Με τόσους πολλούς ιστότοπους και εφαρμογές που απαιτούν μοναδικά διαπιστευτήρια χρήστη, δηλαδή όνομα χρήστη και κωδικό πρόσβασης, μπορεί να είναι δελεαστικό να χρησιμοποιείτε τα ίδια διαπιστευτήρια σε όλες αυτές τις πλατφόρμες.
Στην πραγματικότητα, σύμφωνα με την Ετήσια Έκθεση Έκθεσης Ταυτότητας 2022 από το SpyCloud, η οποία ανέλυσε περισσότερα από 15 δισεκατομμύρια παραβιασμένα διαπιστευτήρια διαθέσιμα σε παράνομους ιστότοπους εγκληματικών πράξεων, διαπιστώθηκε ότι το 65 τοις εκατό των παραβιασμένων κωδικών πρόσβασης χρησιμοποιήθηκαν για τουλάχιστον δύο λογαριασμούς.
Για τους χρήστες που επαναχρησιμοποιούν διαπιστευτήρια σε διαφορετικές πλατφόρμες, μπορεί να φαίνεται σαν ένας έξυπνος τρόπος για να αποφύγουν να ξεχάσουν τους κωδικούς πρόσβασης, αλλά στην πραγματικότητα, είναι μια καταστροφή που περιμένει να συμβεί.
Σε περίπτωση που ένα από τα συστήματα παραβιαστεί και τα διαπιστευτήριά σας καταγραφούν, όλοι οι άλλοι λογαριασμοί που χρησιμοποιούν τα ίδια διαπιστευτήρια κινδυνεύουν να παραβιαστούν. Έχοντας υπόψη ότι τα παραβιασμένα διαπιστευτήρια πωλούνται φτηνά στον σκοτεινό ιστό, μπορεί εύκολα να γίνετε θύμα γεμίσματος διαπιστευτηρίων.
Η γέμιση διαπιστευτηρίων είναι μια κυβερνοεπίθεση όπου κακόβουλοι παράγοντες χρησιμοποιούν κλεμμένα διαπιστευτήρια για έναν διαδικτυακό λογαριασμό ή σύστημα για να προσπαθήσουν να αποκτήσουν πρόσβαση σε άλλους άσχετους διαδικτυακούς λογαριασμούς ή συστήματα.
Ένα παράδειγμα αυτού είναι ένας κακόβουλος παράγοντας που αποκτά πρόσβαση στο όνομα χρήστη και τον κωδικό πρόσβασής σας για τον λογαριασμό σας στο Twitter και χρησιμοποιεί αυτά τα παραβιασμένα διαπιστευτήρια για να προσπαθήσει να αποκτήσει πρόσβαση σε έναν λογαριασμό Paypal.
Σε περίπτωση που χρησιμοποιείτε τα ίδια διαπιστευτήρια στο Twitter και στο Paypal, ο λογαριασμός σας στο Paypal θα καταληφθεί λόγω παραβίασης των διαπιστευτηρίων σας στο Twitter.
Σε περίπτωση που χρησιμοποιείτε τα διαπιστευτήριά σας Twitter σε πολλούς διαδικτυακούς λογαριασμούς, αυτοί οι διαδικτυακοί λογαριασμοί ενδέχεται επίσης να παραβιαστούν. Μια τέτοια επίθεση είναι γνωστή ως γέμιση διαπιστευτηρίων και εκμεταλλεύεται το γεγονός ότι πολλοί χρήστες επαναχρησιμοποιούν διαπιστευτήρια σε πολλούς διαδικτυακούς λογαριασμούς.
Κακόβουλοι παράγοντες που πραγματοποιούν επιθέσεις πλήρωσης διαπιστευτηρίων συνήθως χρησιμοποιούν bots για να αυτοματοποιήσουν και να κλιμακώσουν τη διαδικασία. Αυτό τους επιτρέπει να χρησιμοποιούν μεγάλο αριθμό παραβιασμένων διαπιστευτηρίων και να στοχεύουν πολλαπλές διαδικτυακές πλατφόρμες. Με τα διαπιστευτήρια που έχουν διαρρεύσει από παραβιάσεις δεδομένων και επίσης να πωλούνται στον σκοτεινό ιστό, οι επιθέσεις γεμίσματος διαπιστευτηρίων έχουν γίνει διαδεδομένες.
Πίνακας περιεχομένων
Πώς λειτουργεί το Credential Stuffing
Μια επίθεση πλήρωσης διαπιστευτηρίων ξεκινά με την απόκτηση διαπιστευτηρίων που έχουν παραβιαστεί. Αυτά τα ονόματα χρήστη και οι κωδικοί πρόσβασης μπορούν να αγοραστούν στο σκοτεινό ιστό, να αποκτηθούν πρόσβαση από ιστότοπους απόρριψης κωδικών πρόσβασης ή να ληφθούν από παραβιάσεις δεδομένων και επιθέσεις ηλεκτρονικού ψαρέματος (phishing).
Το επόμενο βήμα περιλαμβάνει τη δημιουργία ρομπότ για τον έλεγχο των κλεμμένων διαπιστευτηρίων σε διαφορετικούς ιστότοπους. Τα αυτοματοποιημένα ρομπότ είναι το βασικό εργαλείο στις επιθέσεις γεμίσματος διαπιστευτηρίων, καθώς τα ρομπότ μπορούν να εκτελούν κρυφά γέμιση διαπιστευτηρίων χρησιμοποιώντας μεγάλο αριθμό διαπιστευτηρίων σε πολλούς ιστότοπους σε υψηλές ταχύτητες.
Η πρόκληση αποκλεισμού μιας διεύθυνσης IP μετά από πολλές αποτυχημένες προσπάθειες σύνδεσης αποφεύγεται επίσης με τη χρήση ρομπότ.
Όταν ξεκινά μια επίθεση πλήρωσης διαπιστευτηρίων, εκκινούνται επίσης αυτοματοποιημένες διαδικασίες για την παρακολούθηση για επιτυχημένες συνδέσεις παράλληλα με την επίθεση πλήρωσης διαπιστευτηρίων. Με αυτόν τον τρόπο, οι εισβολείς αποκτούν εύκολα διαπιστευτήρια που λειτουργούν σε συγκεκριμένους διαδικτυακούς ιστότοπους και τα χρησιμοποιούν για να αποκτήσουν έναν λογαριασμό στις πλατφόρμες.
Από τη στιγμή που οι εισβολείς έχουν πρόσβαση σε έναν λογαριασμό, το τι μπορούν να κάνουν με αυτόν είναι στη διακριτική τους ευχέρεια. Οι εισβολείς μπορούν να πουλήσουν τα διαπιστευτήρια σε άλλους εισβολείς, να κλέψουν ευαίσθητες πληροφορίες από τον λογαριασμό, να δεσμεύσουν την ταυτότητα ή να χρησιμοποιήσουν τον λογαριασμό για να πραγματοποιήσουν ηλεκτρονικές αγορές σε περίπτωση που κάποιος τραπεζικός λογαριασμός παραβιαστεί.
Γιατί οι επιθέσεις πλήρωσης διαπιστευτηρίων είναι αποτελεσματικές
Το Credential Stuffing είναι μια επίθεση στον κυβερνοχώρο με πολύ χαμηλά ποσοστά επιτυχίας. Στην πραγματικότητα, σύμφωνα με την Έκθεση The Economy of Credential Stuffing Attacks από την Insikt Group, η οποία είναι το ερευνητικό τμήμα απειλών του Recorded Future, το μέσο ποσοστό επιτυχίας για επιθέσεις γεμίσματος διαπιστευτηρίων είναι μεταξύ 1 και 3%.
Όσο και αν τα ποσοστά επιτυχίας της είναι χαμηλά, η Akamai Technologies, στην έκθεσή της για την Κατάσταση Διαδικτύου / Ασφάλεια για το 2021, σημείωσε ότι το 2020, η Akamai είδε 193 δισεκατομμύρια επιθέσεις γεμίσματος διαπιστευτηρίων παγκοσμίως.
Ο λόγος για τον υψηλό αριθμό επιθέσεων πλήρωσης διαπιστευτηρίων και γιατί γίνονται όλο και πιο διαδεδομένες οφείλεται στον αριθμό των διαθέσιμων διαπιστευτηρίων που έχουν παραβιαστεί και στην πρόσβαση σε προηγμένα εργαλεία bot που κάνουν τις επιθέσεις γεμίσματος διαπιστευτηρίων πιο αποτελεσματικές και σχεδόν αδιάκριτες από τις προσπάθειες ανθρώπινης σύνδεσης.
Για παράδειγμα, ακόμη και με χαμηλό ποσοστό επιτυχίας μόλις ένα τοις εκατό, εάν ένας εισβολέας έχει 1 εκατομμύριο διαπιστευτήρια που έχουν παραβιαστεί, μπορεί να θέσει σε κίνδυνο περίπου 10.000 λογαριασμούς. Μεγάλοι όγκοι παραβιασμένων διαπιστευτηρίων ανταλλάσσονται στον σκοτεινό ιστό και τέτοιοι μεγάλοι όγκοι παραβιασμένων διαπιστευτηρίων μπορούν να επαναχρησιμοποιηθούν σε πολλές πλατφόρμες.
Αυτοί οι μεγάλοι όγκοι παραβιασμένων διαπιστευτηρίων έχουν ως αποτέλεσμα την αύξηση του αριθμού των παραβιασμένων λογαριασμών. Αυτό, σε συνδυασμό με το γεγονός ότι οι άνθρωποι συνεχίζουν να επαναχρησιμοποιούν τα διαπιστευτήριά τους σε πολλούς διαδικτυακούς λογαριασμούς, οι επιθέσεις πλήρωσης διαπιστευτηρίων γίνονται πολύ αποτελεσματικές.
Γέμισμα διαπιστευτηρίων Vs. Επιθέσεις Brute Force
Παρόλο που η πλήρωση διαπιστευτηρίων και οι επιθέσεις ωμής βίας είναι και οι δύο επιθέσεις κατάληψης λογαριασμού και το Open Web Application Security Project (OWASP) θεωρεί ότι η πλήρωση διαπιστευτηρίων είναι ένα υποσύνολο επιθέσεων ωμής βίας, τα δύο διαφέρουν στον τρόπο με τον οποίο εκτελούνται.
Σε μια επίθεση ωμής βίας, ένας κακόβουλος ηθοποιός προσπαθεί να καταλάβει έναν λογαριασμό μαντεύοντας το όνομα χρήστη ή τον κωδικό πρόσβασης ή και τα δύο. Αυτό γίνεται συνήθως δοκιμάζοντας όσο το δυνατόν περισσότερους συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης χωρίς κανένα πλαίσιο ή ένδειξη για το τι μπορεί να είναι.
Μια ωμή βία μπορεί να χρησιμοποιεί κοινά χρησιμοποιούμενα μοτίβα κωδικών πρόσβασης ή ένα λεξικό με φράσεις κωδικού πρόσβασης που χρησιμοποιούνται συνήθως, όπως Qwerty, κωδικός πρόσβασης ή 12345. Μια επίθεση ωμής βίας μπορεί να πετύχει εάν ο χρήστης χρησιμοποιεί αδύναμους κωδικούς πρόσβασης ή προεπιλεγμένους κωδικούς πρόσβασης συστήματος.
Μια επίθεση γεμίσματος διαπιστευτηρίων, από την άλλη πλευρά, επιχειρεί να καταλάβει έναν λογαριασμό χρησιμοποιώντας παραβιασμένα διαπιστευτήρια που λαμβάνονται από άλλα συστήματα ή διαδικτυακούς λογαριασμούς. Σε μια επίθεση γεμίσματος διαπιστευτηρίων, η επίθεση δεν μαντεύει τα διαπιστευτήρια. Η επιτυχία μιας επίθεσης γεμίσματος διαπιστευτηρίων βασίζεται στο ότι ένας χρήστης θα επαναχρησιμοποιήσει τα διαπιστευτήριά του σε πολλούς διαδικτυακούς λογαριασμούς.
Συνήθως, τα ποσοστά επιτυχίας των επιθέσεων ωμής βίας είναι πολύ χαμηλότερα από τα διαπιστευτήρια πλήρωσης. Οι επιθέσεις ωμής βίας μπορούν να αποτραπούν χρησιμοποιώντας ισχυρούς κωδικούς πρόσβασης. Ωστόσο, η χρήση ισχυρών κωδικών πρόσβασης δεν μπορεί να αποτρέψει το γέμισμα διαπιστευτηρίων σε περίπτωση που ο ισχυρός κωδικός πρόσβασης είναι κοινόχρηστος σε πολλούς λογαριασμούς. Το γέμισμα διαπιστευτηρίων αποτρέπεται με τη χρήση μοναδικών διαπιστευτηρίων σε διαδικτυακούς λογαριασμούς.
Πώς να ανιχνεύσετε επιθέσεις γεμίσματος διαπιστευτηρίων
Οι φορείς απειλών πλήρωσης διαπιστευτηρίων συνήθως χρησιμοποιούν bots που μιμούνται ανθρώπινους πράκτορες και συχνά είναι πολύ δύσκολο να ξεχωρίσουμε μια προσπάθεια σύνδεσης από έναν πραγματικό άνθρωπο και μια από ένα bot. Ωστόσο, εξακολουθούν να υπάρχουν ενδείξεις που μπορούν να σηματοδοτήσουν μια συνεχιζόμενη επίθεση πλήρωσης διαπιστευτηρίων.
Για παράδειγμα, μια ξαφνική αύξηση της επισκεψιμότητας στο διαδίκτυο θα πρέπει να εγείρει υποψίες. Σε μια τέτοια περίπτωση, παρακολουθήστε τις προσπάθειες σύνδεσης στον ιστότοπο και σε περίπτωση αύξησης των προσπαθειών σύνδεσης σε πολλούς λογαριασμούς από πολλές διευθύνσεις IP ή αύξηση του ποσοστού αποτυχίας σύνδεσης, αυτό θα μπορούσε να υποδηλώνει μια συνεχιζόμενη επίθεση γεμίσματος διαπιστευτηρίων.
Ένας άλλος δείκτης επίθεσης γεμίσματος διαπιστευτηρίων είναι ο χρήστης που παραπονιέται ότι κλειδώθηκε έξω από τους λογαριασμούς του ή ότι έλαβε ειδοποιήσεις για αποτυχημένες προσπάθειες σύνδεσης που δεν έγιναν από αυτόν.
Επιπλέον, παρακολουθήστε τη δραστηριότητα των χρηστών και σε περίπτωση που παρατηρήσετε ασυνήθιστη δραστηριότητα χρήστη, όπως αλλαγές στις ρυθμίσεις, πληροφορίες προφίλ, μεταφορές χρημάτων και ηλεκτρονικές αγορές, αυτό θα μπορούσε να σηματοδοτήσει μια επίθεση γεμίσματος διαπιστευτηρίων.
Πώς να προστατευτείτε από το γέμισμα διαπιστευτηρίων
Υπάρχουν πολλά μέτρα που μπορούν να ληφθούν για να αποφευχθεί το θύμα επιθέσεων πλήρωσης διαπιστευτηρίων. Αυτό περιλαμβάνει:
#1. Αποφύγετε την επαναχρησιμοποίηση των ίδιων διαπιστευτηρίων σε πολλούς λογαριασμούς
Το γέμισμα διαπιστευτηρίων εξαρτάται από το ότι ένας χρήστης μοιράζεται τα διαπιστευτήρια σε πολλούς διαδικτυακούς λογαριασμούς. Αυτό μπορεί εύκολα να αποφευχθεί χρησιμοποιώντας μοναδικά διαπιστευτήρια σε διαφορετικούς διαδικτυακούς λογαριασμούς.
Με τους διαχειριστές κωδικών πρόσβασης όπως το Google Password Manager, οι χρήστες εξακολουθούν να μπορούν να χρησιμοποιούν μοναδικούς και πολύ κωδικούς πρόσβασης χωρίς να ανησυχούν μήπως ξεχάσουν τα διαπιστευτήριά τους. Οι εταιρείες μπορούν επίσης να το επιβάλλουν αυτό αποτρέποντας τη χρήση email ως ονομάτων χρήστη. Με αυτόν τον τρόπο, οι χρήστες είναι πιο πιθανό να χρησιμοποιούν μοναδικά διαπιστευτήρια σε διαφορετικές πλατφόρμες.
#2. Χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA)
Ο έλεγχος ταυτότητας πολλαπλών παραγόντων είναι η χρήση πολλαπλών μεθόδων για τον έλεγχο ταυτότητας ενός χρήστη που προσπαθεί να συνδεθεί. Αυτό μπορεί να εφαρμοστεί συνδυάζοντας τις παραδοσιακές μεθόδους ελέγχου ταυτότητας ενός ονόματος χρήστη και ενός κωδικού πρόσβασης, μαζί με έναν μυστικό κωδικό ασφαλείας που κοινοποιείται στους χρήστες μέσω email ή μηνύματος κειμένου για περαιτέρω επιβεβαίωση της ταυτότητάς τους. Αυτό είναι πολύ αποτελεσματικό στην αποφυγή γεμίσματος διαπιστευτηρίων καθώς προσθέτει ένα επιπλέον επίπεδο ασφάλειας.
Μπορεί ακόμη και να σας ενημερώσει όταν κάποιος προσπαθεί να παραβιάσει τον λογαριασμό σας, καθώς θα λάβετε έναν κωδικό ασφαλείας χωρίς να υποβάλετε αίτημα για έναν. Το MFA είναι τόσο αποτελεσματικό που μια μελέτη της Microsoft έδειξε ότι οι διαδικτυακοί λογαριασμοί έχουν 99,9 τοις εκατό λιγότερες πιθανότητες να παραβιαστούν εάν χρησιμοποιούν MFA.
#3. Δακτυλικά αποτυπώματα συσκευής
Το δακτυλικό αποτύπωμα συσκευής μπορεί να χρησιμοποιηθεί για να συσχετίσει την πρόσβαση σε έναν διαδικτυακό λογαριασμό με μια συγκεκριμένη συσκευή. Το δακτυλικό αποτύπωμα συσκευής προσδιορίζει τη συσκευή που χρησιμοποιείται για πρόσβαση σε έναν λογαριασμό χρησιμοποιώντας πληροφορίες όπως το μοντέλο και ο αριθμός της συσκευής, το λειτουργικό σύστημα που χρησιμοποιείται, η γλώσσα και η χώρα, μεταξύ άλλων.
Αυτό δημιουργεί ένα μοναδικό δακτυλικό αποτύπωμα συσκευής το οποίο στη συνέχεια συσχετίζεται με έναν λογαριασμό χρήστη. Δεν επιτρέπεται η πρόσβαση στο λογαριασμό χρησιμοποιώντας διαφορετική συσκευή χωρίς άδεια από τη συσκευή που σχετίζεται με τον λογαριασμό.
#4. Παρακολούθηση για διαρροή κωδικών πρόσβασης
Όταν οι χρήστες προσπαθούν να δημιουργήσουν ονόματα χρήστη και κωδικούς πρόσβασης για μια διαδικτυακή πλατφόρμα αντί απλώς να ελέγξουν την ισχύ των κωδικών πρόσβασης, τα διαπιστευτήρια μπορούν να αντιπαραβληθούν έναντι δημοσιευμένων κωδικών πρόσβασης που διέρρευσαν. Αυτό βοηθά στην αποτροπή της χρήσης διαπιστευτηρίων που μπορούν αργότερα να χρησιμοποιηθούν.
Οι οργανισμοί μπορούν να εφαρμόσουν λύσεις που παρακολουθούν τα διαπιστευτήρια των χρηστών έναντι διαπιστευτηρίων που έχουν διαρρεύσει στον σκοτεινό ιστό και να ειδοποιούν τους χρήστες κάθε φορά που εντοπίζεται αντιστοίχιση. Στη συνέχεια, οι χρήστες μπορούν να κληθούν να επαληθεύσουν την ταυτότητά τους μέσω μιας ποικιλίας μεθόδων, να αλλάξουν τα διαπιστευτήρια και επίσης να εφαρμόσουν MFA για την περαιτέρω προστασία του λογαριασμού τους
#5. Κατακερματισμός διαπιστευτηρίων
Αυτό περιλαμβάνει την κωδικοποίηση των διαπιστευτηρίων χρήστη προτού αποθηκευτούν σε μια βάση δεδομένων. Αυτό βοηθά στην προστασία από την κακή χρήση των διαπιστευτηρίων σε περίπτωση παραβίασης δεδομένων των συστημάτων, καθώς τα διαπιστευτήρια θα αποθηκευτούν σε μορφή που δεν μπορεί να χρησιμοποιηθεί.
Αν και αυτή δεν είναι αλάνθαστη μέθοδος, μπορεί να δώσει στους χρήστες χρόνο να αλλάξουν τους κωδικούς πρόσβασης σε περίπτωση παραβίασης δεδομένων.
Παραδείγματα επιθέσεων γεμίσματος διαπιστευτηρίων
Μερικά αξιοσημείωτα παραδείγματα επιθέσεων πλήρωσης διαπιστευτηρίων περιλαμβάνουν:
- Η κλοπή περισσότερων από 500.000 διαπιστευτηρίων Zoom το 2020. Αυτή η επίθεση γεμίσματος διαπιστευτηρίων εκτελέστηκε χρησιμοποιώντας ονόματα χρήστη και κωδικούς πρόσβασης που ελήφθησαν από διάφορα φόρουμ σκοτεινού ιστού, με διαπιστευτήρια που ελήφθησαν από επιθέσεις που χρονολογούνται από το 2013. Τα κλεμμένα διαπιστευτήρια ζουμ έγιναν διαθέσιμα στο σκοτάδι web και πωλούνται φτηνά σε πρόθυμους αγοραστές
- Συμβιβασμός σε χιλιάδες λογαριασμούς χρηστών της Υπηρεσίας Εσόδων του Καναδά (CRA). Το 2020, περίπου 5500 λογαριασμοί CRA παραβιάστηκαν σε δύο ξεχωριστές επιθέσεις διαπιστευτηρίων με αποτέλεσμα οι χρήστες να μην μπορούν να έχουν πρόσβαση στις υπηρεσίες που προσφέρει ο CRA.
- Συμβιβασμός 194.095 λογαριασμών χρηστών The North Face. Η North Face είναι μια εταιρεία που πουλά αθλητικά ρούχα και υπέστη επίθεση διαπιστευτηρίων τον Ιούλιο του 2022. Η επίθεση είχε ως αποτέλεσμα τη διαρροή του πλήρους ονόματος, του αριθμού τηλεφώνου, του φύλου, των πόντων αφοσίωσης, της διεύθυνσης χρέωσης και αποστολής, της ημερομηνίας δημιουργίας λογαριασμού, και ιστορικό αγορών.
- Επίθεση πλήρωσης διαπιστευτηρίων στο Reddit το 2019. Αρκετοί χρήστες του Reddit κλειδώθηκαν από τους λογαριασμούς τους αφού τα διαπιστευτήριά τους παραβιάστηκαν μέσω επιθέσεων πλήρωσης διαπιστευτηρίων.
Αυτές οι επιθέσεις υπογραμμίζουν τη σημασία της ανάγκης να προστατευτείτε από παρόμοιες επιθέσεις.
συμπέρασμα
Μπορεί να έχετε συναντήσει πωλητές διαπιστευτηρίων σε ιστότοπους ροής όπως το Netflix, το Hulu και το disney+ ή διαδικτυακές υπηρεσίες όπως το Grammarly, το Zoom και το Turnitin, μεταξύ άλλων. Από πού πιστεύετε ότι οι πωλητές παίρνουν τα διαπιστευτήρια;
Λοιπόν, τέτοια διαπιστευτήρια πιθανότατα αποκτώνται μέσω επιθέσεων πλήρωσης διαπιστευτηρίων. Εάν χρησιμοποιείτε τα ίδια διαπιστευτήρια σε πολλούς διαδικτυακούς λογαριασμούς, είναι καιρός να τα αλλάξετε προτού γίνετε θύμα.
Για να προστατεύσετε περαιτέρω τον εαυτό σας, εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων σε όλους τους διαδικτυακούς λογαριασμούς σας και αποφύγετε την αγορά παραβιασμένων διαπιστευτηρίων, καθώς αυτό δημιουργεί ένα ευνοϊκό περιβάλλον για επιθέσεις πλήρωσης διαπιστευτηρίων.