С толкова много уебсайтове и приложения, изискващи уникални потребителски идентификационни данни, тоест потребителско име и парола, може да се изкуши да използвате едни и същи идентификационни данни във всички тези платформи.
Всъщност, според Годишния доклад за разкриване на самоличността за 2022 г. от SpyCloud, който анализира повече от 15 милиарда компрометирани идентификационни данни, налични в престъпни подземни сайтове, беше установено, че 65 процента от нарушените пароли са използвани за поне два акаунта.
За потребителите, които използват повторно идентификационни данни на различни платформи, това може да изглежда като гениален начин да се избегне забравянето на пароли, но в действителност това е бедствие, което чака да се случи.
В случай, че една от системите е компрометирана и вашите идентификационни данни са заловени, всички други акаунти, използващи същите идентификационни данни, са изложени на риск от компрометиране. Като имате предвид, че компрометираните идентификационни данни се продават евтино в тъмната мрежа, лесно можете да станете жертва на пълнене на идентификационни данни.
Пълненето на идентификационни данни е кибератака, при която злонамерените участници използват откраднати идентификационни данни за онлайн акаунт или система, за да се опитат да получат достъп до други несвързани онлайн акаунти или системи.
Пример за това е злонамерен играч, който получава достъп до вашето потребителско име и парола за вашия акаунт в Twitter и използва тези компрометирани идентификационни данни, за да се опита да получи достъп до акаунт в Paypal.
В случай, че използвате едни и същи идентификационни данни в Twitter и Paypal, акаунтът ви в Paypal ще бъде поет поради нарушаване на вашите идентификационни данни в Twitter.
В случай, че използвате идентификационните си данни за Twitter в множество онлайн акаунти, тези онлайн акаунти също може да бъдат компрометирани. Такава атака е известна като пълнене на идентификационни данни и използва факта, че много потребители използват повторно идентификационни данни в множество онлайн акаунти.
Злонамерените участници, извършващи атаки с пълнене на идентификационни данни, обикновено използват ботове за автоматизиране и мащабиране на процеса. Това им позволява да използват голям брой компрометирани идентификационни данни и да се насочват към множество онлайн платформи. С изтичането на компрометирани идентификационни данни от пробиви на данни и продажбата им в тъмната мрежа, атаките с пълнене на идентификационни данни станаха преобладаващи.
Съдържание
Как работи пълненето на идентификационни данни
Атаката с пълнене на идентификационни данни започва с придобиването на компрометирани идентификационни данни. Тези потребителски имена и пароли могат да бъдат закупени в тъмната мрежа, достъпни от сайтове за изхвърляне на пароли или получени от пробиви на данни и фишинг атаки.
Следващата стъпка включва настройка на ботове за тестване на откраднатите идентификационни данни на различни уебсайтове. Автоматизираните ботове са основният инструмент при атаки с пълнене на идентификационни данни, тъй като ботовете могат скрито да извършват пълнене на идентификационни данни, използвайки голям брой идентификационни данни срещу много сайтове при високи скорости.
Предизвикателството на IP адрес да бъде блокиран след няколко неуспешни опита за влизане също се избягва чрез използване на ботове.
Когато се стартира атака с пълнене на идентификационни данни, автоматизираните процеси за наблюдение за успешни влизания също се стартират успоредно с атаката с пълнене на идентификационни данни. По този начин нападателите лесно получават идентификационни данни, които работят на определени онлайн сайтове и ги използват, за да поемат акаунт в платформите.
След като нападателите имат достъп до акаунт, какво могат да направят с него зависи от тяхна преценка. Нападателите могат да продадат идентификационните данни на други нападатели, да откраднат чувствителна информация от акаунта, да ангажират самоличност или да използват акаунта за извършване на онлайн покупки в случай, че банкова сметка е компрометирана.
Защо атаките с пълнене на идентификационни данни са ефективни
Credential Stuffing е кибератака с много ниски нива на успех. Всъщност, според доклада The Economy of Credential Stuffing Attacks от Insikt Group, който е подразделението за изследване на заплахите на Recorded Future, средният процент на успеваемост за атаки с пълнене на идентификационни данни е между един до три процента.
Колкото и нивата на успеваемост да са ниски, Akamai Technologies в своя доклад за състоянието на интернет/сигурността за 2021 г. отбеляза, че през 2020 г. Akamai е видял 193 милиарда атаки с пълнене на идентификационни данни в световен мащаб.
Причината за големия брой атаки с пълнене на идентификационни данни и защо те стават все по-разпространени е поради броя на наличните компрометирани идентификационни данни и достъпа до усъвършенствани инструменти за ботове, които правят атаките с пълнене на идентификационни данни по-ефективни и почти неразличими от опитите за влизане от хора.
Например, дори при нисък процент на успех от само един процент, ако хакер има 1 милион компрометирани идентификационни данни, той може да компрометира около 10 000 акаунта. Големи обеми от компрометирани идентификационни данни се търгуват в тъмната мрежа и такива големи обеми от компрометирани идентификационни данни могат да се използват повторно на множество платформи.
Тези големи обеми компрометирани идентификационни данни водят до увеличаване на броя на компрометирани акаунти. Това, съчетано с факта, че хората продължават да използват повторно своите идентификационни данни в множество онлайн акаунти, атаките с пълнене на идентификационни данни стават много ефективни.
Пълнене на идентификационни данни Vs. Атаки с груба сила
Въпреки че пълненето на идентификационни данни и атаките с груба сила са атаки за поглъщане на акаунт и Open Web Application Security Project (OWASP) счита пълненето на идентификационни данни за подгрупа от атаки с груба сила, двете се различават по начина, по който се изпълняват.
При атака с груба сила злонамерен играч се опитва да превземе акаунт, като познае потребителското име или паролата или и двете. Това обикновено се прави чрез изпробване на възможно най-много комбинации от потребителско име и парола без контекст или представа какви могат да бъдат.
Грубата сила може да използва често използвани шаблони за пароли или речник на често използвани пароли като Qwerty, парола или 12345. Атаката с груба сила може да успее, ако потребителят използва слаби пароли или системни пароли по подразбиране.
Атака с пълнене на идентификационни данни, от друга страна, се опитва да поеме акаунт чрез използване на компрометирани идентификационни данни, получени от други системи или онлайн акаунти. При атака с пълнене на идентификационни данни, атаката не отгатва идентификационните данни. Успехът на атаката с пълнене на идентификационни данни зависи от това, че потребителят използва повторно своите идентификационни данни в множество онлайн акаунти.
Обикновено успеваемостта на атаките с груба сила е много по-ниска от пълненето на идентификационни данни. Атаките с груба сила могат да бъдат предотвратени чрез използване на силни пароли. Използването на силни пароли обаче не може да предотврати препълването на идентификационни данни, в случай че силната парола се споделя между множество акаунти. Пълненето на идентификационни данни се предотвратява чрез използване на уникални идентификационни данни в онлайн акаунти.
Как да открием атаки за пълнене на идентификационни данни
Актьорите на заплахи за пълнене на идентификационни данни обикновено използват ботове, които имитират човешки агенти и често е много трудно да се разграничи опит за влизане от истински човек и такъв от бот. Въпреки това все още има признаци, които могат да сигнализират за продължаваща атака с пълнене на идентификационни данни.
Например, внезапното увеличение на уеб трафика трябва да предизвика подозрение. В такъв случай наблюдавайте опитите за влизане в уебсайта и в случай че има увеличение на опитите за влизане в множество акаунти от множество IP адреси или увеличаване на процента на неуспешно влизане, това може да означава продължаваща атака с пълнене на идентификационни данни.
Друг индикатор за атака с пълнене на идентификационни данни е оплакването на потребителя, че е блокиран от акаунтите си или получаването на известия за неуспешни опити за влизане, които не са направени от тях.
Освен това наблюдавайте активността на потребителите и в случай, че забележите необичайна активност на потребителите, като например извършване на промени в техните настройки, информация за профили, парични преводи и онлайн покупки, това може да сигнализира за атака с пълнене на идентификационни данни.
Как да се предпазите от пълнене на идентификационни данни
Има няколко мерки, които могат да бъдат предприети, за да не станете жертва на атаки с пълнене на идентификационни данни. Това включва:
#1. Избягвайте повторното използване на едни и същи идентификационни данни в множество акаунти
Пълненето на идентификационни данни зависи от потребител, който споделя идентификационни данни в множество онлайн акаунти. Това може лесно да се избегне чрез използване на уникални идентификационни данни в различни онлайн акаунти.
С мениджърите на пароли, като Google Password Manager, потребителите все още могат да използват уникални и много пароли, без да се притесняват, че ще забравят идентификационните си данни. Компаниите също могат да наложат това, като предотвратят използването на имейли като потребителски имена. По този начин е по-вероятно потребителите да използват уникални идентификационни данни на различни платформи.
#2. Използвайте многофакторно удостоверяване (MFA)
Многофакторното удостоверяване е използването на множество методи за удостоверяване на самоличността на потребител, който се опитва да влезе. Това може да се реализира чрез комбиниране на традиционни методи за удостоверяване на потребителско име и парола, заедно с таен код за сигурност, споделен с потребителите чрез имейл или текстово съобщение за допълнително потвърждаване на самоличността им. Това е много ефективно за предотвратяване на препълването на идентификационни данни, тъй като добавя допълнителен слой сигурност.
Може дори да ви уведоми, когато някой се опита да компрометира вашия акаунт, тъй като ще получите код за сигурност, без да правите заявка за такъв. MFA е толкова ефективен, че проучване на Microsoft установи, че онлайн акаунтите са с 99,9 процента по-малка вероятност да бъдат компрометирани, ако използват MFA.
#3. Пръстов отпечатък на устройството
Пръстовият отпечатък на устройството може да се използва за свързване на достъпа до онлайн акаунт с конкретно устройство. Отпечатъкът на устройството идентифицира устройството, използвано за достъп до акаунт, като използва информация като модел и номер на устройството, използваната операционна система, език и държава, наред с други.
Това създава уникален пръстов отпечатък на устройството, който след това се свързва с потребителски акаунт. Достъпът до акаунта чрез друго устройство не е разрешен без разрешение, дадено от устройството, свързано с акаунта.
#4. Следете за изтекли пароли
Когато потребителите се опитват да създадат потребителски имена и пароли за онлайн платформа, вместо просто да проверяват силата на паролите, идентификационните данни могат да бъдат насрещно проверени срещу публикувани изтекли пароли. Това помага да се предотврати използването на идентификационни данни, които по-късно могат да бъдат използвани.
Организациите могат да прилагат решения, които наблюдават потребителските идентификационни данни срещу изтекли идентификационни данни в тъмната мрежа и да уведомяват потребителите, когато се открие съвпадение. След това потребителите могат да бъдат помолени да потвърдят самоличността си чрез различни методи, да променят идентификационните данни и също така да внедрят MFA за допълнителна защита на своя акаунт
#5. Хеширане на идентификационни данни
Това включва кодиране на потребителски идентификационни данни, преди да бъдат съхранени в база данни. Това помага за защита срещу злоупотреба с идентификационни данни в случай на пробив в данните на системите, тъй като идентификационните данни ще бъдат съхранени във формат, който не може да се използва.
Въпреки че това не е надежден метод, той може да даде време на потребителите да променят паролите си в случай на нарушение на данните.
Примери за атаки с пълнене на идентификационни данни
Някои забележителни примери за атаки с пълнене на идентификационни данни включват:
- Кражбата на над 500 000 идентификационни данни за Zoom през 2020 г. Тази атака с пълнене на идентификационни данни беше извършена с помощта на потребителски имена и пароли, получени от различни форуми в тъмната мрежа, като идентификационните данни бяха получени от атаки, датиращи от 2013 г. Откраднатите идентификационни данни за мащабиране бяха предоставени на тъмно уеб и се продава евтино на желаещи купувачи
- Компрометиране на хиляди потребителски акаунти на Канадската агенция за приходите (CRA). През 2020 г. около 5500 акаунта на CRA бяха компрометирани в две отделни атаки с идентификационни данни, което доведе до невъзможност на потребителите да получат достъп до услугите, предлагани от CRA.
- Компрометиране на 194 095 потребителски акаунта на The North Face. The North Face е компания, която продава спортно облекло, и претърпя атака с пълнене на идентификационни данни през юли 2022 г. Атаката доведе до изтичане на пълното име на потребителя, телефонен номер, пол, точки за лоялност, адрес за фактуриране и доставка, дата на създаване на акаунт, и история на покупките.
- Атака с пълнене на идентификационни данни на Reddit през 2019 г. Няколко потребители на Reddit бяха блокирани от своите акаунти, след като техните идентификационни данни бяха компрометирани чрез атаки с пълнене на идентификационни данни.
Тези атаки подчертават важността на необходимостта да се защитите срещу подобни атаки.
Заключение
Може да сте попаднали на продавачи на идентификационни данни за стрийминг сайтове като Netflix, Hulu и disney+ или онлайн услуги като Grammarly, Zoom и Turnitin, наред с други. Откъде мислите, че продавачите получават идентификационните данни?
Е, такива идентификационни данни вероятно се получават чрез атаки с пълнене на идентификационни данни. Ако използвате едни и същи идентификационни данни в множество онлайн акаунти, време е да ги промените, преди да станете жертва.
За да се защитите допълнително, внедрете многофакторно удостоверяване на всичките си онлайн акаунти и избягвайте закупуването на компрометирани идентификационни данни, тъй като това създава благоприятна среда за атаки с пълнене на идентификационни данни.