Przejęcie konta to koszmarny scenariusz dla każdego. Uzyskanie przez kogoś innego dostępu do twoich finansów lub najbardziej wrażliwych danych jest niezwykle stresujące i może mieć wpływ na całe twoje życie. Wyobraź sobie, że ktoś opróżnia twoje konto bankowe lub wyciąga karty kredytowe w twoim imieniu.
Na ludziach spoczywa obowiązek zapewnienia ochrony i uniknięcia ataków typu "credential stuffing". Ustawienie silnych, unikalnych haseł i ścisłe monitorowanie danych ma zasadnicze znaczenie dla ochrony przed atakami.
Czym jest upychanie danych uwierzytelniających?
Wyłudzanie danych uwierzytelniających polega na tym, że przestępcy wykorzystują skradzione nazwy użytkownika i hasła (często zebrane w wyniku wcześniejszych naruszeń danych ), aby spróbować włamać się do kont internetowych. Ponieważ wiele osób ponownie używa haseł na różnych platformach, jeden login często zapewnia dostęp do wielu kont. Właśnie na to liczą hakerzy w swoich atakach.
Cyberprzestępcy używają zautomatyzowanych narzędzi lub "botów" do wykonywania tysięcy prób logowania jednocześnie, uderzając w jak największą liczbę witryn.
Boty te są szybkie i zaprogramowane tak, aby naśladować prawdziwe ludzkie zachowanie, co utrudnia ich wykrycie i zablokowanie. Jedno złamane konto może prowadzić do kradzieży pieniędzy i tożsamości.
Jak działają ataki typu "credential stuffing
Proces upychania danych uwierzytelniających polega na pozyskiwaniu skradzionych danych i wykorzystywaniu ich do prób uzyskania dostępu do kont w bankach i innych bezpiecznych witrynach. Hakerzy znajdują (lub kupują) dane osobowe, a następnie automatyzują proces prób logowania się na konta.
Gromadzenie danych
Wszystko zaczyna się od kradzieży danych. Hakerzy nie zawsze muszą włamywać się do witryny, aby uzyskać hasła, ponieważ wiele z nich już krąży po Internecie. Wiele skradzionych danych uwierzytelniających trafia do ciemnej sieci - ukrytej części Internetu, w której cyberprzestępcy mogą kupować i sprzedawać zhakowane dane.
Te dane logowania często pochodzą z poprzednich naruszeń danych i są przedmiotem swobodnego handlu lub sprzedaży w dużych partiach.
Niektóre kolekcje, takie jak niesławna "Kolekcja #1-5", zawierają miliardy nazw użytkowników i haseł. To kopalnia złota dla cyberprzestępców, a wszystko, czego potrzeba, to jedno dopasowanie na innej platformie.
Automatyczne próby logowania
Gdy hakerzy mają już swoje skradzione dane uwierzytelniające, następnym krokiem jest ich przetestowanie. W tym miejscu wkracza automatyzacja.
Atakujący podejmują zakrojone na szeroką skalę próby logowania na wielu stronach internetowych, sprawdzając, czy którakolwiek ze skradzionych kombinacji nadal działa. Boty te są sprytne i niektóre z nich używają przeglądarek headless (przeglądarka internetowa, która działa bez graficznego interfejsu użytkownika, w tle i jest kontrolowana programowo - zazwyczaj do zautomatyzowanych zadań) lub zmieniają adresy IP, próbując uniknąć wykrycia. Dodają nawet opóźnienia między próbami logowania, aby oszukać systemy, by myślały, że loguje się normalny użytkownik, unikając podejrzeń lub protokołów bezpieczeństwa.
Przejęcie konta
Gdy dane uwierzytelniające pasują i logowanie się powiedzie, hakerzy uzyskują pełną kontrolę nad kontem, na przykład kontem e-mail.
Stamtąd mogą próbować opróżnić konta bankowe, ukraść prywatne dane, a nawet zablokować prawdziwego właściciela. Hakerzy mają różne podejścia w zależności od tego, które konta mogą przejąć. Jeśli nie uda im się dostać do banku i go opróżnić, mogą nadal wykorzystywać dostęp do konta e-mail do innych przestępstw, takich jak wysyłanie wiadomości phishingowych na inne konta w celu ich zhakowania. Mogą również sprzedawać przejęte konta innym przestępcom. Krótko mówiąc, pojedyncze udane logowanie może przerodzić się w bałagan dla użytkownika.
Wypychanie poświadczeń vs. brutalna siła vs. rozpylanie haseł
Wszystkie te trzy typy ataków są wymierzone w hasła, ale różnią się metodami.
Upychanie danych uwierzytelniających
Credential stuffing opiera się na prawdziwych, wcześniej skradzionych hasłach. Hakerzy nie zgadują, ale wykorzystują istniejące dane. Sukces ataku zależy od tego, ile osób ponownie użyło swoich haseł na różnych platformach.
Ataki siłowe
Brute force to bardziej zgadywanka. Atakujący próbuje losowych kombinacji haseł w kółko, aż w końcu jedna z nich zadziała. Jest to metoda zautomatyzowana, ale wolniejsza i łatwiejsza do wykrycia, ponieważ zwykle obejmuje wiele nieudanych prób z tego samego adresu IP.
Rozpylanie hasła
Rozpylanie haseł to połączenie brutalnej siły i wypychania danych uwierzytelniających. Hakerzy wypróbowują popularne hasła, takie jak "password123" lub "123456", na dużej liczbie kont, takich jak te, które znaleźli w Collection #1. Ta metoda jest podstępna, ponieważ pozwala uniknąć systemów wykrywania, które oznaczają powtarzające się nieudane próby na jednym koncie.
Dlaczego fałszowanie danych uwierzytelniających jest coraz większym zagrożeniem
Fałszowanie danych uwierzytelniających staje się coraz gorsze. Jednym z powodów jest ogromna ilość skradzionych danych uwierzytelniających dostępnych online. Kolekcje takie jak te wspomniane wcześniej dają atakującym nieskończoną ilość potencjalnych loginów do testowania i zasilania swoich systemów. Dopóki ludzie ponownie używają haseł, ryzyko pozostaje wysokie.
Kolejnym problemem jest technologia stojąca za tymi atakami. Boty stają się coraz bardziej zaawansowane.
Narzędzia takie jak przeglądarki headless pozwalają im zachowywać się jak prawdziwi użytkownicy, a spoofing IP pomaga im unikać systemów wykrywania. Integrując wtyczki i dostosowując przeglądarki, atakujący mogą dostosować je tak, aby naśladowały zachowanie użytkownika. Niektóre boty potrafią nawet rozwiązywać zadania CAPTCHA lub naśladować ruchy myszy. Aby temu przeciwdziałać, strony internetowe mogą korzystać z funkcji device fingerprinting, która śledzi przeglądarkę użytkownika, typ urządzenia i wzorce zachowań w celu wykrywania podejrzanych logowań i blokowania automatycznych ataków.
Co więcej, liczba kont internetowych eksplodowała. Większość z nas ma dziesiątki loginów. Oznacza to więcej celów dla atakujących i więcej potencjalnych miejsc kradzieży danych uwierzytelniających.
Nawyki dotyczące haseł nie nadążają za zagrożeniami. Wiele osób nadal używa prostych i łatwych do odgadnięcia haseł lub tego samego hasła w wielu witrynach. Według jednego z badań 84% użytkowników używa ryzykownych haseł do kont online. Wystarczy jedno naruszenie i nagle haker ma dostęp do wszystkiego, od e-maili po konta finansowe.
Rzeczywiste przykłady ataków typu "credential stuffing
Fałszowanie danych uwierzytelniających to nie tylko teoretyczne zagrożenie. Spowodowało ono już chaos w kilku dużych firmach z różnych branż.
Jeden z głośnych przykładów dotyczył banku HSBC, w którym atakujący wykorzystali skradzione loginy, aby uzyskać dostęp do kont klientów. Naruszenie to umożliwiło nieautoryzowany dostęp do danych finansowych, a firma musiała nawet zawiesić cały proces logowania online na czas uporządkowania spraw. Ucierpiało na tym aż 14 000 klientów.
Na Reddicie użytkownicy zostali nagle zablokowani na swoich kontach po fali ataków na platformę. Reddit musiał poprosić użytkowników o zresetowanie haseł, jeśli byli w stanie uzyskać dostęp do swoich kont.
Kolejny znaczący przypadek miał miejsce w TurboTax, gdzie atakujący wykorzystali skradzione dane uwierzytelniające, aby uzyskać dostęp do informacji podatkowych w ataku z 2019 roku. Nie chodziło tylko o nazwy użytkowników i hasła, ponieważ po wejściu do środka przestępcy mogli uzyskać dostęp do numerów ubezpieczenia społecznego i innych wrażliwych danych osobowych.
Nintendo doświadczyło również masowego naruszenia, w wyniku którego tysiące kont Nintendo Network ID zostało naruszonych. Atakującym udało się włamać na konta przy użyciu ponownie wykorzystanych danych uwierzytelniających, co doprowadziło do nieautoryzowanych zakupów i obaw o prywatność graczy. Naruszono bezpieczeństwo 300 000 kont.
Wpływ upychania danych uwierzytelniających
Ataki typu credential stuffing mogą prowadzić do poważnych problemów. Możliwe jest, że ofiary zostaną zablokowane na kontach, a pieniądze zostaną skradzione bezpośrednio lub za pomocą innych nieuczciwych metod, takich jak składanie wniosków o karty kredytowe przy użyciu ich danych.
Strata finansowa
Jedną z najbardziej bezpośrednich i widocznych konsekwencji ataku typu credential stuffing są szkody finansowe, jakie może on spowodować. Gdy atakujący uzyska dostęp do konta płatniczego lub bankowego, nie trzeba długo czekać, aby środki zaczęły znikać.
Ofiary często muszą tygodniami kontaktować się ze swoimi bankami lub dostawcami kart, aby uporządkować bałagan i spróbować odzyskać pieniądze. Może to powodować ogromny stres.
Kradzież tożsamości
Poza pieniędzmi, fałszowanie danych uwierzytelniających otwiera drzwi do czegoś jeszcze bardziej niebezpiecznego - kradzieży tożsamości.
Jeśli atakujący zdobędą wystarczającą ilość danych osobowych, mogą podawać się za kogoś innego. Mogą ubiegać się o nowe konta, a nawet popełniać oszustwa i inne przestępstwa, używając cudzego nazwiska. Szkody spowodowane kradzieżą tożsamości mogą ciągnąć się za daną osobą przez lata, a ich całkowite usunięcie często zajmuje dużo czasu.
Naruszenie Privacy
Istnieje również kwestia przestrzeni osobistej. Kiedy atakujący włamują się na konto, nie widzą tylko numerów i haseł, ale uzyskują dostęp do prywatnych szczegółów. Takie rzeczy jak prywatne zdjęcia i dane osobowe mogą zostać ujawnione. To poważne naruszenie prywatności. Pomysł, że ktoś może przeglądać rozmowy lub pliki bez pozwolenia, jest niepokojący i niepokojący dla każdego zaangażowanego.
Jak użytkownicy mogą chronić się przed fałszowaniem danych uwierzytelniających?
Użytkownicy potrzebują silnej ochrony przed upychaniem danych uwierzytelniających, w tym zdrowych haseł i innych metod, takich jak uwierzytelnianie dwuskładnikowe lub uwierzytelnianie wieloskładnikowe.
Korzystanie z VPN (Virtual Private Network) może dodać dodatkową warstwę bezpieczeństwa poprzez maskowanie adresu IP, utrudniając hakerom śledzenie Twojej aktywności online lub atakowanie Cię za pomocą ataków typu credential stuffing. Używanie unikalnych haseł dla każdej witryny lub usługi może wydawać się kłopotliwe, ale menedżery haseł to ułatwiają.
2FA jest również możliwe w przypadku wielu kont online. Używaj go wszędzie tam, gdzie możesz. Nawet jeśli komuś uda się wykraść hasło, 2FA stawia dodatkową barierę. Zwykle oznacza to wprowadzenie kodu wysłanego na telefon lub e-mail, co utrudnia atakującym niezauważone włamanie (chyba że są już na Twoim koncie e-mail).
Pomaga również być na bieżąco. Skaner śladów cyfrowych oferuje monitorowanieDark Web i nie tylko, umożliwiając sprawdzenie, czy ich adresy e-mail lub dane uwierzytelniające zostały ujawnione w wyniku znanych naruszeń danych. Jest to przydatny sposób, aby wyprzedzić zagrożenia i wiedzieć, kiedy nadszedł czas na aktualizację haseł, a także łatwo jest wyszukać swój adres e-mail i zobaczyć, gdzie pojawia się w wyciekach.
Powiązane artykuły:
Twój numer ubezpieczenia społecznego został już ujawniony - co teraz?
Myślę, że mój telefon został zhakowany | Pomocy! Oznaki zhakowania telefonu
Zagrożenia związane ze sztuczną inteligencją i cyberbezpieczeństwem