Credential Stuffing, to automatyczne wstrzykiwanie skradzionej tożsamości użytkownika (zwykle e-maili) i haseł w celu uzyskania nieautoryzowanego dostępu do kont użytkowników. Używając narzędzi automatyzujących, duża liczba (wcześniej złamanych/pozyskanych) danych uwierzytelniających jest automatycznie wprowadzana do aplikacji (zazwyczaj aplikacji internetowej), aż do osiągnięcia sukcesu – zalogowania się. Po przejęciu konta, dane z konta mogą zostać wykradzione, zainicjowane nieuczciwe transakcje lub konto może zostać wykorzystane do innych nieuczciwych działań.
Ważnym czynnikiem umożliwiającym Credential Stuffing jest tendencja użytkowników do ponownego używania haseł w więcej niż jednej aplikacji. W rezultacie złamane dane uwierzytelniające z jednej aplikacji, mogą być używane do uzyskiwania dostępu do innych aplikacji.
Ataki typu Credential Stuffing mogą obejmować wykorzystanie botnetów, które używają automatycznych skryptów do próby uzyskania dostępu do konta, dopóki legalny zestaw poświadczeń nie pozwoli na przejęcie co najmniej jednego konta.
NA CZYM POLEGA ATAK PONOWNEGO WYKORZYSTANIA POŚWIADCZEŃ?
Ponowne wykorzystanie poświadczeń jest problemem wielu organizacji. Użytkownicy są zalewani wymaganiami co do używania złożonych haseł do różnych systemów. Często uciekają się oni do ponownego używania tego samego hasła na wielu kontach, aby mogli łatwo zarządzać swoimi danymi uwierzytelniającymi. Może to powodować poważne problemy z bezpieczeństwem, jeśli poświadczenia te zostaną wykradzione.
W ataku polegającym na ponownym wykorzystaniu poświadczeń osoba atakująca jest w stanie uzyskać ważne poświadczenia dla jednego systemu. Następnie próbuje użyć tych samych poświadczeń w celu złamania zabezpieczeń innych kont/systemów.
JAK WYKRYĆ Credential Stuffing?
Istnieje wiele sposobów na wykrycie ataku typu Credential Stuffing.
- Monitorowanie pod kątem nietypowej liczby prób logowania na konto z jednego punktu końcowego.
- Monitorowanie próby dostępu do wielu kont z jednego punktu końcowego.
- Wykrywanie znanych złośliwych punktów końcowych próbujących wykorzystać dane uwierzytelniające za pośrednictwem ich adresu IP lub technik analizy fingerprintów.
- Wykrywanie użycia oprogramowania automatyzującego w procesie logowania.
- Usuwanie logowania opartego na poświadczeniach i zastąpienie uwierzytelnianiem bez hasła.
JAK ZAPOBIEGAĆ atakom typu Credential Stuffing?
OWASP przedstawia 5 opcji obrony, aby zapobiec atakom Credential Stuffing.
- Uwierzytelnianie wieloskładnikowe, co oznacza, że dostęp do konta wymaga czegoś więcej niż prostego hasła.
- Wieloetapowy proces logowania, który wymaga od atakującego więcej pracy, aby zrozumieć, czy użyte poświadczenia są ważne, czy nie.
- Czarne listy IP, które wymagają od atakującego ciągłej zmiany adresu IP.
- Cyfrowy fingerprint urządzenia, który umożliwia śledzenie tożsamości łączącego się urządzenia, nawet gdy zmienia się jego adres IP.
- Nie zezwalanie na adresy e-mail jako identyfikatory użytkowników. Atak będzie wymagał nie tylko prawidłowego hasła, ale także prawidłowej nazwy użytkownika dla określonej aplikacji.
JAK HAKERZY ZDOBYWAJĄ SKRADZIONE DANE UWIERZYTELNIAJĄCE?
Skradzione dane uwierzytelniające są rutynowo sprzedawane w otwartym Internecie. Są one pozyskiwane przez sprzedawców przy użyciu różnych form ataku – od phishingu przez złośliwe oprogramowanie po kradzież danych na dużą skalę.
JAKIE SĄ PRZYKŁADY incydentów, KTÓRE MIAŁY MIEJSCE Z POWODU Credential Stuffing?
Ataki typu Credential Stuffing są przeprowadzane rutynowo i nieprzerwanie, głównie przeciwko instytucjom finansowym.
