паролей использовались как минимум для двух учетных записей.
Пользователям, повторно использующим учетные данные на разных платформах, это может показаться гениальным способом избежать забывания паролей, но на самом деле это ожидающая катастрофа.
В случае взлома одной из систем и захвата ваших учетных данных все другие учетные записи, использующие те же учетные данные, подвергаются риску компрометации. Принимая во внимание, что скомпрометированные учетные данные дешево продаются в темной сети, вы можете легко стать жертвой вброса учетных данных.
Вброс учетных данных — это кибератака, при которой злоумышленники используют украденные учетные данные для учетной записи или системы в Интернете, чтобы попытаться получить доступ к другим не связанным учетным записям или системам в Интернете.
Примером этого является то, что злоумышленник получает доступ к вашему имени пользователя и паролю для вашей учетной записи Twitter и использует эти скомпрометированные учетные данные, чтобы попытаться получить доступ к учетной записи Paypal.
Если вы используете одни и те же учетные данные в Twitter и Paypal, ваша учетная запись Paypal будет захвачена из-за нарушения ваших учетных данных Twitter.
Если вы используете свои учетные данные Twitter для нескольких сетевых учетных записей, эти сетевые учетные записи также могут быть скомпрометированы. Такая атака известна как вставка учетных данных и использует тот факт, что многие пользователи повторно используют учетные данные в нескольких учетных записях в Интернете.
Злоумышленники, проводящие атаки с подменой учетных данных, обычно используют ботов для автоматизации и масштабирования процесса. Это позволяет им использовать большое количество скомпрометированных учетных данных и нацеливаться на несколько онлайн-платформ. В связи с утечкой скомпрометированных учетных данных в результате утечек данных, а также их продажей в темной сети, атаки с заполнением учетных данных стали распространенными.
Оглавление
Как работает заполнение учетных данных
Атака с использованием учетных данных начинается с получения скомпрометированных учетных данных. Эти имена пользователей и пароли можно купить в даркнете, получить к ним доступ с сайтов дампов паролей или получить в результате утечки данных и фишинговых атак.
Следующий шаг включает в себя настройку ботов для проверки украденных учетных данных на разных веб-сайтах. Автоматизированные боты — это инструмент для атак с заполнением учетных данных, поскольку боты могут скрытно выполнять подстановку учетных данных, используя большое количество учетных данных для многих сайтов на высоких скоростях.
Проблема блокировки IP-адреса после нескольких неудачных попыток входа также решается с помощью ботов.
Когда запускается атака с заполнением учетных данных, автоматические процессы для отслеживания успешных входов в систему также запускаются параллельно с атакой с заполнением учетных данных. Таким образом, злоумышленники легко получают учетные данные, которые работают на определенных онлайн-сайтах, и используют их для захвата учетной записи на платформах.
После того, как злоумышленники получили доступ к учетной записи, то, что они могут с ней делать, остается на их усмотрение. Злоумышленники могут продать учетные данные другим злоумышленникам, украсть конфиденциальную информацию из учетной записи, подтвердить личность или использовать учетную запись для совершения покупок в Интернете в случае взлома банковского счета.
Почему атаки с заполнением учетных данных эффективны
Credential Stuffing — это кибератака с очень низким уровнем успеха. На самом деле, согласно отчету The Economy of Credential Stuffing Attacks от Insikt Group, которая является исследовательским подразделением Recorded Future, средний показатель успешности атак с подстановкой учетных данных составляет от одного до трех процентов.
Несмотря на низкие показатели успеха, Akamai Technologies в своем отчете о состоянии Интернета и безопасности за 2021 год отметила, что в 2020 году Akamai зафиксировала 193 миллиарда атак с подменой учетных данных по всему миру.
Причина большого количества атак с заполнением учетных данных и того, почему они становятся все более распространенными, заключается в количестве доступных скомпрометированных учетных данных и доступе к передовым бот-инструментам, которые делают атаки с заполнением учетных данных более эффективными и почти неотличимыми от попыток входа человека.
Например, даже при низком коэффициенте успеха всего в один процент, если у злоумышленника есть 1 миллион скомпрометированных учетных данных, он может скомпрометировать около 10 000 учетных записей. Большие объемы скомпрометированных учетных данных продаются в даркнете, и такие большие объемы скомпрометированных учетных данных можно повторно использовать на нескольких платформах.
Эти большие объемы скомпрометированных учетных данных приводят к увеличению количества скомпрометированных учетных записей. Это, в сочетании с тем фактом, что люди продолжают повторно использовать свои учетные данные в нескольких учетных записях в Интернете, атаки с подстановкой учетных данных становятся очень эффективными.
Заполнение учетных данных против. Атаки грубой силы
Хотя вставка учетных данных и атака методом грубой силы являются атаками с захватом учетной записи, а проект Open Web Application Security Project (OWASP) рассматривает вставку учетных данных как подмножество атак методом грубой силы, они различаются по способу выполнения.
При атаке методом грубой силы злоумышленник пытается завладеть учетной записью, угадывая имя пользователя или пароль, или и то, и другое. Обычно это делается путем перебора как можно большего количества комбинаций имени пользователя и пароля без контекста или подсказок о том, что это может быть.
При грубой силе могут использоваться часто используемые шаблоны паролей или словарь часто используемых парольных фраз, таких как Qwerty, пароль или 12345. Атака методом грубой силы может быть успешной, если пользователь использует слабые пароли или системные пароли по умолчанию.
Атака с заполнением учетных данных, с другой стороны, пытается завладеть учетной записью, используя скомпрометированные учетные данные, полученные из других систем или онлайн-аккаунтов. При атаке с заполнением учетных данных атака не угадывает учетные данные. Успех атаки с заполнением учетных данных зависит от повторного использования пользователем своих учетных данных в нескольких учетных записях в Интернете.
Как правило, вероятность успеха атак грубой силы намного ниже, чем вброс учетных данных. Атаки грубой силы можно предотвратить, используя надежные пароли. Однако использование надежных паролей не может предотвратить подмену учетных данных, если надежный пароль используется несколькими учетными записями. Заполнение учетных данных предотвращается использованием уникальных учетных данных в сетевых учетных записях.
Как обнаружить атаки с заполнением учетных данных
Субъекты угрозы подмены учетных данных обычно используют ботов, имитирующих агентов-людей, и зачастую очень сложно отличить попытку входа в систему от реального человека и от бота. Тем не менее, все еще есть признаки, которые могут сигнализировать о продолжающейся атаке с подменой учетных данных.
Например, внезапное увеличение веб-трафика должно вызвать подозрения. В таком случае отслеживайте попытки входа на веб-сайт, и в случае увеличения количества попыток входа в несколько учетных записей с нескольких IP-адресов или увеличения частоты неудачных попыток входа это может указывать на продолжающуюся атаку с заполнением учетных данных.
Другим признаком атаки с заполнением учетных данных является жалоба пользователя на блокировку своей учетной записи или получение уведомлений о неудачных попытках входа в систему, которые не были предприняты ими.
Кроме того, отслеживайте действия пользователей, и если вы заметите необычные действия пользователей, такие как внесение изменений в их настройки, информацию профиля, денежные переводы и онлайн-покупки, это может сигнализировать об атаке с подменой учетных данных.
Как защититься от вставки учетных данных
Существует несколько мер, которые можно предпринять, чтобы не стать жертвой атак с подменой учетных данных. Это включает в себя:
№1. Избегайте повторного использования одних и тех же учетных данных в нескольких учетных записях.
Вставка учетных данных зависит от того, что пользователь совместно использует учетные данные для нескольких онлайн-аккаунтов. Этого можно легко избежать, используя уникальные учетные данные для разных онлайн-аккаунтов.
С менеджерами паролей, такими как Google Password Manager, пользователи по-прежнему могут использовать уникальные пароли, не беспокоясь о том, что могут забыть свои учетные данные. Компании также могут обеспечить это, запретив использование электронной почты в качестве имени пользователя. Таким образом, пользователи с большей вероятностью будут использовать уникальные учетные данные на разных платформах.
№ 2. Используйте многофакторную аутентификацию (MFA)
Многофакторная аутентификация — это использование нескольких методов для аутентификации личности пользователя, пытающегося войти в систему. Это может быть реализовано путем объединения традиционных методов аутентификации имени пользователя и пароля вместе с секретным кодом безопасности, который передается пользователям по электронной почте или в текстовом сообщении. для дальнейшего подтверждения своей личности. Это очень эффективно для предотвращения заполнения учетных данных, поскольку добавляет дополнительный уровень безопасности.
Он даже может сообщить вам, когда кто-то попытается скомпрометировать вашу учетную запись, так как вы получите код безопасности, не запрашивая его. MFA настолько эффективен, что исследование Microsoft показало, что онлайн-аккаунты на 99,9% менее подвержены риску компрометации, если они используют MFA.
№3. Отпечатки пальцев устройства
Снятие отпечатков пальцев устройства можно использовать, чтобы связать доступ к учетной записи в Интернете с определенным устройством. Снятие отпечатков пальцев устройства идентифицирует устройство, используемое для доступа к учетной записи, используя такую информацию, как модель и номер устройства, используемая операционная система, язык и страна, среди прочего.
Это создает уникальный отпечаток устройства, который затем связывается с учетной записью пользователя. Доступ к учетной записи с использованием другого устройства не разрешен без разрешения, предоставленного устройством, связанным с учетной записью.
№ 4. Следите за утечкой паролей
Когда пользователи пытаются создать имена пользователей и пароли для онлайн-платформы, а не просто проверяют надежность паролей, учетные данные могут быть проверены против опубликованных утекших паролей. Это помогает предотвратить использование учетных данных, которые впоследствии могут быть использованы.
Организации могут внедрять решения, которые отслеживают учетные данные пользователей по сравнению с утечками учетных данных в даркнете и уведомляют пользователей при обнаружении совпадений. Затем пользователей можно попросить подтвердить свою личность различными способами, изменить учетные данные, а также внедрить MFA для дополнительной защиты своей учетной записи.
№ 5. Хеширование учетных данных
Это включает в себя шифрование учетных данных пользователя, прежде чем они будут сохранены в базе данных. Это помогает защитить от неправомерного использования учетных данных в случае утечки данных в системах, поскольку учетные данные будут храниться в формате, который невозможно использовать.
Хотя это не надежный метод, он может дать пользователям время изменить свои пароли в случае утечки данных.
Примеры атак с заполнением учетных данных
Некоторые известные примеры атак с подменой учетных данных включают в себя:
- Кража более 500 000 учетных данных Zoom в 2020 году. Эта атака с подстановкой учетных данных была выполнена с использованием имен пользователей и паролей, полученных с различных темных веб-форумов, с учетными данными, полученными в результате атак, датируемых еще в 2013 году. Украденные учетные данные Zoom были доступны на темных веб-форумах. сети и продается дешево желающим покупателям
- Компрометация тысяч учетных записей пользователей Канадского агентства по доходам (CRA). В 2020 году около 5500 учетных записей CRA были скомпрометированы в результате двух отдельных атак с использованием учетных данных, в результате чего пользователи не смогли получить доступ к услугам, предлагаемым CRA.
- Компрометация 194 095 учетных записей пользователей The North Face. The North Face — компания, продающая спортивную одежду. В июле 2022 года она подверглась атаке с подменой учетных данных. В результате атаки были украдены полное имя пользователя, номер телефона, пол, баллы лояльности, адрес для выставления счетов и доставки, дата создания учетной записи, и история покупок.
- Атака с использованием учетных данных Reddit в 2019 году. Несколько пользователей Reddit были заблокированы в своих учетных записях после того, как их учетные данные были скомпрометированы в результате атак с использованием учетных данных.
Эти атаки подчеркивают важность необходимости защищать себя от подобных атак.
Заключение
Возможно, вы сталкивались с продавцами учетных данных для потоковых сайтов, таких как Netflix, Hulu и disney+, или онлайн-сервисов, таких как Grammarly, Zoom и Turnitin, среди прочих. Как вы думаете, откуда продавцы берут учетные данные?
Что ж, такие учетные данные, вероятно, получены с помощью атак с подстановкой учетных данных. Если вы используете одни и те же учетные данные в нескольких учетных записях в Интернете, пришло время изменить их, прежде чем вы станете жертвой.
Чтобы еще больше защитить себя, внедрите многофакторную аутентификацию во все свои онлайн-аккаунты и избегайте покупки скомпрометированных учетных данных, поскольку это создает благоприятную среду для атак с подменой учетных данных.