Шта је пуњење акредитива? (и како да се заштитите)

На мрачном вебу је откривено да се продаје око 500 милиона корисничких налога са платформе Zoom, што је последица технике познате као „пуњење акредитивима“. Овај начин је чест међу сајбер криминалцима приликом неовлашћеног приступа корисничким налозима. У наставку ћемо детаљније објаснити шта подразумева „пуњење акредитивима“ и како се можете заштитити од ове претње.

Полазна тачка: Процуреле базе лозинки

Кибернетски напади на онлајн сервисе нису ретка појава. Криминалци често искоришћавају пропусте у безбедносним системима како би дошли до база података које садрже корисничка имена и лозинке. Ове украдене базе података, које садрже приступне акредитиве, често се нуде на продају на мрачном вебу, где криминалци плаћају у биткоинима за приступ овим информацијама.

Узмимо, на пример, да сте некада имали налог на Avast форуму, који је био жртва сајбер напада још 2014. године. У том случају, ваш налог је био угрожен, и криминалци су могли доћи у посед вашег корисничког имена и лозинке за Avast форум. Иако вас је Avast можда контактирао и затражио да промените лозинку за форум, поставља се питање: у чему је проблем?

Проблем настаје због чињенице да велики број корисника има навику да поново користи исте лозинке на различитим веб локацијама. Претпоставимо да су ваши приступни подаци за Avast форум били „[email protected]“ и „ОдличнаЛозинка“. Ако сте исте податке користили за приступ другим веб локацијама, било који криминалац који се докопао ваших процурелих лозинки може лако приступити и тим другим налозима.

Како функционише пуњење акредитивима?

„Пуњење акредитивима“ подразумева коришћење ових већ компромитованих база података са приступним подацима у покушају пријављивања на друге онлајн платформе.

Сајбер криминалци узимају велике базе података које садрже комбинације корисничких имена и лозинки – често милионе акредитива – и покушавају да их искористе за приступ другим веб локацијама. Будући да многи људи користе исту лозинку на више сајтова, неки од тих покушаја ће бити успешни. Овај процес се обично аутоматизује помоћу специјалног софтвера, што омогућава брзо испробавање бројних комбинација приступних података.

Иако звучи технички компликовано, у основи је веома једноставно: једноставно се покушава пријава са већ процурелим акредитивима на другим сервисима. Другим речима, „хакери“ убацују све те акредитиве за пријаву у формулар за пријаву и посматрају шта се дешава. Сигурно је да ће неки од тих покушаја бити успешни.

Ово је један од најчешћих метода које нападачи користе за неовлашћени приступ корисничким налозима. Само током 2018. године, мрежа за испоруку садржаја Akamai забележила је близу 30 милијарди напада пуњењем акредитива.

Како се заштитити?

Заштита од пуњења акредитивима је заправо прилично једноставна и захтева само примену безбедносних пракси које стручњаци за сајбер безбедност препоручују већ годинама. Не постоји магично решење, већ је кључна добра хигијена лозинки. Ево неколико савета:

Избегавајте поновну употребу лозинки: За сваки налог који користите на интернету, користите јединствену лозинку. На тај начин, чак и ако нека од ваших лозинки процури, неће моћи да се искористи за приступ другим веб локацијама. Нападачи могу покушати да убаце ваше акредитиве у друге обрасце за пријаву, али њихов покушај ће бити безуспешан.
Користите Менаџер лозинки: Запамтити јаке и јединствене лозинке за велики број налога је скоро немогуће. Стога, препоручујемо коришћење менаџера лозинки, попут 1Password (плаћена верзија) или Bitwarden (бесплатна и отвореног кода) који ће памтити ваше лозинке уместо вас. Они чак могу и да генеришу јаке лозинке по потреби.
Омогућите двофакторску аутентификацију: Уз двофакторску аутентификацију, осим корисничког имена и лозинке, морате да доставите још неки доказ идентитета – на пример, код који генерише апликација или вам се шаље СМС-ом – сваки пут када се пријављујете на неку веб локацију. Чак и ако нападач поседује ваше корисничко име и лозинку, неће моћи да приступи вашем налогу без тог кода.
Будите обавештени о процурелим лозинкама: Користећи услуге попут Have I Been Pwned?, можете добити обавештење када се ваши акредитиви појаве у некој од процурелих база података.

Како услуге могу да се заштите од пуњења акредитивима?

Иако је на појединцима да преузму одговорност за безбедност својих налога, постоји мноштво начина на које онлајн сервиси могу да се заштите од напада пуњењем акредитива.

Скенирајте процуреле базе података корисничких лозинки: Компаније попут Facebook-a и Netflix-a скенирају процуреле базе података лозинки, упоређујући их са акредитивима за пријаву на сопствене платформе. У случају проналажења подударања, Facebook или Netflix могу затражити од корисника да промени лозинку. Ово је један од начина борбе против пуњења акредитивима.
Понудите двофакторску аутентификацију: Корисници би требало да имају могућност да омогуће двофакторску аутентификацију ради заштите својих налога. За посебно осетљиве сервисе, ово би требало да буде обавезно. Такође, могу захтевати од корисника да кликне на везу за верификацију пријаве из е-поруке, како би потврдили захтев за пријаву.
Захтевајте CAPTCHA: Ако покушај пријављивања изгледа сумњиво, сервис може затражити од корисника да унесе CAPTCHA код који се приказује на слици или да кликне на неки други елемент, како би се уверио да особа, а не бот, покушава да се пријави.
Ограничите број поновљених покушаја пријављивања: Сервиси би требало да блокирају ботове који у кратком временском периоду покушавају велики број пријављивања. Савремени софистицирани ботови могу покушати пријављивање са више различитих ИП адреса, како би прикрили свој покушај пуњења акредитива.

Лоше навике приликом креирања лозинки, али и недовољно безбедни онлајн системи, које је често прелако компромитовати, чине пуњење акредитивима озбиљном опасношћу за безбедност налога на интернету. Зато и не чуди што бројне компаније из технолошке индустрије теже стварању безбеднијег света без лозинки.