Са толико много веб локација и апликација које захтевају јединствене корисничке акредитиве, односно корисничко име и лозинку, могло би доћи у искушење да користите исте акредитиве на свим овим платформама.
У ствари, према Годишњем извештају о изложености идентитета за 2022. од стране СпиЦлоуд-а, који је анализирао више од 15 милијарди компромитованих акредитива доступних на криминалним подземним сајтовима, откривено је да је 65 одсто пробијених лозинки коришћено за најмање два налога.
Корисницима који поново користе акредитиве на различитим платформама, то може изгледати као генијалан начин да се избегне заборављање лозинки, али у стварности, то је катастрофа која чека да се догоди.
У случају да је један од система компромитован и ваши акредитиви су ухваћени, сви други налози који користе исте акредитиве су у опасности од компромитовања. Имајући на уму да се компромитовани акредитиви јефтино продају на мрачном вебу, лако можете постати жртва пуњења акредитива.
Пуњење акредитива је сајбер-напад где злонамерни актери користе украдене акредитиве за онлајн налог или систем да би покушали да приступе другим неповезаним онлајн налозима или системима.
Пример овога је злонамерни актер који добија приступ вашем корисничком имену и лозинки за ваш Твиттер налог и користи те компромитоване акредитиве да покуша да приступи Паипал налогу.
У случају да користите исте акредитиве на Твиттер-у и Паипал-у, ваш Паипал налог ће бити преузет због кршења ваших Твиттер акредитива.
У случају да користите своје Твиттер акредитиве на више налога на мрежи, ти налози на мрежи такође могу бити угрожени. Такав напад је познат као пуњење акредитива и користи чињеницу да многи корисници поново користе акредитиве на више онлајн налога.
Злонамерни актери који спроводе нападе пуњења акредитива обично користе ботове да аутоматизују и скалирају процес. Ово им омогућава да користе велики број компромитованих акредитива и циљају више онлајн платформи. Са компромитованим акредитивима који су процурели због кршења података и такође се продавали на мрачном вебу, напади пуњења акредитива постали су преовлађујући.
Преглед садржаја
Како функционише пуњење акредитива
Напад пуњења акредитива почиње аквизицијом компромитованих акредитива. Ова корисничка имена и лозинке се могу купити на мрачном вебу, приступити са сајтова за депонију лозинки или добити од кршења података и пхисхинг напада.
Следећи корак укључује постављање ботова за тестирање украдених акредитива на различитим веб локацијама. Аутоматски ботови су алатка која се користи у нападима пуњења акредитива, јер ботови могу прикривено да изврше пуњење акредитива користећи велики број акредитива на многим сајтовима при великим брзинама.
Изазов блокирања ИП адресе након неколико неуспелих покушаја пријаве такође се избегава коришћењем ботова.
Када се покрене напад пуњења акредитива, аутоматизовани процеси за праћење успешних пријава се такође покрећу паралелно са нападом пуњења акредитива. На овај начин нападачи лако добијају акредитиве који раде на одређеним онлајн сајтовима и користе их за преузимање налога на платформама.
Када нападачи имају приступ налогу, оно што могу да ураде са њим зависи од њиховог нахођења. Нападачи могу да продају акредитиве другим нападачима, украду осетљиве информације са налога, потврде идентитет или користе налог за куповину на мрежи у случају да је банковни рачун компромитован.
Зашто су напади пуњења акредитива ефикасни
Цредентиал Стуффинг је сајбер напад са веома ниским стопама успеха. У ствари, према Извештају Инсикт групе „Ецономи оф Цредентиал Стуффинг Аттацкс”, који је одељење за истраживање претњи Рецордед Футуре-а, просечна стопа успеха за нападе пуњења акредитива је између један до три процента.
Колико год да су његове стопе успеха ниске, Акамаи Тецхнологиес је у свом извештају о стању интернета / безбедности за 2021. приметио да је 2020. године Акамаи видео 193 милијарде напада на кршење акредитива широм света.
Разлог за велики број напада на пуњење акредитива и зашто они постају све присутнији је због броја доступних компромитованих акредитива и приступа напредним бот алатима који чине нападе пуњења акредитива ефикаснијим и готово се не разликују од покушаја пријављивања код људи.
На пример, чак и при ниској стопи успеха од само један проценат, ако нападач има милион компромитованих акредитива, може да угрози око 10.000 налога. Великим количинама компромитованих акредитива се тргује на мрачном вебу, а тако велике количине компромитованих акредитива могу се поново користити на више платформи.
Ове велике количине компромитованих акредитива резултирају повећањем броја компромитованих налога. Ово, заједно са чињеницом да људи настављају да поново користе своје акредитиве на више онлајн налога, напади пуњења акредитива постају веома ефикасни.
Цредентиал Стуффинг вс. Бруте Форце Аттацкс
Иако су пуњење акредитива и напади грубом силом напади преузимања налога, а пројекат безбедности отворених веб апликација (ОВАСП) сматра пуњење акредитива подскупом напада грубом силом, ова два се разликују по начину на који се извршавају.
У нападу грубом силом, злонамерни актер покушава да преузме налог погађајући корисничко име или лозинку или обоје. Ово се обично ради испробавањем што више могућих комбинација корисничког имена и лозинке без контекста или појма о томе шта би то могло бити.
Бруте форце може да користи најчешће коришћене обрасце лозинки или речник често коришћених фраза лозинки као што су Кверти, лозинка или 12345. Напад грубом силом може да успе ако корисник користи слабе лозинке или подразумеване лозинке система.
Напад пуњења акредитива, с друге стране, покушава да преузме налог коришћењем компромитованих акредитива добијених од других система или онлајн налога. У нападу пуњења акредитива, напад не погађа акредитиве. Успех напада пуњења акредитива зависи од тога да корисник поново користи своје акредитиве на више онлајн налога.
Типично, стопа успеха напада грубом силом је много нижа од пуњења акредитива. Напади грубе силе могу се спречити употребом јаких лозинки. Међутим, коришћење јаких лозинки не може спречити пуњење акредитива у случају да се јака лозинка дели на више налога. Пуњење акредитива се спречава коришћењем јединствених акредитива на онлајн налозима.
Како открити нападе пуњења акредитива
Актери претњи пуњења акредитива обично користе ботове који опонашају људске агенте и често је веома тешко разликовати покушај пријаве од правог човека и покушаја од бота. Међутим, још увек постоје знаци који могу да сигнализирају континуирани напад пуњења акредитива.
На пример, нагло повећање веб саобраћаја требало би да изазове сумњу. У том случају, пратите покушаје пријављивања на веб локацију, а у случају да дође до повећања покушаја пријављивања на више налога са више ИП адреса или повећања стопе неуспешних пријављивања, то може указивати на текући напад пуњења акредитива.
Још један показатељ напада пуњења акредитива је жалба корисника на закључавање својих налога или примање обавештења о неуспелим покушајима пријаве које нису урадили.
Поред тога, пратите активност корисника и у случају да приметите неуобичајену активност корисника, као што су промене у њиховим подешавањима, информацијама о профилу, трансферима новца и онлајн куповинама, то би могло да сигнализира напад кршења акредитива.
Како се заштитити од пуњења акредитива
Постоји неколико мера које се могу предузети да бисте избегли да будете жртва напада на кршење акредитива. Ово укључује:
#1. Избегавајте поновну употребу истих акредитива на више налога
Пуњење акредитива зависи од тога да корисник дели акредитиве на више налога на мрежи. Ово се лако може избећи коришћењем јединствених акредитива на различитим онлајн налозима.
Са менаџерима лозинки као што је Гоогле Пассворд Манагер, корисници и даље могу да користе јединствене и веома лозинке без бриге да ће заборавити своје акредитиве. Компаније то такође могу спровести спречавањем коришћења е-поште као корисничких имена. На овај начин је већа вероватноћа да ће корисници користити јединствене акредитиве на различитим платформама.
#2. Користи вишефакторску аутентификацију (МФА)
Мултифакторска аутентикација је употреба више метода за аутентификацију идентитета корисника који покушава да се пријави. Ово се може применити комбиновањем традиционалних метода аутентификације корисничког имена и лозинке, заједно са тајним безбедносним кодом који се дели са корисницима путем е-поште или текстуалне поруке да би додатно потврдили свој идентитет. Ово је веома ефикасно у спречавању пуњења акредитива јер додаје додатни ниво сигурности.
Чак вас може обавестити када неко покуша да компромитује ваш налог, јер ћете добити безбедносни код без захтевања. МФА је толико ефикасан да је студија Мицрософта показала да је 99,9 одсто мања вероватноћа да ће онлајн налози бити угрожени ако користе МФА.
#3. Отисак прста уређаја
Отисак прста са уређаја може да се користи за повезивање приступа онлајн налогу са одређеним уређајем. Отисак прста уређаја идентификује уређај који се користи за приступ налогу користећи информације као што су модел и број уређаја, оперативни систем који се користи, језик и држава, између осталог.
Ово ствара јединствени отисак прста уређаја који се затим повезује са корисничким налогом. Приступ налогу помоћу другог уређаја није дозвољен без дозволе уређаја који је повезан са налогом.
#4. Надгледајте лозинке које су процуриле
Када корисници покушавају да креирају корисничка имена и лозинке за онлајн платформу, а не само да провере јачину лозинки, акредитиви се могу противпроверити у односу на објављене лозинке које су процуриле. Ово помаже у спречавању употребе акредитива који се касније могу искористити.
Организације могу да имплементирају решења која прате корисничке акредитиве у односу на процуреле акредитиве на мрачном вебу и обавештавају кориснике кад год се пронађе подударање. Од корисника се тада може тражити да верификују свој идентитет на различите начине, промене акредитиве и такође имплементирају МФА како би додатно заштитили свој налог
#5. Хеширање акредитива
Ово укључује шифровање корисничких акредитива пре него што се чувају у бази података. Ово помаже у заштити од злоупотребе акредитива у случају повреде података система, пошто ће акредитиви бити ускладиштени у формату који се не може користити.
Иако ово није сигуран метод, може дати корисницима времена да промене своје лозинке у случају повреде података.
Примери напада на попуњавање акредитива
Неки значајни примери напада пуњења акредитива укључују:
- Крађа преко 500.000 Зоом акредитива у 2020. Овај напад за пуњење акредитива је извршен коришћењем корисничких имена и лозинки добијених са разних мрачних веб форума, са акредитивима добијеним од напада који датирају још из 2013. Украдени зоом акредитиви су стављени на располагање на мраку веб и јефтино продати вољним купцима
- Компромис на хиљаде корисничких налога Канадске агенције за приходе (ЦРА). 2020. године око 5500 ЦРА налога је компромитовано у два одвојена напада на акредитиве, што је довело до тога да корисници нису могли да приступе услугама које нуди ЦРА.
- Компромитација 194.095 Тхе Нортх Фаце корисничких налога. Нортх Фаце је компанија која продаје спортску одећу и претрпела је напад кршењем акредитива у јулу 2022. Напад је резултирао цурењем пуног имена корисника, броја телефона, пола, бодова лојалности, адресе за обрачун и испоруку, датума креирања налога, и историја куповине.
- Реддит напад на додавање акредитива у 2019. Неколико корисника Реддит-а је закључано са својих налога након што су њихови акредитиви компромитовани нападима пуњења акредитива.
Ови напади наглашавају важност потребе да се заштитите од сличних напада.
Закључак
Можда сте наишли на продавце акредитива за сајтове за стриминг као што су Нетфлик, Хулу и Диснеи+ или онлајн услуге као што су Граммарли, Зоом и Турнитин, између осталих. Шта мислите где продавци добијају акредитиве?
Па, такви акредитиви се вероватно добијају нападима пуњења акредитива. Ако користите исте акредитиве на више налога на мрежи, време је да их промените пре него што постанете жртва.
Да бисте се додатно заштитили, примените вишефакторску аутентификацију на свим својим налозима на мрежи и избегавајте куповину компромитованих акредитива, јер то ствара окружење које омогућава нападе са кршењем акредитива.