Słyszeliście już o credential stuffing? Nie? Sprawdźcie swoje hasła
Znacie to skądś? Siadamy do laptopa i logujemy się do banku, potem do sklepu internetowego i na pocztę elektroniczną, używając tych samych danych. Niestety jest to najgorsza metoda zabezpieczania danych, która naraża nas na cyberatak. Firmy i ich klienci tracą miliardy dolarów rocznie przez ataki z użyciem tzw. wypychania danych uwierzytelniających (credential stuffing). Przestępcy praktykujący tę metodę wykorzystują skradzione informacje, które dają im dostęp do konta ofiary w jednym serwisie, celem uzyskania dostępu do jej profili również na innych stronach.
Wypychanie danych uwierzytelniających to jedna z najpopularniejszych i najbardziej skutecznych metod przeprowadzania cyberataków. Wskaźnik ich powodzenia może wynosić od 0,1 proc. do 4 proc.
Skutki ataków typu credential stuffing mogą być bardzo dotkliwe. Ich ofiarami padają zarówno prywatni użytkownicy, jak i duże firmy. Przejęte w wyniku wypychania danych informacje i konta mogą posłużyć cyberprzestępcom do prowadzania innych rodzajów cyberataków, na przykład z wykorzystaniem phishingu – mówi Jolanta Malak, dyrektorka Fortinet w Polsce.
I dodaje, że mając nieograniczony dostęp do skrzynki e-mail swojej ofiary, hakerzy zyskują wówczas możliwość bardzo wiarygodnego podszywania się pod nią w celu wyłudzania pieniędzy albo zebrania nowych danych osobowych.
Powielanie danych do logowania na różnych platformach to błąd
Podstawowym błędem wielu użytkowników internetu jest stosowanie tych samych danych do logowania na różnych platformach. Według badań TechReport, aż 65 proc. internautów powiela swoje hasła w wielu serwisach online. To duże ryzyko w kontekście cyfrowego bezpieczeństwa. Nawyk ten jest bowiem podstawową przyczyną powodzenia wykorzystywania techniki credential stuffing przez cyberprzestępców.
Utrzymywanie się popularności tego typu ataków związane jest również, z tym że są one stosunkowo proste do zrealizowania. Oprogramowanie i sprzęt potrzebny do ich przeprowadzenia są powszechnie dostępne, nie wymagają więc dużych inwestycji, a przeznaczane na nie środki zazwyczaj zamykają się w ok. 100 dol., wydawanych jedynie na pozyskanie zestawów danych uwierzytelniających.
W internecie istnieje bowiem wiele baz zawierających zebrane nielegalnie hasła, adresy e-mail oraz nazwy użytkowników. Jedna z nich Collection 1-5 zawiera ich ponad 22 mld.
Celem ataków z użyciem wypychania danych uwierzytelniających stali się w 2020 r. użytkownicy popularnego serwisu streamingowego. Hakerzy wykorzystali wówczas 380 mln rekordów, pozyskanych wcześniej z nielegalnych źródeł, do prób przejęcia istniejących w jego obrębie profili internautów.
W ten sam sposób w 2022 r. cyberprzestępcy uzyskali dostęp do prawie 195 tys. kont klientów znanej firmy odzieżowej. Oba ataki były możliwe do przeprowadzenia głównie za sprawą powtarzalności danych uwierzytelniających używanych przez internautów. Łatwy dostęp do nich oraz prostota realizacji tej metody sprawiają, że jest ona chętnie wykorzystywana przez cyberprzestępców - tłumaczy Jolanta Malak.
Ataki brute force oraz rozpylanie haseł
Cyberprzestępcy stosują też inne, zbliżone do credential stuffingu metody, takie jak ataki brute force oraz rozpylanie haseł. W przypadku pierwszej metody hakerzy podejmują próby uzyskania dostępu do konta ofiary, wykorzystując generatory powszechnie stosowanych nazw użytkowników i haseł. Stworzone w ten sposób dane są wpisywane do panelu logowania do momentu, aż atak nie zakończy się powodzeniem.
Przy rozpylaniu haseł cyberprzestępcy próbują dopasować hasło do zebranych i zweryfikowanych wcześniej adresów e-mail. Najczęściej wpisują stosowane przez użytkowników kombinacje kodów zabezpieczających, aż uda im się osiągnąć sukces.
Zarówno w przypadku ataków typu brute force, jak i rozpylania haseł, hakerzy próbują odgadnąć dane uwierzytelniające użytkownika, bazując na znajomości powszechnie stosowanych haseł i loginów. W przypadku rozpylania haseł cyberprzestępcy mają już tak naprawdę połowę informacji, których potrzebują. Dlatego warto mieć na uwadze, że bezpieczne systemy nigdy nie powinny zezwalać na używanie adresów poczty elektronicznej jako nazw użytkowników – wskazuje Jolanta Malak.
W jej ocenie wykrycie próby ataku brute froce lub rozpylania haseł jest stosunkowo proste. Uwagę użytkownika na pewno powinien wzbudzić komunikat o nietypowej liczbie prób uzyskania dostępu do jego konta. Trudniejsze do zidentyfikowania są jednak ataki typu credential stuffing, gdy podejmowana jest tylko jedna próba logowania. Dlatego, zamiast walczyć ze skutkami takich incydentów, lepiej podjąć działania zapobiegające nieautoryzowanemu dostępowi do kont internetowych.
Więcej wiadomości na temat ataków hakerskich można przeczytać poniżej:
Jak można się zabezpieczyć przed atakami w internecie
Ze względu na charakter działań cyberprzestępców, ataki z użyciem wypychania danych uwierzytelniających są trudne do wykrycia. Na szczęście internauci mogą skutecznie im zapobiegać. Podstawowym działaniem w tym zakresie jest:
- tworzenie silnych, unikalnych i złożonych haseł,
- włączenie wieloskładnikowego uwierzytelniania, które może obejmować m.in. skanowanie odcisków palców, wprowadzenie kodu bezpieczeństwa wysłanego na numer telefonu lub e-mailowe potwierdzenie logowania. Dzięki temu uzyskanie nieautoryzowanego dostępu do kont internauty staje się bardziej skomplikowane, a zdobyte z innego źródła informacje, które mogłyby zostać wykorzystane podczas prób przejęcia konta, stają się niewystarczające,
- wdrożenie specjalistycznych rozwiązań, czyli narzędzia monitorujące sieć pod kątem złośliwych aktywności, takich jak logowanie z nieautoryzowanego adresu IP.