Что такое атака с заполнением учетных данных?
Заполнение учетных данных – это тип кибератаки, которая включает в себя «вброс» украденных учетных данных на несколько веб-сайтов.
Такие инструменты, как боты, позволили хакерам автоматизировать загрузку, позволяя им проверять миллионы учетных данных для входа на десятки сайтов за короткий период. Вот что вам нужно знать об этой атаке и о простых способах защиты.
Что такое Credential Stuffing?
Заполнение учетных данных предполагает размещение большого количества украденных паролей и имен пользователей на нескольких веб-сайтах. Их данные зависят от монстров и утечек в даркнете. Цель состоит в том, чтобы использовать миллионы комбинаций логина и имени пользователя из предыдущих утечек для проникновения на другие веб-сайты.
Знаете ли вы, что повторное использование #passwords и отсутствие #multifactorauthentication открывают путь для атак #credentialstuffing . Фактически, ФБР заявляет, что 41% всех атак на финансовый сектор в период с 2017 по 2020 годы были вызваны заполнением учетных данных. https://t.co/h99KM6RPL7 pic.twitter.com/4IEEEwbZ2n
– Саймон Хеслоп (@ supersi101) 9 декабря 2020 г.
Для успешной атаки они полагаются на одну человеческую ошибку – используя одно и то же имя пользователя и / или пароль на нескольких сайтах. Согласно исследованиям, целых 85 процентов всех пользователей повторно используют свои пароли для разных учетных записей.
И именно такое мышление позволяет киберпреступникам использовать учетные данные для входа с одного взлома веб-сайта для доступа к другим сервисам.
Уровень успеха довольно низкий – от 0,1 до 2 процентов. Это означает, что на каждый миллион проверенных учетных данных для входа на другие веб-сайты можно использовать только около 1000 учетных данных. Но то, что стоит их усилий, – это золотая жила данных, которые они могут собрать со всех учетных записей, в которые они проникают.
Скажем, им удалось взломать около тысячи учетных записей, у которых есть банковская информация или данные кредитной карты. Они могут перекачивать средства или использовать их для совершения других форм мошенничества. Другая личная информация (PII), такая как номера социального страхования или налоговая информация, может быть использована для совершения преступлений, таких как кража личных данных.
Киберпреступники монетизируют все, что они находят в каждой учетной записи, что делает атаку стоящей усилий, несмотря на очень низкий коэффициент соответствия логина.
Как проводится атака с начинкой?
Конечно, хакеры не вводят вручную украденные учетные данные для входа по одному на разные веб-сайты, поскольку им нужны миллионы (или даже миллиарды) украденных учетных данных, чтобы атака того стоила.
Вместо этого взломанные учетные данные от утечки данных загружаются в бот-сети, которые запускают автоматические попытки входа в систему. Затем они используют дополнительные инструменты, чтобы избежать обнаружения.
Один ботнет может делать тысячи попыток входа в систему в час. Например, атака с заполнением учетных данных в 2016 году использовала ботнет, который отправлял более 270 000 запросов на вход через несколько сайтов в час.
Как можно избежать обнаружения атак с начинкой?
Хотя многие сайты используют меры безопасности для обнаружения нескольких несанкционированных входов в систему, хакеры нашли способы обойти эти меры.
Список прокси используется для переброски запросов и маскировки источника или, проще говоря, чтобы запросы на вход выглядели так, как будто они поступают из разных мест. Они также используют другие инструменты, чтобы создать впечатление, будто несколько попыток входа поступают из разных браузеров.
Это происходит потому, что несколько попыток входа в систему только из одного типа браузера (например, тысяча в час) выглядят подозрительно и имеют больше шансов быть отмеченными как мошеннические.
Все эти методы имитируют законную активность тысяч пользователей в разных местах. Это делает вектор атаки простым, но трудным для обнаружения.
В чем разница между заполнением учетных данных и атаками грубой силы?
Credential Stuffing – это подвид атаки методом грубой силы, который гораздо более эффективен, потому что он более целенаправлен.
Атака методом грубой силы, по сути, предполагает угадывание паролей с использованием различных случайных комбинаций символов. Они используют автоматизированное программное обеспечение, чтобы делать несколько предположений, проверяя несколько возможных комбинаций, пока не будет обнаружен пароль. Это делается без контекста.
#credentialstuffing #cybersecurityminiseries #ntellitechs #infographic #tech pic.twitter.com/IPuiyja79v
– Ntellitechs (@ntellitechs) 7 декабря 2020 г.
Наполнение учетных данных, с другой стороны, использует данные для входа и пароли от предыдущих утечек данных. Они используют пару пароль-имя пользователя из утечки с одного веб-сайта, а затем тестируют ее на других сервисах.
Хотя использование надежных паролей может защитить вас от атак грубой силы, это бесполезно, если вы используете тот же пароль на других веб-сайтах, когда запускается атака с заполнением.
В чем разница между заполнением учетных данных и сбросом учетных данных?
Хотя это может показаться одним и тем же, дамп учетных данных – это другой тип атаки, нацеленный на одну точку входа или компьютер с целью проникновения в сеть.
В то время как заполнение учетных данных использует несколько учетных данных для входа из предыдущих взломов для доступа на другие веб-сайты, сброс учетных данных включает в себя доступ к одному компьютеру и извлечение нескольких учетных данных для входа.
Это делается путем доступа к кэшированным учетным данным во многих реестрах компьютера или извлечения учетных данных из базы данных Security Account Manager (SAM). Последний содержит все учетные записи, созданные с паролями, сохраненными в виде хэшей.
Цель атаки с сбросом учетных данных – закрепиться в сети или получить доступ к другим компьютерам в системе. После получения учетных данных с одного компьютера хакер может повторно войти в устройство или получить доступ ко всей сети, чтобы нанести еще больший ущерб.
В отличие от наполнения, атака с сбросом учетных данных использует одну точку входа, одну машину с незащищенными уязвимостями для проникновения в сеть.
Как защитить себя от атакующей атаки?
Для большинства пользователей лучший и простой способ защитить себя – использовать уникальные пароли для каждого веб-сайта или учетной записи. По крайней мере, сделайте это для тех, у кого есть ваша конфиденциальная информация, такая как банковские реквизиты или данные кредитной карты.
Включение двухфакторной аутентификации (2FA) или многофакторной аутентификации (MFA) помогает хакерам усложнить захват учетной записи. Они полагаются на дополнительные средства проверки, то есть отправку кода на ваш номер телефона, а также требование вашего имени пользователя и пароля.
Если вам сложно запомнить несколько паролей и имен пользователей, вы можете использовать надежный менеджер паролей. Если вы не уверены в их безопасности, узнайте, какие безопасные методы используют менеджеры паролей .
Или попробуйте менеджер паролей с открытым исходным кодом .
Защитите свои пароли
Ваш пароль подобен ключу от вашего дома. Он должен быть уникальным, прочным и, что самое главное, всегда держать его в надежном месте.
Они также должны быть запоминающимися и надежными. Вы можете изучить различные инструменты паролей, которые помогут вам создать уникальные, но запоминающиеся пароли, которые хакерам сложно взломать.