U današnje vreme, sa mnoštvom veb stranica i aplikacija koje zahtevaju jedinstvene korisničke podatke, odnosno korisničko ime i lozinku, lako je doći u iskušenje da koristite iste podatke na svim platformama.
Međutim, prema godišnjem izveštaju o izloženosti identiteta za 2022. godinu, koji je objavio SpyCloud, analizom preko 15 milijardi kompromitovanih akreditiva koji su se našli na kriminalnim internet stranicama, otkriveno je da se čak 65% probijenih lozinki koristilo za pristup najmanje dva različita naloga.
Korisnicima koji ponavljaju akreditive na raznim platformama, to može izgledati kao odlično rešenje da izbegnu zaboravljanje lozinki, ali u suštini, to je katastrofa koja samo čeka da se dogodi.
U slučaju da je jedan od sistema ugrožen i vaši podaci procure, svi ostali nalozi koji koriste iste podatke su u opasnosti. S obzirom da se kompromitovani akreditivi prodaju po niskim cenama na dark webu, lako možete postati žrtva napada punjenja akreditivima.
Punjenje akreditivima je sajber napad gde zlonamerni akteri koriste ukradene akreditive sa jednog onlajn naloga ili sistema da bi pokušali da pristupe drugim, nepovezanim, nalozima ili sistemima.
Na primer, zlonamerni akter može doći do vašeg korisničkog imena i lozinke za Twitter nalog, i te iste podatke koristiti da bi pokušao da pristupi vašem PayPal nalogu.
Ako koristite iste akreditive za Twitter i PayPal, vaš PayPal nalog će biti kompromitovan zbog probijanja Twitter akreditiva.
Ukoliko vaše Twitter akreditive koristite na više naloga, ti nalozi takođe mogu biti ugroženi. Ovaj napad je poznat kao punjenje akreditivima i zasniva se na činjenici da mnogi korisnici ponovo koriste iste akreditive na više onlajn naloga.
Zlonamerni akteri koji izvode napade punjenja akreditivima često koriste botove da automatizuju i povećaju obim napada. Ovo im omogućava da iskoriste veliki broj kompromitovanih akreditiva i da ciljaju mnoge onlajn platforme. S obzirom na to da kompromitovani akreditivi cure usled narušavanja bezbednosti podataka i da se prodaju na dark webu, napadi punjenja akreditivima postaju sve učestaliji.
Kako funkcioniše punjenje akreditivima
Napad punjenja akreditivima počinje prikupljanjem kompromitovanih akreditiva. Ova korisnička imena i lozinke mogu se kupiti na dark webu, preuzeti sa sajtova koji skladište lozinke ili dobiti putem narušavanja bezbednosti podataka ili fišing napada.
Sledeći korak uključuje korišćenje botova za testiranje ukradenih akreditiva na raznim veb stranicama. Automatski botovi su ključno oruđe u napadima punjenja akreditivima, jer mogu tajno izvršavati ove napade koristeći veliki broj akreditiva na mnogim sajtovima pri velikim brzinama.
Izazov blokiranja IP adrese nakon nekoliko neuspelih pokušaja prijavljivanja takođe se prevazilazi upotrebom botova.
Kada se pokrene napad punjenja akreditivima, paralelno se pokreću automatizovani procesi praćenja uspešnih prijava. Na ovaj način napadači lako dobijaju podatke koji rade na određenim onlajn sajtovima i koriste ih za preuzimanje naloga na tim platformama.
Kada napadači dobiju pristup nalogu, šta će sa njim raditi zavisi od njihovih namera. Mogu prodati akreditive drugim napadačima, ukrasti osetljive informacije sa naloga, ukrasti identitet ili koristiti nalog za onlajn kupovinu ako je bankovni račun povezan sa nalogom.
Zašto su napadi punjenja akreditivima efikasni
Punjenje akreditivima je sajber napad sa relativno niskom stopom uspeha. Prema izveštaju Insikt grupe „Ekonomija napada punjenja akreditivima“, odeljenja za istraživanje pretnji Recorded Future-a, prosečna stopa uspeha napada punjenja akreditivima je između jedan i tri procenta.
Iako su stope uspeha niske, Akamai Technologies je u svom izveštaju o stanju interneta/bezbednosti za 2021. godinu primetio da je 2020. godine Akamai zabeležio 193 milijarde napada narušavanja akreditiva širom sveta.
Razlog velikog broja napada punjenja akreditivima, kao i njihove učestalosti, leži u velikom broju dostupnih kompromitovanih akreditiva i pristupu naprednim alatima koji čine napade efikasnijim i skoro ih je nemoguće razlikovati od legitimnih pokušaja prijavljivanja.
Na primer, čak i sa niskom stopom uspeha od samo jedan procenat, ako napadač ima milion kompromitovanih akreditiva, može da ugrozi oko 10.000 naloga. Velike količine kompromitovanih akreditiva se prodaju na dark webu i mogu se ponovo koristiti na više platformi.
Ovakve velike količine kompromitovanih akreditiva dovode do porasta broja ugroženih naloga. Zajedno sa činjenicom da ljudi i dalje koriste iste akreditive na više onlajn naloga, napadi punjenja akreditivima postaju veoma efikasni.
Punjenje akreditivima vs. Brute Force napadi
Iako su punjenje akreditivima i brute force napadi napadi preuzimanja naloga, a Open Web Application Security Project (OWASP) smatra da je punjenje akreditivima podskup brute force napada, ova dva napada se razlikuju po načinu izvođenja.
U brute force napadu, zlonamerni akter pokušava da preuzme nalog pogađanjem korisničkog imena i/ili lozinke. To se obično radi isprobavanjem što više mogućih kombinacija korisničkog imena i lozinke bez ikakvog konteksta ili ideje o tome šta bi ti podaci mogli biti.
Brute force napad može koristiti najčešće šablone lozinki ili rečnik često korišćenih fraza lozinki kao što su „qwerty“, „lozinka“ ili „12345“. Brute force napad može biti uspešan ako korisnik koristi slabe ili podrazumevane lozinke sistema.
S druge strane, napad punjenja akreditivima pokušava da preuzme nalog koristeći kompromitovane podatke dobijene sa drugih sistema ili onlajn naloga. U napadu punjenja akreditivima, napadač ne pogađa podatke. Uspeh napada punjenja akreditivima zavisi od toga da li korisnik ponovo koristi iste podatke na više onlajn naloga.
Uobičajeno, stopa uspeha brute force napada je mnogo niža od stope uspeha napada punjenja akreditivima. Brute force napadi se mogu sprečiti korišćenjem jakih lozinki. Međutim, upotreba jakih lozinki ne može sprečiti punjenje akreditivima ako se jaka lozinka koristi na više naloga. Punjenje akreditivima se sprečava korišćenjem jedinstvenih akreditiva na svakom onlajn nalogu.
Kako otkriti napade punjenja akreditivima
Napadači koji koriste punjenje akreditivima obično koriste botove koji imitiraju ljudske agente i često je teško razlikovati pokušaj prijave od pravog čoveka i pokušaj od strane bota. Ipak, postoje određeni znaci koji mogu ukazivati na kontinuirani napad punjenja akreditivima.
Na primer, nagli porast saobraćaja na veb stranici bi trebalo da probudi sumnju. U tom slučaju, treba pratiti pokušaje prijavljivanja na veb stranicu, a ako dođe do povećanja broja pokušaja prijavljivanja na više naloga sa više IP adresa ili do povećanja stope neuspešnih prijavljivanja, to može ukazivati na aktuelni napad punjenja akreditivima.
Još jedan pokazatelj napada punjenja akreditivima su žalbe korisnika na to da su im nalozi zaključani ili da primaju obaveštenja o neuspelim pokušajima prijavljivanja koje nisu sami izvršili.
Takođe, pratite aktivnost korisnika i ako primetite neobičnu aktivnost, kao što su promene u njihovim podešavanjima, profilnim informacijama, transferima novca ili onlajn kupovini, to može signalizirati napad narušavanja bezbednosti akreditiva.
Kako se zaštititi od punjenja akreditivima
Postoji nekoliko mera koje se mogu preduzeti da biste izbegli da budete žrtva napada narušavanja bezbednosti akreditiva. One uključuju:
#1. Izbegavajte ponovnu upotrebu istih akreditiva na više naloga
Punjenje akreditivima zavisi od toga da li korisnik deli akreditive na više onlajn naloga. Ovo se lako može izbeći korišćenjem jedinstvenih akreditiva na različitim onlajn nalozima.
Uz menadžere lozinki kao što je Google Password Manager, korisnici mogu koristiti jedinstvene i jake lozinke bez brige da će ih zaboraviti. Kompanije takođe mogu sprečiti korišćenje iste e-mail adrese kao korisničkog imena. Na ovaj način je veća verovatnoća da će korisnici koristiti jedinstvene akreditive na različitim platformama.
#2. Koristite višefaktorsku autentifikaciju (MFA)
Višefaktorska autentifikacija je korišćenje više metoda za potvrdu identiteta korisnika koji pokušava da se prijavi. Ovo se može primeniti kombinovanjem tradicionalne metode autentifikacije korisničkim imenom i lozinkom, zajedno sa tajnim bezbednosnim kodom koji se deli sa korisnicima putem e-pošte ili SMS poruke radi dodatne potvrde identiteta. Ovo je veoma efikasno u sprečavanju punjenja akreditivima jer dodaje dodatni nivo sigurnosti.
Može vas obavestiti kada neko pokuša da ugrozi vaš nalog, jer ćete dobiti bezbednosni kod bez da ste ga sami zatražili. MFA je toliko efikasan da je studija Microsofta pokazala da je 99,9 odsto manja verovatnoća da će onlajn nalozi biti ugroženi ako koriste MFA.
#3. Očitavanje otiska uređaja
Očitavanje otiska uređaja se može koristiti za povezivanje pristupa onlajn nalogu sa određenim uređajem. Očitavanje otiska uređaja identifikuje uređaj koji se koristi za pristup nalogu koristeći informacije kao što su model i broj uređaja, operativni sistem koji se koristi, jezik i država, između ostalog.
Ovo stvara jedinstveni otisak uređaja koji se potom povezuje sa korisničkim nalogom. Pristup nalogu pomoću drugog uređaja nije dozvoljen bez odobrenja uređaja koji je povezan sa nalogom.
#4. Nadgledajte procurele lozinke
Kada korisnici pokušavaju da kreiraju korisnička imena i lozinke za onlajn platformu, pored provere jačine lozinki, akreditivi se mogu proveravati u odnosu na objavljene procurele lozinke. Ovo pomaže u sprečavanju upotrebe akreditiva koji se kasnije mogu iskoristiti.
Organizacije mogu da implementiraju rešenja koja prate korisničke akreditive u odnosu na procurele akreditive na dark webu i obaveštavaju korisnike kada god se pronađe poklapanje. Od korisnika se tada može tražiti da verifikuju svoj identitet na različite načine, da promene svoje akreditive i da implementiraju MFA kako bi dodatno zaštitili svoj nalog.
#5. Heširanje akreditiva
Ovo podrazumeva šifrovanje korisničkih akreditiva pre nego što se oni sačuvaju u bazi podataka. Ovo pomaže u zaštiti od zloupotrebe akreditiva u slučaju narušavanja bezbednosti sistema, pošto će akreditivi biti uskladišteni u formatu koji se ne može koristiti.
Iako ovo nije potpuna zaštita, može korisnicima dati vremena da promene svoje lozinke u slučaju narušavanja bezbednosti podataka.
Primeri napada punjenja akreditivima
Neki značajni primeri napada punjenja akreditivima uključuju:
- Krađa preko 500.000 Zoom akreditiva 2020. godine. Ovaj napad punjenja akreditivima je izvršen korišćenjem korisničkih imena i lozinki dobijenih sa raznih foruma na dark webu, sa akreditivima dobijenim od napada koji datiraju još iz 2013. Ukradeni Zoom akreditivi su stavljeni na raspolaganje na dark webu i jeftino prodati zainteresovanim kupcima.
- Kompromitovanje hiljada korisničkih naloga Kanadske agencije za prihode (CRA). Godine 2020. oko 5.500 CRA naloga je kompromitovano u dva odvojena napada na akreditive, što je dovelo do toga da korisnici nisu mogli da pristupe uslugama koje nudi CRA.
- Kompromitovanje 194.095 korisničkih naloga kompanije The North Face. North Face, kompanija koja prodaje sportsku odeću, pretrpela je napad narušavanja bezbednosti akreditiva u julu 2022. godine. Napad je rezultirao curenjem punih imena korisnika, brojeva telefona, pola, bodova lojalnosti, adresa za obračun i isporuku, datuma kreiranja naloga i istorije kupovine.
- Reddit napad punjenja akreditivima 2019. godine. Nekoliko korisnika Reddita je zaključano sa svojih naloga nakon što su njihovi akreditivi kompromitovani napadima punjenja akreditivima.
Ovi napadi naglašavaju važnost potrebe da se zaštitite od sličnih napada.
Zaključak
Možda ste naišli na prodavce akreditiva za striming sajtove kao što su Netflix, Hulu i Disney+ ili onlajn usluge kao što su Grammarly, Zoom i Turnitin, između ostalih. Šta mislite odakle prodavci dobijaju ove akreditive?
Pa, takvi akreditivi se verovatno dobijaju napadima punjenja akreditivima. Ako koristite iste akreditive na više onlajn naloga, vreme je da ih promenite pre nego što i sami postanete žrtva.
Da biste se dodatno zaštitili, primenite višefaktorsku autentifikaciju na sve svoje onlajn naloge i izbegavajte kupovinu kompromitovanih akreditiva, jer to stvara okruženje koje omogućava napade punjenja akreditivima.