Wyjaśnienie ataków z upychaniem poświadczeń (i jak im zapobiegać)

Zaktualizowano: 2022 / Autor artykułu: Gene Fay
Jak działają ataki z upychaniem poświadczeń

Kluczem do wiedzy, jak zapobiegać atakom upychania poświadczeń, jest zrozumienie, czym one są, w jaki sposób są przeprowadzane i jak mogą wpływają na Twój biznes i dane.

Mówiąc najprościej, atak polegający na upychaniu danych uwierzytelniających to automatyczne dopasowywanie skradzionych nazw użytkowników i haseł, które przestępcy mogą wykorzystać do znalezienia prawidłowych kombinacji danych logowania. Takie podejście prowadzi do ataków polegających na przejęciu konta i zwykle je poprzedza. Przestępcy muszą najpierw uzyskać dostęp do kont, zanim będą mogli je przejąć i wykorzystać do własnych celów.

Ataki polegające na upychaniu poświadczeń stanowią znaczny procent wszystkich typów ataków online. prawie 5% całego ruchu cyfrowego odnosi się do tych ataków.

Niedawny wzrost liczby ataków polegających na upychaniu poświadczeń wynika z trwającej, a w niektórych przypadkach wysoce dochodowej kradzieży danych osobowych konsumentów poprzez regularne naruszenia bezpieczeństwa danych. Konsumenci, którzy ponownie używają i przetwarzają hasła na swoich kontach online, są szczególnie zagrożeni.

Zasadniczo oznacza to, że jeśli atakujący może uzyskać dostęp do jednej, prawidłowej kombinacji nazwy użytkownika i hasła używanej przez jedną osobę na wielu kontach online, wszystkie te konta mogą zostać łatwo zhakowane i w stosunkowo krótkim czasie.

Jak działają ataki z upychaniem poświadczeń?

W każdym ataku upychania poświadczeń istnieją trzy główne fazy:

  1. Zbieranie danych
  2. Dopasowywanie poświadczeń
  3. Monetyzacja ataku

Atakujący często używają botów do automatyzacji procesu weryfikacji poświadczeń i znajdowania prawidłowych kombinacji nazw użytkowników i haseł. Te potężne boty potrafią dopasować tysiące haseł do nazw użytkowników, aby znaleźć prawidłowe kombinacje, których można użyć do uzyskania niepożądanego dostępu do kont cyfrowych. Takie podejście umożliwia atakującym skalowanie wysiłków i zwiększanie zwrotu z inwestycji, jednocześnie wyrządzając znaczne szkody zarówno firmom, jak i osobom prywatnym.

Jak powszechne są ataki z upychaniem poświadczeń?

Te ataki cyfrowe są bardzo powszechne i rozpowszechnione w wielu branżach i domenach internetowych. Czasami są one nawet przeprowadzane przez zautomatyzowane boty zamiast ludzi. Wysoce zaawansowane boty z możliwościami sztucznej inteligencji są łatwo i łatwo dostępne dla atakujących, którzy mogą nawet uzyskać dostęp do usług wsparcia, aby pomóc im w atakach. Ta technologia ułatwia atakującym przeprowadzanie ataków na dużą skalę przy użyciu botów przy minimalnych kosztach.

Wielu atakujących zna również podstawowe techniki ochrony przed oszustwami i może wykorzystać tę wiedzę do obejścia i wykorzystania systemów technologicznych na swoją korzyść. Po naruszeniu sieci mogą używać botów do eksploracji wewnętrznej, kradnąc prywatne dane i zakłócając działania firm i systemy bezpieczeństwa.

Zrozumienie statystyk

Bezpłatna platforma powiadamiania o naruszeniu danych HaveIBeenPwnd.com śledzi ponad 8.5 miliarda złamanych danych uwierzytelniających z ponad 400 zdarzeń naruszenia bezpieczeństwa danych. Usługa śledzi tylko dane uwierzytelniające z zestawów danych, które są dostępne publicznie lub zostały szeroko rozpowszechnione za pomocą platform podziemnych. Wiele zrzutów baz danych jest prywatnych i tylko małe grupy hakerów mogą uzyskać do nich dostęp.

Ataki polegające na upychaniu poświadczeń są obsługiwane przez całkowicie podziemną gospodarkę skoncentrowaną na sprzedaży skradzionych poświadczeń i niestandardowych narzędzi wsparcia, aby pomóc atakującym w ich wysiłkach. Narzędzia te wykorzystują „listy combo”, które są porównywane z różnych zestawów danych po złamaniu zaszyfrowanych haseł znalezionych w wyciekających zestawach danych. Zasadniczo przeprowadzanie ataków polegających na upychaniu poświadczeń nie wymaga żadnej specjalistycznej wiedzy ani umiejętności. Każdy, kto ma wystarczająco dużo pieniędzy, aby kupić potrzebne dane i narzędzia, może przeprowadzić atak.

Ataki polegające na upychaniu poświadczeń stały się opłacalne – już od 200 USD za 100,000 XNUMX przejęć konta (źródło).

Firma Akamai zajmująca się bezpieczeństwem i dostarczaniem treści odkryła 193 miliardy ataków polegających na upychaniu danych uwierzytelniających w skali globalnej tylko w 2020 roku. Ten numer przyszedł jako 360% wzrost w stosunku do danych z 2019 roku. Chociaż część tego wzrostu można przypisać szerszemu monitorowaniu większej liczby klientów. Niektóre branże, takie jak branża usług finansowych, były szczególnie często atakowane. W raporcie Akamai z maja 2021 r. wymieniono kilka skoków liczby tych ataków, w tym jeden dzień pod koniec 2020 r., w którym przeprowadzono ponad miliard ataków.

Jak rozpoznać ataki

Ataki polegające na upychaniu poświadczeń są przeprowadzane za pomocą zautomatyzowanych narzędzi i botnetów, które umożliwiają korzystanie z serwerów proxy, które rozsyłają nieuczciwe żądania na wiele różnych adresów IP. Atakujący często konfigurują również wybrane przez siebie narzędzia, aby naśladować autentycznych agentów użytkownika — nagłówki, które identyfikują systemy operacyjne i przeglądarki, z których składają się żądania sieciowe.

To wszystko sprawia, że ​​trudno jest odróżnić ataki od prawdziwych prób logowania. Zwłaszcza na stronach o dużym natężeniu ruchu, na których nagła fala żądań logowania nie odstaje od zwykłego zachowania logowania. Mając to na uwadze, wzrost wskaźników niepowodzeń logowania w krótkim czasie może wskazywać, że na stronę internetową przeprowadzono atak polegający na upychaniu poświadczeń.

Istnieje wiele zapór sieciowych aplikacji internetowych i podobnych usług, które wykorzystują zaawansowaną diagnostykę behawioralną do wykrywania podejrzanych zachowań związanych z logowaniem. Plus, właściciele witryn mogą podejmować własne działania aby zapobiec przyszłym atakom.

Przeczytaj więcej

Jak zapobiegać atakom z upychaniem poświadczeń?

Jesteś robotem?

Ataki polegające na upychaniu poświadczeń są obecnie jednym z największych zagrożeń dla kont cyfrowych użytkowników Internetu i dotyczy to również firm. Organizacje, małe firmy i wszyscy pośredni powinni podjąć środki ochronne przed tymi zagrożeniami, aby zapewnić bezpieczeństwo ich danych osobowych i organizacyjnych.

Niektóre z najbardziej popularnych zapobieganie nadziewaniu poświadczeń techniki obejmują:

  • CAPTCHA
    CAPTCHA to rodzaj zwykłego bota używanego do zapobiegania atakom prowadzonym przez inne boty. Wymagają od internautów rozwiązywania zagadek po zalogowaniu, aby upewnić się, że są ludźmi. CAPTCHA są dostępne w różnych wersjach, w tym obrazkowych, tekstowych, dźwiękowych, matematycznych i innych.
  • Behawioralne logowanie biometryczne
    Niektóre firmy uciekają się do analizy typowych zachowań użytkowników i wzorców ruchu w sieci w celu wykrycia zagrożeń. Mogą wykorzystać te dane do wykrycia nietypowych zachowań i możliwego wykorzystania ich systemów.
  • Blokowanie adresu IP
    Wiele firm zablokowało adresy IP z powodu podejrzanej aktywności, a inne decydują się na poddanie podejrzanych żądań kwarantannie, dopóki nie zostaną przejrzane i zweryfikowane.
  • Uwierzytelnianie dwu- i wieloskładnikowe
    2FA i MFA zapewniają dodatkowe warstwy zabezpieczeń i uwierzytelniania, wykorzystując dodatkowe informacje, które tylko użytkownik powinien znać lub mieć do nich dostęp. Uwierzytelnianie to może mieć formę jednorazowych kodów PIN, SMS-ów, pytań bezpieczeństwa lub odczytów biometrycznych, takich jak odcisk palca lub skan twarzy.
  • Inteligencja urządzenia i odciski palców
    Inteligencja urządzenia składa się z danych, takich jak systemy operacyjne, adresy IP, typy przeglądarek i inne. Dane te pomagają stworzyć unikalną tożsamość, którą można powiązać z konkretnym urządzeniem. Odstępstwo od tych typowych danych może oznaczać podejrzane zachowania i umożliwić firmom i ludziom proaktywne działanie oraz wprowadzić więcej środków uwierzytelniania.
  • Hasło i higiena bezpieczeństwa
    Higiena haseł powinna być częścią szkolenia pracowników każdej firmy w zakresie świadomości bezpieczeństwa. Ponowne użycie haseł jest głównym czynnikiem umożliwiającym ataki polegające na upychaniu poświadczeń, więc firmy muszą odradzać tę praktykę i upewnić się, że ich pracownicy wiedzą, jak ważne jest używanie silnych i unikalnych haseł, zarówno w pracy, jak i we własnym zakresie.
    Użytkownicy sieci mogą korzystać bezpieczne menedżery haseł do generowania złożonych i nieprzewidywalnych haseł do każdego posiadanego konta internetowego. Menedżerowie haseł automatycznie przechowują te hasła i mogą również powiadamiać użytkowników, jeśli ich adresy e-mail pojawiają się w publicznych zrzutach danych.

Niektóre większe firmy zaczęły podejmować proaktywne środki, analizując i monitorując publiczne zrzuty danych, aby sprawdzić, czy adresy e-mail, których dotyczy problem, są obecne również w ich własnych systemach. W przypadku kont znalezionych na ich serwerach wymagają one resetowania hasła i sugerują włączenie uwierzytelniania wieloskładnikowego w celu ochrony konsumentów, których dane mogły już zostać naruszone.

Jak skuteczne są te środki zapobiegawcze?

Wiele firm korzysta z jednej lub kilku metod obrony wspomnianych powyżej, aby chronić siebie i swoje dane przed atakami polegającym na upychaniu poświadczeń. Jednak te podejścia nie są w 100% skuteczne. Przedstawiają niedociągnięcia, które okazują się tylko częściowo skuteczne w zapewnianiu ciągłej ochrony przed ewoluującymi atakami.

Te środki zapobiegawcze stwarzają wyzwania w zakresie integracji i zwiększają koszty techniczne, a jednocześnie komplikują podejmowanie decyzji w sprawie ryzyka, co może jeszcze bardziej utrudniać działania w zakresie zapobiegania oszustwom. Na przykład uwierzytelnianie wieloskładnikowe jest zarówno kosztowne we wdrażaniu, jak i podatne na opóźnione lub utracone wiadomości SMS i OTP.

Podobnie blokowanie adresów IP na podstawie zmian w zachowaniu może prowadzić do tego, że firmy nieświadomie blokują legalnych klientów i potencjalnych klientów. Inteligencja urządzeń nie może być wykorzystywana jako samodzielne rozwiązanie zabezpieczające, ponieważ większość użytkowników ma obecnie zainstalowanych wiele urządzeń i przeglądarek. CAPTCHA pozostały w tyle za ciągle zmieniającymi się technologiami botów. Szybko stają się one nieskuteczne, ponieważ często niepotrzebnie utrudniają użytkownikom Internetu bez zatrzymywania ataków.

Na wynos: odstraszanie jest kluczem

W epoce, w której problem ataków polegających na upychaniu poświadczeń staje się coraz większym zagrożeniem, firmy każdej wielkości będą walczyć o zrównoważenie rosnących kosztów naprawy ze skutecznymi środkami bezpieczeństwa, które zapewniają opłacalny zwrot z inwestycji. Ataki te są niezwykle przystępne dla atakujących. Mogą jednak spowodować straty finansowe i utratę reputacji firm.

Krótko mówiąc, łagodzenie ataków polegających na upychaniu poświadczeń może nie wystarczyć do ochrony firm przed szkodami. Zamiast tego muszą skupić się na odstraszaniu przestępców, aby zapewnić bezpieczeństwo ich danych. Potrzebne jest innowacyjne podejście do zapobiegania oszustwom, aby zapewnić organizacjom trwałą ochronę w miarę rozwoju metod ataków.

Według wspomnianego raportu Akamai State of the Internet, ataki polegające na upychaniu poświadczeń nigdzie nie zmierzają. Ponieważ nie można ich całkowicie powstrzymać, firmy powinny dążyć do tego, aby proces uzyskiwania pasujących nazw użytkowników i haseł był jak najtrudniejszy. Ograniczenie ponownego użycia haseł i zachęcanie do tworzenia silnych haseł to jedne z najbardziej skutecznych i przystępnych cenowo środków odstraszających dostępnych dla firm z różnych sektorów.

Przeczytaj więcej

O Gene Fay

Gene Fay jest doświadczonym menedżerem high-tech z udokumentowaną historią sukcesów w pracy w technologii informacyjnej. Specjalista w zakresie cyberbezpieczeństwa, sieci pamięci masowej (SAN), sprzedaży, usług profesjonalnych i centrum danych. Silny informatyk z dyplomem MBA skoncentrowanym na High Technology z Northeastern University - Graduate School of Business Administration. Jest także gospodarzem podcastu eXecutive Security Podcast, który zawiera rozmowy z CISO i innymi liderami bezpieczeństwa na temat tego, jak poszczególne osoby mogą rozpocząć i rozwijać karierę w branży bezpieczeństwa.