Всего 500 миллионов аккаунтов Zoom для продажи в даркнете благодаря «набивке учетных данных». Это распространенный способ взлома аккаунтов в Интернете. Вот что на самом деле означает этот термин и как вы можете защитить себя.
Оглавление
Все начинается с утечки баз данных паролей
Атаки на онлайн-сервисы — обычное дело. Преступники часто используют уязвимости системы безопасности для получения баз данных с именами пользователей и паролями. Базы данных украденных учетных данных часто продаются в Интернете в даркнете, а преступники платят биткойнами за право доступа к базе данных.
Допустим, у вас была учетная запись на форуме Avast, которая была взломан еще в 2014 году. Эта учетная запись была взломана, и злоумышленники могут узнать ваше имя пользователя и пароль на форуме Avast. Avast связался с вами и попросил вас изменить пароль на форуме, в чем проблема?
К сожалению, проблема в том, что многие люди повторно используют одни и те же пароли на разных сайтах. Допустим, ваши данные для входа на форум Avast были «[email protected]» и «AmazingPassword». Если вы вошли на другие веб-сайты с тем же именем пользователя (адресом электронной почты) и паролем, любой преступник, получивший ваши утекшие пароли, может получить доступ к этим другим учетным записям.
Credential Stuffing в действии
«Заполнение учетных данных» включает использование этих баз данных с пропущенными данными для входа и попытки войти с ними в другие онлайн-сервисы.
Преступники берут большие базы данных утечек комбинаций имени пользователя и пароля — часто миллионы учетных данных для входа — и пытаются войти с ними на других веб-сайтах. Некоторые люди повторно используют один и тот же пароль на нескольких веб-сайтах, поэтому некоторые будут совпадать. Обычно это можно автоматизировать с помощью программного обеспечения, быстро перебирая множество комбинаций входа в систему.
Для чего-то настолько опасного, что звучит так технически, вот и все — попытка утечки учетных данных в других службах и проверка того, что работает. Другими словами, «хакеры» вводят все эти учетные данные в форму входа и смотрят, что происходит. Некоторые из них обязательно сработают.
В наши дни это один из наиболее распространенных способов «взлома» онлайн-аккаунтов. Только в 2018 году сеть доставки контента Акамай зарегистрировано около 30 миллиардов атак с заполнением учетных данных.
Как защитить себя
Защититься от переполнения учетных данных довольно просто и требует соблюдения тех же методов защиты паролей, которые эксперты по безопасности рекомендовали в течение многих лет. Не существует волшебного решения — только хорошая гигиена паролей. Вот совет:
Избегайте повторного использования паролей: используйте уникальный пароль для каждой учетной записи, которую вы используете в Интернете. Таким образом, даже если ваш пароль просочится, его нельзя будет использовать для входа на другие веб-сайты. Злоумышленники могут попытаться ввести ваши учетные данные в другие формы входа, но это не сработает.
Используйте диспетчер паролей: запоминание надежных уникальных паролей — почти невыполнимая задача, если у вас есть учетные записи на довольно большом количестве веб-сайтов, а они есть почти у всех. Мы рекомендуем использовать менеджер паролей, например 1Пароль (платно) или Bitwarden (бесплатно и с открытым исходным кодом), чтобы запоминать ваши пароли за вас. Он даже может генерировать эти надежные пароли с нуля.
Включение двухфакторной аутентификации: при двухэтапной аутентификации вы должны предоставлять что-то еще — например, код, сгенерированный приложением или отправленный вам по SMS, — каждый раз, когда вы входите на веб-сайт. Даже если злоумышленник знает ваше имя пользователя и пароль, он не сможет войти в вашу учетную запись, если у него нет этого кода.
Получайте уведомления об утечках пароля: с помощью такой службы, как Меня поймали?, вы можете получить уведомление, когда ваши учетные данные появятся в утечке.
Как службы могут защитить от заполнения учетных данных
Хотя отдельные лица должны взять на себя ответственность за безопасность своих учетных записей, существует множество способов защиты онлайн-сервисов от атак с заполнением учетных данных.
Сканирование утечек баз данных на предмет паролей пользователей: Facebook и Netflix сканировали утечка баз данных для паролей, перекрестные ссылки на них с учетными данными для входа в свои собственные службы. Если есть совпадение, Facebook или Netflix могут предложить своему пользователю сменить пароль. Это способ превзойти специалистов по набивке учетных данных.
Предлагайте двухфакторную аутентификацию: пользователи должны иметь возможность включить двухфакторную аутентификацию для защиты своих онлайн-аккаунтов. Особо конфиденциальные службы могут сделать это обязательным. Они также могут попросить пользователя щелкнуть ссылку подтверждения входа в электронном письме, чтобы подтвердить запрос на вход.
Требовать CAPTCHA: если попытка входа в систему выглядит странно, служба может потребовать ввести код CAPTCHA, отображаемый на изображении, или щелкнуть другую форму, чтобы убедиться, что человек, а не бот, пытается войти в систему.
Ограничение повторных попыток входа в систему: Службы должны пытаться блокировать попытки ботов предпринимать большое количество попыток входа в систему за короткий период времени. Современные сложные боты могут попытаться войти в систему с нескольких IP-адресов одновременно, чтобы замаскировать свои попытки заполнения учетных данных.
Некачественные пароли — и, честно говоря, плохо защищенные онлайн-системы, которые часто слишком легко взломать, — делают набивку учетных данных серьезной угрозой для безопасности онлайн-аккаунтов. Неудивительно, что многие компании в сфере высоких технологий хотят построить более безопасный мир без паролей.