Mivel sok webhely és alkalmazás egyedi felhasználói hitelesítési adatokat, azaz felhasználónevet és jelszót igényel, csábító lehet, hogy ugyanazokat a hitelesítő adatokat használjuk az összes platformon.
Valójában a SpyCloud 2022-es éves személyazonossági kitettségi jelentése szerint, amely több mint 15 milliárd feltört hitelesítő adatot elemzett a bűnözői földalatti webhelyeken, kiderült, hogy a feltört jelszavak 65 százalékát legalább két fiókhoz használták.
A hitelesítő adatokat különböző platformokon újrahasználó felhasználók számára ez zseniális módszernek tűnhet a jelszavak elfelejtésének elkerülésére, de valójában ez egy katasztrófa, amely megtörténik.
Abban az esetben, ha az egyik rendszert feltörik, és az Ön hitelesítő adatait rögzítik, az összes többi, ugyanazokat a hitelesítő adatokat használó fiókokat a kompromittálódás veszélye fenyegeti. Szem előtt tartva, hogy a kompromittált hitelesítő adatokat olcsón értékesítik a sötét weben, könnyen előfordulhat, hogy hitelesítő adatokkal való tömés áldozatává válik.
A hitelesítő adatok kitöltése olyan kibertámadás, amelynek során a rosszindulatú szereplők egy online fiókhoz vagy rendszerhez lopott hitelesítő adatokat használnak fel, hogy megpróbáljanak hozzáférni más, nem kapcsolódó online fiókokhoz vagy rendszerekhez.
Példa erre egy rosszindulatú szereplő, aki hozzáfér az Ön Twitter-fiókjához tartozó felhasználónevéhez és jelszavához, és ezekkel a feltört hitelesítő adatokkal megpróbál hozzáférni egy Paypal-fiókjához.
Abban az esetben, ha ugyanazokat a hitelesítési adatokat használja a Twitteren és a Paypalon, a Paypal-fiókja átvételre kerül a Twitter hitelesítő adatainak megsértése miatt.
Abban az esetben, ha Twitter hitelesítő adatait több online fiókban használja, ezek az online fiókok is veszélybe kerülhetnek. Az ilyen támadást hitelesítő adatok kitöltésének nevezik, és azt a tényt használja ki, hogy sok felhasználó több online fiók hitelesítő adatait használja fel.
A hitelesítő adatok kitöltésével támadó rosszindulatú szereplők általában robotokat használnak a folyamat automatizálására és méretezésére. Ez lehetővé teszi számukra, hogy nagyszámú feltört hitelesítő adatot használjanak, és több online platformot is megcélozzanak. Mivel az adatszivárgásokból származó hitelesítő adatokat kiszivárogtatták, és a sötét weben is eladták őket, a hitelesítő adatok kitöltésével kapcsolatos támadások elterjedtek.
Tartalomjegyzék
Hogyan működik a hitelesítő adatok kitöltése
A hitelesítő adatok kitöltésével kapcsolatos támadás a feltört hitelesítő adatok megszerzésével kezdődik. Ezeket a felhasználóneveket és jelszavakat meg lehet vásárolni a sötét weben, hozzá lehet férni a jelszólerakó webhelyekről, vagy beszerezhetők adatszivárgás és adathalász támadások során.
A következő lépés a robotok beállítása a különböző webhelyeken ellopott hitelesítő adatok tesztelésére. Az automatizált robotok a hitelesítő adatok kitöltésével kapcsolatos támadások fő eszközei, mivel a robotok nagy sebességgel képesek nagyszámú hitelesítési adat felhasználásával lopva hitelesítő adatok feltöltésére.
Az IP-cím blokkolásának kihívása több sikertelen bejelentkezési kísérlet után is elkerülhető a botok használatával.
Hitelesítőadat-tömörítési támadás indításakor a sikeres bejelentkezéseket figyelő automatizált folyamatok is elindulnak a hitelesítő adatok kitöltésével párhuzamosan. Ily módon a támadók könnyedén megszerezhetik bizonyos online webhelyeken működő hitelesítő adatokat, és ezek segítségével vehetnek át egy fiókot a platformokon.
Miután a támadók hozzáfértek egy fiókhoz, az ő belátásuktól függ, hogy mit tehetnek vele. A támadók eladhatják a hitelesítési adatokat más támadóknak, érzékeny információkat lophatnak el a fiókból, azonosíthatják magukat, vagy használhatják a fiókot online vásárlásra, ha egy bankszámlát feltörnek.
Miért hatékonyak a hitelesítő adatokkal kapcsolatos támadások?
A Credential Stuffing egy nagyon alacsony sikerarányú kibertámadás. Valójában az Insikt Group, a Recorded Future fenyegetéskutatási részlege, a The Economy of Credential Stuffing Attacks jelentése szerint a hitelesítő adatokkal kapcsolatos támadások átlagos sikerességi aránya egy és három százalék között van.
Bár a siker aránya alacsony, az Akamai Technologies 2021-es State of the Internet / Security jelentésében megjegyezte, hogy 2020-ban az Akamai 193 milliárd hitelesítő támadást ért el világszerte.
A hitelesítő adatok kitöltésével kapcsolatos támadások nagy számának és egyre elterjedtebbé válásának oka a rendelkezésre álló feltört hitelesítési adatok száma, valamint a fejlett boteszközökhöz való hozzáférés, amelyek hatékonyabbá teszik a hitelesítő adatok kitöltésével kapcsolatos támadásokat, és szinte megkülönböztethetetlenek az emberi bejelentkezési kísérletektől.
Például még alacsony, mindössze egy százalékos sikerarány mellett is, ha egy támadó 1 millió feltört hitelesítő adattal rendelkezik, körülbelül 10 000 fiókot tud feltörni. A feltört hitelesítő adatok nagy mennyiségével kereskednek a sötét weben, és az ilyen nagy mennyiségű feltört hitelesítő adatok több platformon is újra felhasználhatók.
A feltört hitelesítő adatok nagy mennyisége a feltört fiókok számának növekedését eredményezi. Ez, párosulva azzal a ténnyel, hogy az emberek továbbra is több online fiókban használják fel hitelesítő adataikat, a hitelesítő adatok kitöltésével kapcsolatos támadások nagyon hatékonyakká válnak.
Hitelesítési adatok vs. Brute Force Attacks
Bár a hitelesítő adatok kitöltése és a brute force támadások egyaránt fiókátvételi támadások, és az Open Web Application Security Project (OWASP) a hitelesítő adatok kitöltését a brute force támadások részhalmazának tekinti, a kettő végrehajtási módjában különbözik.
Egy brute force támadás során egy rosszindulatú szereplő megpróbál átvenni egy fiókot úgy, hogy kitalálja a felhasználónevet vagy jelszót, vagy mindkettőt. Ez általában úgy történik, hogy a lehető legtöbb felhasználónév- és jelszókombinációt kipróbálják, anélkül, hogy kontextusban vagy fogalmuk lenne arról, hogy mik lehetnek.
A brutális erők gyakran használt jelszómintákat vagy olyan gyakran használt jelszókifejezések szótárát használhatják, mint a Qwerty, jelszó vagy 12345. A brute force támadás sikeres lehet, ha a felhasználó gyenge jelszavakat vagy alapértelmezett rendszerjelszavakat használ.
A hitelesítő adatok betöméséről szóló támadás viszont megpróbál átvenni egy fiókot más rendszerekből vagy online fiókokból származó, feltört hitelesítő adatok felhasználásával. Hitelesítő adatok kitöltése esetén a támadás nem találja ki a hitelesítő adatokat. A hitelesítő adatok kitöltésével kapcsolatos támadás sikere azon múlik, hogy a felhasználó több online fiókban is felhasználja hitelesítő adatait.
A nyers erejű támadások sikerességi aránya jellemzően jóval alacsonyabb, mint a hitelesítő adatokkal történő támadás. A brutális erőszakos támadások erős jelszavak használatával megelőzhetők. Az erős jelszavak használata azonban nem akadályozza meg a hitelesítő adatok feltöltését, ha az erős jelszót több fiók is megosztja. A hitelesítési adatok feltöltését az online fiókok egyedi hitelesítő adatainak használatával akadályozzák meg.
A hitelesítő adatokkal kapcsolatos támadások észlelése
A hitelesítő adatokkal kitöltő fenyegetés szereplői jellemzően emberi ügynököket utánzó botokat használnak, és gyakran nagyon nehéz megkülönböztetni a bejelentkezési kísérletet egy valódi embertől és egy bottól. Azonban még mindig vannak olyan jelek, amelyek egy folyamatban lévő hitelesítő adathalmaz támadást jelezhetnek.
Például a webes forgalom hirtelen növekedése gyanút kelthet. Ebben az esetben figyelje a webhelyre tett bejelentkezési kísérleteket, és ha több IP-címről több fiókban megnövekszik a bejelentkezési kísérletek száma, vagy megnő a bejelentkezési sikertelenség aránya, ez egy folyamatban lévő hitelesítő adatok kitöltési támadását jelezheti.
A hitelesítő adatok kitöltésével kapcsolatos támadás másik jele, hogy a felhasználók panaszkodnak, hogy kizárták a fiókjukat, vagy értesítést kapnak olyan sikertelen bejelentkezési kísérletekről, amelyeket nem ők hajtottak végre.
Ezenkívül figyelje a felhasználói tevékenységet, és ha szokatlan felhasználói tevékenységet észlel, mint például a beállítások módosítása, a profilinformációk módosítása, a pénzátutalások és az online vásárlások, ez egy hitelesítő adathalmaz támadást jelezhet.
Hogyan védekezzünk a hitelesítő adatok eltömődése ellen
Számos intézkedés megtehető annak elkerülése érdekében, hogy a hitelesítő adatokkal való betömés elleni támadások áldozatává váljanak. Ebbe beletartozik:
#1. Ne használja ugyanazokat a hitelesítő adatokat több fiókban
A hitelesítési adatok feltöltése attól függ, hogy a felhasználó több online fiók között megosztja a hitelesítő adatait. Ez könnyen elkerülhető, ha egyedi hitelesítő adatokat használ a különböző online fiókokon.
A jelszókezelőkkel, például a Google Jelszókezelővel a felhasználók továbbra is használhatnak egyedi és nagyon jó jelszavakat anélkül, hogy aggódnának attól, hogy elfelejtik hitelesítő adataikat. A cégek ezt úgy is kikényszeríthetik, hogy megakadályozzák az e-mailek felhasználónévként való használatát. Így a felhasználók nagyobb valószínűséggel használnak egyedi hitelesítő adatokat a különböző platformokon.
#2. Többtényezős hitelesítés (MFA) használata
A többtényezős hitelesítés több módszer használata a bejelentkezni próbáló felhasználó személyazonosságának hitelesítésére. Ez megvalósítható a felhasználónév és a jelszó hagyományos hitelesítési módszereinek kombinálásával, valamint a felhasználókkal e-mailben vagy szöveges üzenetben megosztott titkos biztonsági kóddal. személyazonosságuk további megerősítésére. Ez nagyon hatékonyan megakadályozza a hitelesítő adatok betömését, mivel további biztonsági réteget ad hozzá.
Még azt is jelezheti, ha valaki megpróbálja feltörni a fiókját, mivel anélkül kap biztonsági kódot, hogy kérnie kellene. Az MFA annyira hatékony, hogy egy Microsoft-tanulmány kimutatta, hogy az online fiókok 99,9 százalékkal kisebb valószínűséggel kerülhetnek veszélybe, ha MFA-t használnak.
#3. Eszköz ujjlenyomat
Az eszköz ujjlenyomatának segítségével egy online fiókhoz való hozzáférést társíthatunk egy adott eszközhöz. Az eszköz ujjlenyomata többek között az eszköz típusa és száma, a használt operációs rendszer, a nyelv és az ország segítségével azonosítja a fiókhoz való hozzáféréshez használt eszközt.
Ezzel egyedi eszköz ujjlenyomatot hoz létre, amely azután hozzá van rendelve egy felhasználói fiókhoz. A fiókhoz más eszközzel való hozzáférés nem engedélyezett a fiókhoz társított eszköz engedélye nélkül.
#4. Figyelemmel kíséri a kiszivárgott jelszavakat
Amikor a felhasználók felhasználóneveket és jelszavakat próbálnak létrehozni egy online platformhoz, ahelyett, hogy csak a jelszavak erősségét ellenőriznék, a hitelesítő adatok ellenőrzöttek a közzétett, kiszivárgott jelszavakkal szemben. Ez segít megelőzni a későbbiekben kihasználható hitelesítő adatok használatát.
A szervezetek olyan megoldásokat valósíthatnak meg, amelyek figyelik a felhasználói hitelesítő adatokat a sötét weben kiszivárgott hitelesítési adatokkal szemben, és értesítik a felhasználókat, ha egyezést találnak. A felhasználókat ezután felkérhetik, hogy igazolják személyazonosságukat különféle módszerekkel, változtassák meg a hitelesítési adatokat, és hajtsanak végre MFA-t fiókjuk további védelme érdekében.
#5. Hitelesítési adatok kivonatolása
Ez magában foglalja a felhasználói hitelesítő adatok titkosítását az adatbázisban való tárolás előtt. Ez segít megvédeni a hitelesítő adatokkal való visszaélést a rendszerek adatszivárgása esetén, mivel a hitelesítő adatok nem használható formátumban kerülnek tárolásra.
Bár ez nem egy hibabiztos módszer, adatszivárgás esetén időt adhat a felhasználóknak a jelszavak megváltoztatására.
Példák a hitelesítő adatokkal való eltömődési támadásokra
Néhány figyelemre méltó példa a hitelesítő adatok kitöltésével kapcsolatos támadásokra:
- Több mint 500 000 Zoom hitelesítési adat ellopása 2020-ban. Ezt a hitelesítő adatokkal feltöltő támadást különböző sötét webes fórumokról származó felhasználónevek és jelszavak felhasználásával hajtották végre, a hitelesítési adatokat pedig 2013-ig visszamenőleges támadásokból szerezték be. Az ellopott zoom hitelesítő adatokat a sötétben tették elérhetővé. interneten, és olcsón értékesítik hajlandó vásárlóknak
- Kompromisszum a Kanadai Adóhivatal (CRA) több ezer felhasználói fiókjával kapcsolatban. 2020-ban körülbelül 5500 hitelminősítő intézeti fiók került veszélybe két különálló hitelesítő támadás következtében, aminek következtében a felhasználók nem fértek hozzá a hitelminősítő által kínált szolgáltatásokhoz.
- 194 095 The North Face felhasználói fiók kompromisszuma. A North Face egy sportruházatot árusító cég, amely 2022 júliusában hitelesítő támadást szenvedett el. A támadás következtében kiszivárgott a felhasználó teljes neve, telefonszáma, neme, hűségpontjai, számlázási és szállítási címe, a fiók létrehozásának dátuma, és vásárlási előzmények.
- A Reddit hitelesítő adattömörítő támadása 2019-ben. Számos Reddit-felhasználót kizártak a fiókjából, miután hitelesítő adataikat a hitelesítő adatok kitöltésével kapcsolatos támadások veszélyeztették.
Ezek a támadások rávilágítanak a hasonló támadások elleni védekezés fontosságára.
Következtetés
Előfordulhat, hogy találkozott már olyan streaming webhelyek hitelesítő adataival, mint a Netflix, Hulu és a Disney+, vagy olyan online szolgáltatásokkal, mint a Grammarly, a Zoom és a Turnitin. Mit gondol, honnan szerzik az eladók az igazolásokat?
Nos, az ilyen hitelesítő adatok valószínűleg hitelesítő adatokkal kapcsolatos támadásokon keresztül szerezhetők meg. Ha ugyanazokat a hitelesítő adatokat használja több online fiókban, ideje megváltoztatni őket, mielőtt áldozattá válna.
A további védelme érdekében hajtson végre többtényezős hitelesítést minden online fiókjában, és kerülje a feltört hitelesítő adatok vásárlását, mivel ez megfelelő környezetet teremt a hitelesítő adatok kitöltésével kapcsolatos támadásokhoz.