При таком количестве веб-сайтов и приложений, требующих уникальных учетных данных пользователя, то есть имени пользователя и пароля, может возникнуть соблазн использовать одни и те же учетные данные на всех этих платформах.
Фактически, согласно ежегодному отчету SpyCloud о раскрытии личных данных за 2022 год, в котором проанализировано более 15 миллиардов скомпрометированных учетных данных, доступных на подпольных криминальных сайтах, было обнаружено, что 65 процентов взломанных паролей использовались как минимум для двух учетных записей.
Пользователям, повторно использующим учетные данные на разных платформах, это может показаться оригинальным способом избежать забывания паролей, но на самом деле это катастрофа, которая вот-вот произойдет.
В случае, если одна из систем взломана и ваши учетные данные захвачены, все другие учетные записи, использующие те же учетные данные, подвергаются риску компрометации. Учитывая, что скомпрометированные учетные данные дешево продаются в Даркнет, вы можете легко стать жертвой вставки учетных данных.
Ввод учетных данных - это кибератака, при которой злоумышленники используют украденные учетные данные для онлайн-аккаунта или системы, чтобы попытаться получить доступ к другим несвязанным онлайн-аккаунтам или системам.
Примером этого является злоумышленник, получающий доступ к вашему имени пользователя и паролю для вашей учетной записи Вконтакте и использующий эти скомпрометированные учетные данные, чтобы попытаться получить доступ к учетной записи на Дзен.
В случае, если вы используете свои учетные данные Вконтакте в нескольких онлайн-аккаунтах, эти онлайн-аккаунты также могут быть скомпрометированы. Такая атака известна как вставка учетных данных, и она использует тот факт, что многие пользователи повторно используют учетные данные в нескольких онлайн-аккаунтах.
Злоумышленники, проводящие атаки со вставкой учетных данных, обычно используют ботов для автоматизации и масштабирования процесса. Это позволяет им использовать большое количество скомпрометированных учетных данных и нацеливаться на несколько онлайн-платформ. В связи с утечкой скомпрометированных учетных данных в результате утечек данных, а также продажей в Даркнет, атаки со взломом учетных данных стали распространенными.
Как работает ввод учетных данных
Атака со взломом учетных данных начинается с получения скомпрометированных учетных данных. Эти имена пользователей и пароли можно купить в Даркнет, получить доступ к ним с сайтов сброса паролей или получить в результате утечки данных и фишинговых атак.
Следующий шаг включает в себя настройку ботов для проверки украденных учетных данных на разных веб-сайтах. Автоматизированные боты являются основным инструментом при атаках со вставкой учетных данных, поскольку боты могут незаметно выполнять вставку учетных данных, используя большое количество учетных данных для многих сайтов на высоких скоростях.
Проблемы блокировки IP-адреса после нескольких неудачных попыток входа в систему также можно избежать с помощью ботов.
При запуске атаки с использованием учетных данных параллельно с атакой с использованием учетных данных также запускаются автоматизированные процессы для отслеживания успешных входов в систему. Таким образом, злоумышленники легко получают учетные данные, которые работают на определенных онлайн-сайтах, и используют их для захвата учетной записи на платформах.
После того, как злоумышленники получили доступ к учетной записи, то, что они могут с ней делать, зависит от их усмотрения. Злоумышленники могут продать учетные данные другим злоумышленникам, украсть конфиденциальную информацию из аккаунта, присвоить идентификационные данные или использовать аккаунт для совершения онлайн-покупок в случае взлома банковского счета.
Почему атаки со взломом учетных данных эффективны
Причина большого числа атак со вставкой учетных данных и почему они становятся все более распространенными, заключается в количестве доступных скомпрометированных учетных данных и доступе к усовершенствованным инструментам ботов, которые делают атаки со вставкой учетных данных более эффективными и почти неотличимыми от попыток входа человека в систему.
Например, даже при низкой вероятности успеха всего в один процент, если у злоумышленника 1 миллион скомпрометированных учетных данных, он может скомпрометировать около 10 000 учетных записей. В Даркнет продаются большие объемы скомпрометированных учетных данных, и такие большие объемы скомпрометированных учетных данных могут быть повторно использованы на нескольких платформах.
Эти большие объемы скомпрометированных учетных данных приводят к увеличению числа скомпрометированных учетных записей. Это, в сочетании с тем фактом, что люди продолжают повторно использовать свои учетные данные в нескольких онлайн-аккаунтах, атаки со вставкой учетных данных становятся очень эффективными.
Вброс учетных данных против. Атаки методом перебора
Хотя и использование чужих учетных данных, и атаки методом грубой силы являются атаками с захватом учетных данных, а проект Open Web Application Security Project (OWASP) рассматривает использование чужих учетных данных как подмножество атак методом грубой силы, они отличаются способом выполнения.
При атаке методом грубой силы злоумышленник пытается завладеть учетной записью, угадывая имя пользователя или пароль или их оба. Обычно это делается путем опробования как можно большего количества возможных комбинаций имени пользователя и пароля без контекста или подсказки о том, какими они могут быть.
Грубая сила может использовать часто используемые шаблоны паролей или словарь часто используемых парольных фраз, таких как Qwerty, password или 12345. Атака методом перебора может увенчаться успехом, если пользователь использует слабые пароли или системные пароли по умолчанию.
С другой стороны, атака со вставкой учетных данных пытается захватить учетную запись, используя скомпрометированные учетные данные, полученные из других систем или онлайн-аккаунтов. При атаке со вставкой учетных данных атака не угадывает учетные данные. Успех атаки со вставкой учетных данных зависит от того, использует ли пользователь повторно свои учетные данные в нескольких онлайн-аккаунтах.
Как обнаружить атаки со взломом учетных данных
Субъекты угрозы со сбросом учетных данных обычно используют ботов, имитирующих агентов-людей, и часто очень трудно отличить попытку входа в систему от попытки бота, предпринятой реальным человеком. Тем не менее, все еще существуют признаки, которые могут сигнализировать о продолжающейся атаке с использованием учетных данных.
Например, внезапное увеличение веб-трафика должно вызвать подозрение. В таком случае следите за попытками входа на веб-сайт, и в случае увеличения числа попыток входа в систему с нескольких учетных записей с нескольких IP-адресов или увеличения частоты сбоев при входе в систему это может указывать на продолжающуюся атаку со взломом учетных данных.
Другим показателем атаки со взломом учетных данных является жалоба пользователя на блокировку своих учетных записей или получение уведомлений о неудачных попытках входа, которые были предприняты не им.
Кроме того, следите за пользовательской активностью, и в случае, если вы заметили необычные действия пользователей, такие как внесение изменений в их настройки, информацию профиля, денежные переводы и онлайн-покупки, это может сигнализировать об атаке со взломом учетных данных.
Как защититься от вброса учетных данных
Существует несколько мер, которые можно предпринять, чтобы не стать жертвой атак со вставкой учетных данных. Это включает в себя:
# 1. Избегайте повторного использования одних и тех же учетных данных в нескольких учетных записях
Ввод учетных данных зависит от того, что пользователь разделяет учетные данные между несколькими онлайн-аккаунтами. Этого можно легко избежать, используя уникальные учетные данные в разных онлайн-аккаунтах.
С помощью менеджеров паролей, таких как Google Password Manager, пользователи по-прежнему могут использовать уникальные пароли, не беспокоясь о том, что забудут свои учетные данные. Компании также могут обеспечить соблюдение этого правила, запретив использование электронных писем в качестве имен пользователей. Таким образом, пользователи с большей вероятностью будут использовать уникальные учетные данные на разных платформах.
# 2. Используйте многофакторную аутентификацию (MFA)
Многофакторная аутентификация - это использование нескольких методов для проверки подлинности личности пользователя, пытающегося войти в систему. Это может быть реализовано путем объединения традиционных методов аутентификации с использованием имени пользователя и пароля вместе с секретным кодом безопасности, которым пользователи делятся по электронной почте или текстовым сообщением для дальнейшего подтверждения своей личности. Это очень эффективно для предотвращения вброса учетных данных, поскольку добавляет дополнительный уровень безопасности.
Это может даже дать вам знать, когда кто-то попытается скомпрометировать ваш аккаунт, поскольку вы получите код безопасности, не запрашивая его. MFA настолько эффективен, что исследование Microsoft показало, что вероятность взлома онлайн-аккаунтов на 99,9% ниже, если они используют MFA.
# 3. Снятие отпечатков пальцев с устройств
Отпечатки пальцев устройства могут использоваться для привязки доступа к онлайн-аккаунту с определенного устройства. Отпечатки пальцев устройства идентифицируют устройство, используемое для доступа к учетной записи, используя, среди прочего, такую информацию, как модель и номер устройства, используемая операционная система, язык и страна.
При этом создается уникальный отпечаток пальца устройства, который затем связывается с учетной записью пользователя. Доступ к аккаунту с другого устройства запрещен без разрешения устройства, связанного с учетной записью.
# 4. Следите за утечкой паролей
Когда пользователи пытаются создать имена пользователей и пароли для онлайн-платформы вместо того, чтобы просто проверять надежность паролей, учетные данные можно перепроверить с опубликованными просочившимися паролями. Это помогает предотвратить использование учетных данных, которые впоследствии могут быть использованы.
Организации могут внедрять решения, которые отслеживают учетные данные пользователей на предмет утечки учетных данных в темной Сети и уведомляют пользователей при обнаружении совпадения. Затем пользователям может быть предложено подтвердить свою личность различными способами, изменить учетные данные, а также внедрить MFA для дальнейшей защиты своей учетной записи
# 5. Хэширование учетных данных
Это включает в себя шифрование учетных данных пользователя перед тем, как они будут сохранены в базе данных. Это помогает защитить от неправильного использования учетных данных в случае утечки данных из систем, поскольку учетные данные будут храниться в формате, который нельзя использовать.
Хотя это не надежный метод, он может дать пользователям время сменить свои пароли в случае утечки данных.
Примеры атак со вставкой учетных данных
Некоторые известные примеры атак с использованием учетных данных включают:
- Кража более 500 000 учетных данных Zoom в 2020 году. Эта атака с использованием учетных данных была выполнена с использованием имен пользователей и паролей, полученных с различных темных веб-форумов, с учетными данными, полученными в результате атак, датируемых еще 2013 годом. Украденные учетные данные zoom были доступны в Даркнет и дешево продавались желающим покупателям.
- Взломано 194 095 учетных записей пользователей The North Face. The North Face - компания, занимающаяся продажей спортивной одежды, и она подверглась атаке со вбросом учетных данных в июле 2022 года. Атака привела к утечке полного имени пользователя, номера телефона, пола, баллов лояльности, адреса выставления счетов и доставки, даты создания аккаунта и истории покупок.
- Атака на Reddit со взломом учетных данных в 2019 году. Несколько пользователей Reddit были заблокированы в своих учетных записях после того, как их учетные данные были скомпрометированы в результате атак со вставкой учетных данных.
Эти атаки подчеркивают важность необходимости защиты себя от подобных атак.
Заключение
Если вы используете одни и те же учетные данные в нескольких онлайн-аккаунтах, пришло время изменить их, прежде чем вы станете жертвой.
