Заполнение учетных данных - это тип кибератаки, который включает в себя «вброс» украденных учетных данных на несколько веб-сайтов.
Такие инструменты, как боты, позволили хакерам автоматизировать загрузку, позволяя им проверять миллионы учетных данных для входа на десятки сайтов за короткий период. Вот что вам нужно знать об этой атаке и простых способах защиты.
Что такое Credential Stuffing?
Заполнение учетных данных предполагает размещение большого количества украденных паролей и имен пользователей на нескольких веб-сайтах. Их данные зависят от монстров-взломов и утечек в даркнете. Цель состоит в том, чтобы использовать миллионы комбинаций логина и имени пользователя из предыдущих утечек для проникновения на другие веб-сайты.
Знаете ли вы, что повторное использование # пароли и отсутствие #multifactorauthentication проложить путь для #credentialstuffing атаки. Фактически, ФБР заявляет, что 41% всех атак на финансовый сектор в период с 2017 по 2020 годы были вызваны вбросом учетных данных. https://t.co/h99KM6RPL7pic.twitter.com/4IEEEwbZ2n
- Саймон Хеслоп (@ supersi101) 9 декабря 2020 г.
Для успешной атаки они полагаются на одну человеческую ошибку - используя одно и то же имя пользователя и / или пароль на нескольких сайтах. Согласно исследованиям, целых 85 процентов всех пользователей повторно используют свои пароли для разных учетных записей.
И именно такое мышление позволяет киберпреступникам использовать учетные данные для входа в систему с одного взлома веб-сайта для доступа к другим службам.
Уровень успеха довольно низок - от 0,1 до примерно 2 процентов. Это означает, что на каждый миллион проверенных учетных данных для входа на другие веб-сайты можно использовать только около 1000 учетных данных. Но то, что стоит их усилий, - это золотая жила данных, которые они могут собрать со всех учетных записей, в которые они проникают.
Скажем, им удалось взломать около тысячи учетных записей, у которых есть банковская информация или учетные данные кредитной карты. Они могут перекачивать средства или использовать их для совершения других форм мошенничества. Другая личная информация (PII), такая как номера социального страхования или налоговая информация, может использоваться для совершения преступлений, таких как кража личных данных.
Киберпреступники монетизируют все, что находят в каждой учетной записи, что делает атаку оправданной, несмотря на очень низкий коэффициент соответствия логина.
Как проводится атака с начинкой?
Конечно, хакеры не вводят вручную украденные учетные данные по одному в разные веб-сайты, так как им нужны миллионы (или даже миллиарды) украденных учетных данных для входа в систему, чтобы совершить атаку стоило того.
Вместо этого взломанные учетные данные из-за утечки данных загружаются в бот-сети, которые запускают автоматические попытки входа в систему. Затем они используют дополнительные инструменты, чтобы избежать обнаружения.
Связанный: Что такое ботнет и является ли ваш компьютер его частью?
Ботнеты являются основным источником вредоносных программ, программ-вымогателей, спама и т. Д. Но что такое ботнет? Как они возникают? Кто ими управляет? И как их остановить?
Один ботнет может делать тысячи попыток входа в систему в час. Например, атака с заполнением учетных данных в 2016 году использовала ботнет, который отправлял более 270 000 запросов на вход через несколько сайтов в час.
Как можно избежать обнаружения атак с начинкой?
Хотя многие сайты используют меры безопасности для обнаружения нескольких несанкционированных входов в систему, хакеры нашли способы обойти эти меры.
Список прокси используется для отклонения запросов и маскировки источника или, проще говоря, чтобы запросы на вход выглядели так, как будто они поступают из разных мест. Они также используют другие инструменты, чтобы создать впечатление, будто множественные попытки входа поступают из разных браузеров.
Это происходит потому, что несколько попыток входа в систему только из одного типа браузера (например, тысяча в час) выглядят подозрительно и имеют больше шансов быть отмеченными как мошеннические.
Все эти методы имитируют законную активность тысяч пользователей в разных местах. Это делает вектор атаки простым, но трудным для обнаружения.
В чем разница между заполнением учетных данных и атаками методом грубой силы?
Credential Stuffing - это подтип атаки методом грубой силы, который гораздо более эффективен, потому что он более целенаправлен.
Атака методом грубой силы, по сути, предполагает угадывание паролей с использованием различных случайных комбинаций символов. Они используют автоматизированное программное обеспечение, чтобы делать несколько предположений, проверяя несколько возможных комбинаций, пока не будет обнаружен пароль. Это делается без контекста.
#credentialstuffing#cybersecurityminiseries#ntellitechs# инфографика#techpic.twitter.com/IPuiyja79v
- Ntellitechs (@ntellitechs) 7 декабря 2020 г.
Наполнение учетных данных, с другой стороны, использует данные для входа и пароли от предыдущих утечек данных. Они используют пару пароль-имя пользователя из утечки с одного веб-сайта, а затем тестируют ее на других сервисах.
Хотя использование надежных паролей может защитить вас от атак грубой силы, это бесполезно, если вы используете тот же пароль на других веб-сайтах, когда запускается атака с заполнением.
В чем разница между заполнением учетных данных и сбросом учетных данных?
Хотя это может показаться одинаковым, дамп учетных данных - это другой тип атаки, нацеленный на одну точку входа или компьютер с целью проникновения в сеть.
В то время как заполнение учетных данных использует несколько учетных данных для входа из предыдущих нарушений, чтобы попасть в другие веб-сайтов, сброс учетных данных включает в себя попадание на одну машину и извлечение нескольких логинов реквизиты для входа.
Это осуществляется путем доступа к кэшированным учетным данным во многих реестрах компьютера или извлечения учетных данных из базы данных Security Account Manager (SAM). Последний содержит все учетные записи, созданные с паролями, сохраненными в виде хэшей.
Цель атаки сброса учетных данных - закрепиться в сети или получить доступ к другим компьютерам в системе. После получения учетных данных с одной машины хакер может повторно войти в устройство или получить доступ ко всей сети, чтобы нанести еще больший ущерб.
В отличие от заполнения, атака с сбросом учетных данных использует одну точку входа, одну машину с незащищенными уязвимостями для проникновения в сеть.
СВЯЗАННЫЕ С: Что такое демпинг учетных данных? Защитите себя с помощью этих 4 советов
Как защитить себя от атакующей атаки?
Для большинства пользователей лучший и самый простой способ защитить себя - использовать уникальные пароли для каждого веб-сайта или учетной записи. По крайней мере, сделайте это для тех, у кого есть ваша конфиденциальная информация, такая как банковские реквизиты или данные кредитной карты.
Включение двухфакторной аутентификации (2FA) или многофакторной аутентификации (MFA) помогает хакерам усложнить захват учетной записи. Они полагаются на вторичные средства проверки, то есть отправку кода на ваш номер телефона, а также запрос вашего имени пользователя и пароля.
Если вас смущает запоминание нескольких паролей и имен пользователей, вы можете использовать надежный менеджер паролей. Если вы не уверены в их безопасности, ознакомьтесь с безопасные методы, которые используют менеджеры паролей.
Или попробуйте менеджер паролей с открытым исходным кодом.
Защитите свои пароли
Ваш пароль подобен ключу от вашего дома. Он должен быть уникальным, прочным и, что самое главное, всегда хранить его в надежном месте.
Они также должны быть запоминающимися и надежными. Вы можете изучить различные инструменты паролей, которые помогут вам создать уникальные, но запоминающиеся пароли, которые хакерам сложно взломать.
Создайте надежный пароль, который вы сможете вспомнить позже. Используйте эти приложения, чтобы повысить свою безопасность с помощью новых надежных паролей уже сегодня.
- Безопасность
- Интернет-безопасность
Лорейн пишет для журналов, газет и веб-сайтов уже 15 лет. У нее есть степень магистра прикладных медиа-технологий и большой интерес к цифровым медиа, исследованиям в социальных сетях и кибербезопасности.
Подписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!
Еще один шаг…!
Пожалуйста, подтвердите свой адрес электронной почты в электронном письме, которое мы вам только что отправили.
