Czym jest atak typu „credential stuffing”?
Atak typu „credential stuffing” to rodzaj cyberataku, w którym napastnik wykorzystuje skradzione dane uwierzytelniające – zwykle listy nazw użytkowników lub adresów e-mail oraz odpowiadające im hasła, które zostały przejęte w wyniku wycieku danych. Atakujący wykorzystuje te dane, aby uzyskać nieautoryzowany dostęp do kont użytkowników na innych systemach, wykonując zautomatyzowane próby logowania na masową skalę.
W przeciwieństwie do metod typu „brute force”, ataki „credential stuffing” nie polegają na zgadywaniu haseł – opierają się na wcześniej zdobytych kombinacjach loginów i haseł. Narzędzia, takie jak Selenium, cURL, PhantomJS czy specjalistyczne aplikacje, np. Sentry MBA, SNIPR, STORM, Blackbullet czy Openbullet, umożliwiają zautomatyzowanie takich prób logowania.
Te ataki są skuteczne przede wszystkim dlatego, że wielu użytkowników używa tych samych nazw użytkowników i haseł na różnych platformach. Statystyki wskazują, że aż 81% osób stosuje to samo hasło na co najmniej dwóch stronach, a 25% użytkowników używa identycznych haseł dla większości swoich kont. Według szacunków, skuteczność logowania przy takich atakach wynosi do 2%, co oznacza, że z miliona skradzionych danych uwierzytelniających można przejąć około 20 000 kont.
Jak przebiega taki atak?
Proces ataku typu „credential stuffing” można podzielić na kilka etapów:
- Pozyskanie danych uwierzytelniających: napastnicy zdobywają zestawy loginów i haseł w wyniku wycieków danych, phishingu lub poprzez kupno na forach darknetu.
- Automatyczne testowanie: Z wykorzystaniem narzędzi do automatyzacji testują te dane na różnych stronach internetowych, takich jak portale społecznościowe, platformy e-commerce czy aplikacje webowe.
- Weryfikacja sukcesu: Jeśli logowanie zakończy się powodzeniem, napastnicy wiedzą, że mają działające dane uwierzytelniające.
- Dalsze działania: Po uzyskaniu dostępu do kont mogą:
- Wykraść środki finansowe lub dokonywać zakupów.
- Uzyskać dostęp do wrażliwych danych, takich jak numery kart kredytowych, wiadomości prywatne czy zdjęcia.
- Wykorzystać konta do rozsyłania spamu lub phishingu.
- Sprzedawać sprawdzone dane uwierzytelniające innym cyberprzestępcom.
Jak się przed nim bronić?
Dla użytkowników indywidualnych
- Unikalne i silne hasła: Zadbaj o to, aby każde Twoje konto miało inne hasło, składające się z co najmniej kilkunastu znaków, zawierające litery (małe i wielkie), cyfry oraz symbole.
- Korzystanie z menedżerów haseł: Narzędzia te pomagają tworzyć, przechowywać i zarządzać silnymi hasłami, eliminując potrzebę ich zapamiętywania.
- Uwierzytelnianie wieloskładnikowe (MFA): Włącz MFA wszędzie tam, gdzie to możliwe. Nawet jeśli ktoś uzyska dostęp do Twojego hasła, nie będzie mógł zalogować się bez dodatkowego składnika uwierzytelnienia, np. kodu SMS lub aplikacji.
- Monitorowanie kont: Regularnie sprawdzaj, czy Twoje konta nie pojawiły się w publicznych wyciekach danych, korzystając z serwisów takich jak „Have I Been Pwned?”.
Dla organizacji
- Egzekwowanie polityki silnych haseł: Wymagaj od pracowników tworzenia silnych i unikalnych haseł, a także ich regularnej zmiany. Menedżery haseł pomagają administratorom IT w egzekwowaniu zasad bezpieczeństwa haseł, takich jak minimalna długość, unikalność czy regularna zmiana.
- Wdrożenie MFA: Zastosuj uwierzytelnianie wieloskładnikowe dla wszystkich kont pracowników.
- Monitoring anomalii: Wykorzystaj systemy SIEM do wykrywania nietypowych wzorców logowań, np. wielu nieudanych prób w krótkim czasie.
- Szkolenia pracowników: Regularnie edukuj personel w zakresie bezpieczeństwa cybernetycznego, uwrażliwiając na zagrożenia wynikające z wycieków danych.
- Zastosowanie CAPTCHA: Dodanie mechanizmów CAPTCHA podczas logowania może znacząco utrudnić zautomatyzowane próby logowania.
- Blokowanie adresów IP: Implementuj mechanizmy blokowania IP po wykryciu podejrzanej aktywności.
Przykłady ataków typu „credential stuffing”
- Atak na Superdrug (2018): Brytyjski detalista kosmetyczny padł ofiarą próby szantażu, gdy cyberprzestępcy twierdzili, że uzyskali dostęp do 20 000 kont klientów. Dane te prawdopodobnie pochodziły z wcześniejszych wycieków i zostały wykorzystane w ataku typu „credential stuffing”.
- Atak na Uber (2016): Hakerzy uzyskali dostęp do prywatnego repozytorium GitHub firmy Uber, wykorzystując dane uwierzytelniające pracowników przejęte w innych wyciekach. W efekcie wykradli dane milionów użytkowników i kierowców, co doprowadziło do kar finansowych dla firmy.
- Atak na Zoom (2020): W czasie pandemii COVID-19 platforma Zoom stała się celem licznych ataków „credential stuffing”, co poskutkowało ujawnieniem tysięcy kont użytkowników w sieci.
Ataki typu „credential stuffing” stanowią poważne zagrożenie zarówno dla użytkowników indywidualnych, jak i organizacji. Kluczem do ochrony jest stosowanie unikalnych haseł, wdrażanie uwierzytelniania wieloskładnikowego oraz monitorowanie aktywności w sieci. Organizacje powinny inwestować w zaawansowane systemy wykrywające anomalie i edukować swoich pracowników w zakresie cyberbezpieczeństwa. Korzystanie z menedżerów haseł może znacznie zwiększyć poziom bezpieczeństwa, zarówno poprzez wspomaganie tworzenia silnych i unikalnych haseł, jak i ich efektywne zarządzanie.
Powiązane wpisy
Kolejny poziom partnerstwa Cambium Networks
Perceptus osiągnął kolejny poziom partnerstwa we współpracy z Cambium Networks. W skali całego kraju poziom Connected PartnerPlus posiada jedynie 7 firm wdrażających nowoczesne rozwiązania sieciowe
Kody QR – ułatwienie czy zagrożenie? Ekspert Perceptus w audycji Cyberprzezorny Radio Zachód
Kody QR to doskonałe nośniki informacji, ale mogą być wykorzystane także przez cyberprzestępców. To jak, skanować? Czy nie skanować? Nasz ekspert rozmawiał o tym gościnnie