อธิบายการโจมตีการบรรจุหนังสือรับรอง (และวิธีป้องกัน)

อัปเดต: 2022-07-29 / บทความโดย: Gene Fay
วิธีการทำงานของ Credential Stuffing Attack

กุญแจสำคัญในการรู้วิธีป้องกันการโจมตีด้วยการใช้ข้อมูลประจำตัวคือการทำความเข้าใจว่ามันคืออะไร ดำเนินการอย่างไร และทำอย่างไร ส่งผลกระทบต่อธุรกิจและข้อมูลของคุณ.

พูดง่ายๆ ก็คือ การโจมตีด้วยการใช้ข้อมูลประจำตัวคือการจับคู่ชื่อผู้ใช้และรหัสผ่านที่ถูกขโมยโดยอัตโนมัติ ซึ่งอาชญากรสามารถใช้เพื่อค้นหาชุดข้อมูลรับรองการเข้าสู่ระบบที่ถูกต้อง วิธีการนี้ขับเคลื่อนการโจมตีเพื่อเข้าครอบงำบัญชี และมักจะนำหน้าพวกเขา อาชญากรจำเป็นต้องเข้าถึงบัญชีก่อนจึงจะสามารถเข้าควบคุมและใช้บัญชีเหล่านี้เพื่อจุดประสงค์ของตนเองได้

การโจมตีด้วยการบรรจุข้อมูลรับรองคิดเป็นเปอร์เซ็นต์ที่มีนัยสำคัญของการโจมตีออนไลน์ทุกประเภท อันที่จริง เกือบ 5% ของทราฟฟิกดิจิทัลทั้งหมด เกี่ยวข้องกับการโจมตีเหล่านี้

การโจมตีโดยใช้ข้อมูลประจำตัวที่เพิ่มขึ้นเมื่อเร็วๆ นี้เป็นผลมาจากการขโมยข้อมูลส่วนบุคคลของผู้บริโภคที่ทำกำไรได้สูงจากการละเมิดข้อมูลเป็นประจำและในบางกรณี ผู้บริโภคที่ใช้ซ้ำและรีไซเคิลรหัสผ่านในบัญชีออนไลน์ของตนมีความเสี่ยงเป็นพิเศษ

โดยพื้นฐานแล้ว นี่หมายความว่าหากผู้โจมตีสามารถเข้าถึงชื่อผู้ใช้และรหัสผ่านที่ถูกต้องเพียงชุดเดียวที่ใช้โดยบุคคลเดียวในบัญชีออนไลน์หลายบัญชี บัญชีเหล่านี้ทั้งหมดอาจถูกบุกรุกได้อย่างง่ายดายและภายในกรอบเวลาอันสั้น

การโจมตีด้วย Credential Stuffing ทำงานอย่างไร?

มีสามขั้นตอนหลักในการโจมตีด้วยการบรรจุข้อมูลรับรอง:

  1. การเก็บเกี่ยวข้อมูล
  2. การจับคู่ข้อมูลรับรอง
  3. การสร้างรายได้จากการโจมตี

ผู้โจมตีมักใช้บอทเพื่อทำให้กระบวนการตรวจสอบข้อมูลรับรองเป็นไปโดยอัตโนมัติ และค้นหาชื่อผู้ใช้และรหัสผ่านร่วมกันได้ บอทอันทรงพลังเหล่านี้สามารถจับคู่รหัสผ่านนับพันกับชื่อผู้ใช้เพื่อค้นหาชุดค่าผสมที่ถูกต้องซึ่งสามารถใช้เพื่อเข้าถึงบัญชีดิจิทัลโดยไม่ต้องการ แนวทางนี้ช่วยให้ผู้โจมตีขยายความพยายามและเพิ่ม ROI ในขณะที่สร้างความเสียหายอย่างมากต่อธุรกิจและบุคคล

การโจมตี Credential Stuffing เกิดขึ้นบ่อยแค่ไหน?

การโจมตีทางดิจิทัลเหล่านี้พบได้ทั่วไปและแพร่หลายในหลากหลายอุตสาหกรรมและโดเมนออนไลน์ บางครั้งพวกเขาก็ดำเนินการโดยบอทอัตโนมัติแทนมนุษย์ บอทขั้นสูงที่มีความสามารถด้านปัญญาประดิษฐ์นั้นสามารถเข้าถึงได้ง่ายและพร้อมสำหรับผู้โจมตี ซึ่งสามารถเข้าถึงบริการสนับสนุนเพื่อช่วยเหลือพวกเขาในการโจมตีได้ เทคโนโลยีนี้ทำให้ผู้โจมตีทำการโจมตีขนาดใหญ่ได้อย่างง่ายดายโดยใช้บอทโดยเสียค่าใช้จ่ายน้อยที่สุดสำหรับตัวเอง

ผู้โจมตีหลายคนรู้เกี่ยวกับเทคนิคการป้องกันการฉ้อโกงขั้นพื้นฐาน และสามารถใช้ความรู้นี้เพื่อแล่นเรือและใช้ประโยชน์จากระบบเทคโนโลยีเพื่อประโยชน์ของตน เมื่อพวกเขาละเมิดเครือข่าย พวกเขาสามารถใช้บอทเพื่อสำรวจภายใน ขโมยข้อมูลส่วนตัว และขัดขวางการดำเนินการของธุรกิจและระบบรักษาความปลอดภัย

การทำความเข้าใจสถิติ

แพลตฟอร์มการแจ้งเตือนการละเมิดข้อมูลฟรี HaveIBeenPwnd.com ติดตามข้อมูลประจำตัวที่ถูกบุกรุกมากกว่า 8.5 พันล้านรายการจากเหตุการณ์การละเมิดข้อมูลมากกว่า 400 รายการ บริการติดตามเฉพาะข้อมูลประจำตัวจากชุดข้อมูลที่เปิดให้สาธารณะหรือเผยแพร่อย่างกว้างขวางโดยใช้แพลตฟอร์มใต้ดิน ดัมพ์ฐานข้อมูลจำนวนมากเป็นแบบส่วนตัว และมีเพียงกลุ่มการแฮ็กขนาดเล็กเท่านั้นที่สามารถเข้าถึงได้

การโจมตีด้วยการบรรจุข้อมูลรับรองได้รับการสนับสนุนโดยเศรษฐกิจใต้ดินที่สมบูรณ์ซึ่งมีศูนย์กลางอยู่ที่การขายข้อมูลประจำตัวที่ถูกขโมยและเครื่องมือสนับสนุนที่กำหนดเองเพื่อช่วยผู้โจมตีในความพยายามของพวกเขา เครื่องมือเหล่านี้ใช้ 'รายการคำสั่งผสม' ที่รวบรวมจากชุดข้อมูลต่างๆ หลังจากที่รหัสผ่านที่แฮชซึ่งพบในชุดข้อมูลที่รั่วไหลถูกถอดรหัส โดยพื้นฐานแล้ว การเปิดตัวการโจมตีด้วยการบรรจุข้อมูลรับรองไม่จำเป็นต้องมีความรู้หรือทักษะพิเศษใดๆ ใครก็ตามที่มีเงินเพียงพอที่จะซื้อข้อมูลและเครื่องมือที่พวกเขาต้องการสามารถโจมตีได้

การโจมตีด้วยการใช้ข้อมูลประจำตัวกลายเป็นความคุ้มทุน – ในราคาเพียง 200 ดอลลาร์ต่อการเข้าครอบครองบัญชี 100,000 ดอลลาร์ ((ที่มา )).

บริษัทรักษาความปลอดภัยและจัดส่งเนื้อหา Akamai ค้นพบการโจมตีด้วยข้อมูลประจำตัว 193 พันล้านครั้งในระดับโลกในปี 2020 เพียงปีเดียว ตัวเลขนี้มาเป็น เพิ่มขึ้น 360% จากตัวเลขของปี 2019. แม้ว่าการเพิ่มขึ้นบางส่วนอาจเป็นผลมาจากการตรวจสอบลูกค้าที่มากขึ้น อุตสาหกรรมบางประเภท เช่น อุตสาหกรรมบริการทางการเงิน มักตกเป็นเป้าหมายโดยเฉพาะ รายงานเดือนพฤษภาคม 2021 ของ Akamai อ้างถึงการโจมตีเหล่านี้เพิ่มขึ้นหลายครั้ง ซึ่งรวมถึงวันเดียวในช่วงปลายปี 2020 ที่มีการเปิดตัวการโจมตีมากกว่าพันล้านครั้ง

วิธีสังเกตการโจมตี

การโจมตีด้วยการบรรจุข้อมูลรับรองเปิดตัวผ่านเครื่องมืออัตโนมัติและบ็อตเน็ตที่อนุญาตให้ใช้พร็อกซีที่แจกจ่ายคำขอที่หลอกลวงผ่านที่อยู่ IP ที่แตกต่างกันจำนวนหนึ่ง ผู้โจมตีมักจะกำหนดค่าเครื่องมือของตนเพื่อเลียนแบบตัวแทนผู้ใช้จริง ซึ่งเป็นส่วนหัวที่ระบุระบบปฏิบัติการและเบราว์เซอร์ที่คำขอเว็บประกอบด้วย

ทั้งหมดนี้ทำให้แยกความแตกต่างระหว่างการโจมตีและการพยายามเข้าสู่ระบบที่แท้จริงได้ยาก โดยเฉพาะอย่างยิ่งในเว็บไซต์ที่มีปริมาณการใช้ข้อมูลสูงซึ่งมีการร้องขอการเข้าสู่ระบบอย่างกะทันหันไม่โดดเด่นจากพฤติกรรมการเข้าสู่ระบบตามปกติ ด้วยเหตุนี้ อัตราความล้มเหลวในการเข้าสู่ระบบที่เพิ่มขึ้นในช่วงเวลาสั้น ๆ อาจบ่งชี้ว่ามีการเปิดตัวการโจมตีด้วยการใช้ข้อมูลประจำตัวกับเว็บไซต์

มีเว็บแอพพลิเคชั่นมากมาย ไฟร์วอลล์ และบริการที่คล้ายกันซึ่งใช้การวินิจฉัยพฤติกรรมขั้นสูงเพื่อตรวจหาพฤติกรรมการเข้าสู่ระบบที่น่าสงสัย นอกจากนี้ เจ้าของเว็บไซต์สามารถใช้มาตรการของตนเองได้ เพื่อป้องกันการโจมตีในอนาคต

อ่านเพิ่มเติม

วิธีป้องกันการโจมตีด้วยการบรรจุข้อมูลรับรอง

คุณเป็นหุ่นยนต์หรือไม่?

การโจมตีด้วยการใช้ข้อมูลรับรองเป็นหนึ่งในภัยคุกคามที่สำคัญที่สุดต่อบัญชีดิจิทัลของผู้ใช้อินเทอร์เน็ตในปัจจุบัน และสิ่งนี้ก็มีผลกับธุรกิจด้วยเช่นกัน องค์กร ธุรกิจขนาดเล็ก และทุกคนในระหว่างนั้นควรใช้มาตรการป้องกันภัยคุกคามเหล่านี้ เพื่อให้แน่ใจว่าข้อมูลส่วนตัวและองค์กรของพวกเขาจะปลอดภัย

บางแห่งที่ได้รับความนิยมมากที่สุด การป้องกันการบรรจุหนังสือรับรอง เทคนิคต่างๆ ได้แก่

  • CAPTCHA
    CAPTCHA คือรูปแบบของบอททั่วไปที่ใช้เพื่อป้องกันการโจมตีจากบอทตัวอื่น พวกเขาต้องการให้ผู้ใช้อินเทอร์เน็ตไขปริศนาเมื่อเข้าสู่ระบบเพื่อให้แน่ใจว่าพวกเขาเป็นมนุษย์ CAPTCHA มีให้บริการในเวอร์ชันต่างๆ รวมถึงรูปภาพ ข้อความ เสียง ผลรวมทางคณิตศาสตร์ และอื่นๆ
  • พฤติกรรมเข้าสู่ระบบไบโอเมตริกซ์
    ธุรกิจบางแห่งใช้การวิเคราะห์พฤติกรรมของผู้ใช้ทั่วไปและรูปแบบการเข้าชมเว็บเพื่อตรวจจับภัยคุกคาม พวกเขาสามารถใช้ข้อมูลนี้เพื่อระบุพฤติกรรมผิดปกติและการใช้ประโยชน์จากระบบของตนได้
  • การปิดกั้นที่อยู่ IP
    ธุรกิจจำนวนมากได้บล็อกที่อยู่ IP อันเนื่องมาจากกิจกรรมที่น่าสงสัย และธุรกิจอื่นๆ เลือกที่จะกักกันคำขอที่น่าสงสัยจนกว่าจะตรวจสอบและยืนยันได้
  • การรับรองความถูกต้องด้วยสองปัจจัยและหลายปัจจัย
    2FA และ MFA ให้ชั้นการรักษาความปลอดภัยและการตรวจสอบสิทธิ์เพิ่มเติมโดยใช้ข้อมูลเพิ่มเติมที่ผู้ใช้เท่านั้นที่ควรทราบหรือมีสิทธิ์เข้าถึง การตรวจสอบสิทธิ์นี้สามารถอยู่ในรูปแบบของ PIN แบบครั้งเดียว, SMS, คำถามเพื่อความปลอดภัย หรือการอ่านไบโอเมตริกซ์ เช่น ลายนิ้วมือหรือการสแกนใบหน้า
  • อุปกรณ์อัจฉริยะและลายนิ้วมือ
    ความฉลาดของอุปกรณ์ประกอบด้วยข้อมูล เช่น ระบบปฏิบัติการ ที่อยู่ IP ประเภทเบราว์เซอร์ และอื่นๆ ข้อมูลนี้ช่วยสร้างเอกลักษณ์เฉพาะตัวที่สามารถเชื่อมโยงกับอุปกรณ์เฉพาะได้ การเบี่ยงเบนจากข้อมูลทั่วไปนี้สามารถทำเครื่องหมายพฤติกรรมที่น่าสงสัยและช่วยให้ธุรกิจและผู้คนดำเนินการในเชิงรุกและแนะนำมาตรการรับรองความถูกต้องเพิ่มเติม
  • รหัสผ่านและสุขอนามัยความปลอดภัย
    สุขอนามัยของรหัสผ่านควรเป็นส่วนหนึ่งของการฝึกอบรมความตระหนักด้านความปลอดภัยของทุกธุรกิจสำหรับพนักงาน การใช้รหัสผ่านซ้ำเป็นตัวกระตุ้นหลักของการโจมตีด้วยการใช้ข้อมูลประจำตัว ดังนั้นธุรกิจต่างๆ จำเป็นต้องกีดกันการปฏิบัตินี้ และตรวจสอบให้แน่ใจว่าพนักงานของตนทราบดีว่าการใช้รหัสผ่านที่รัดกุมและไม่ซ้ำใครมีความสำคัญเพียงใด ทั้งในที่ทำงานและในความสามารถส่วนตัวของตนเอง
    ผู้ใช้เว็บสามารถใช้ได้ ผู้จัดการรหัสผ่านที่ปลอดภัย เพื่อสร้างรหัสผ่านที่ซับซ้อนและคาดเดาไม่ได้สำหรับบัญชีออนไลน์ทุกบัญชีที่มี ผู้จัดการรหัสผ่านจะจัดเก็บรหัสผ่านเหล่านี้โดยอัตโนมัติและอาจแจ้งให้ผู้ใช้ทราบหากที่อยู่อีเมลของพวกเขาปรากฏในการถ่ายโอนข้อมูลสาธารณะ

บริษัทขนาดใหญ่บางแห่งได้เริ่มใช้มาตรการเชิงรุกโดยการวิเคราะห์และตรวจสอบการทิ้งข้อมูลสาธารณะ เพื่อดูว่าที่อยู่อีเมลที่ได้รับผลกระทบมีอยู่ในระบบของตนเองด้วยหรือไม่ สำหรับบัญชีที่พบในเซิร์ฟเวอร์ จำเป็นต้องมีการรีเซ็ตรหัสผ่านและแนะนำให้เปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยเพื่อปกป้องผู้บริโภคที่ข้อมูลอาจถูกบุกรุกแล้ว

มาตรการป้องกันเหล่านี้มีประสิทธิภาพเพียงใด?

ธุรกิจจำนวนมากใช้วิธีการป้องกันอย่างใดอย่างหนึ่งหรือหลายวิธีที่กล่าวถึงข้างต้น เพื่อปกป้องตนเองและข้อมูลของตนจากการโจมตีด้วยข้อมูลประจำตัว อย่างไรก็ตาม วิธีการเหล่านี้ไม่ได้ผล 100% สิ่งเหล่านี้นำเสนอข้อบกพร่องที่พิสูจน์ได้ว่ามีประสิทธิภาพเพียงบางส่วนในการป้องกันการโจมตีที่กำลังพัฒนาอย่างต่อเนื่อง

มาตรการป้องกันเหล่านี้ก่อให้เกิดความท้าทายในการบูรณาการและเพิ่มต้นทุนทางเทคนิค ทั้งหมดนี้ในขณะเดียวกันก็ทำให้การตัดสินใจเสี่ยงมีความซับซ้อน ซึ่งอาจขัดขวางความพยายามในการป้องกันการฉ้อโกง ตัวอย่างเช่น การตรวจสอบสิทธิ์แบบหลายปัจจัยมีค่าใช้จ่ายสูงในการนำไปใช้และมีแนวโน้มที่จะเกิด SMS และ OTP ที่ล่าช้าหรือสูญหาย

ในทำนองเดียวกัน การบล็อกที่อยู่ IP ตามการเปลี่ยนแปลงพฤติกรรมสามารถนำไปสู่การบล็อกลูกค้าและโอกาสในการขายที่ถูกต้องโดยไม่ได้ตั้งใจ ไม่สามารถใช้ความฉลาดของอุปกรณ์เป็นโซลูชันการรักษาความปลอดภัยแบบสแตนด์อโลนได้ เนื่องจากผู้ใช้ส่วนใหญ่ในปัจจุบันมีอุปกรณ์และเบราว์เซอร์จำนวนมากติดตั้งอยู่ CAPTCHA ล้าหลังเทคโนโลยีบอทที่เปลี่ยนแปลงตลอดเวลา พวกเขากำลังแสดงผลไม่ได้ผลอย่างรวดเร็วเนื่องจากมักจะขัดขวางผู้ใช้อินเทอร์เน็ตโดยไม่จำเป็นโดยไม่หยุดการโจมตี

The Takeaway: การยับยั้งคือกุญแจสำคัญ

ในยุคที่ปัญหาการโจมตีโดยใช้ข้อมูลประจำตัวเป็นภัยคุกคามที่เพิ่มขึ้น ธุรกิจทุกขนาดจะต้องต่อสู้เพื่อสร้างสมดุลระหว่างค่าใช้จ่ายในการแก้ไขที่ขยายตัวด้วยมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพซึ่งสร้าง ROI ที่ทำงานได้ การโจมตีเหล่านี้มีราคาไม่แพงมากสำหรับผู้โจมตี แต่พวกเขาสามารถปล่อยให้ธุรกิจพิการภายใต้ความสูญเสียทางการเงินและความเสียหายต่อชื่อเสียง

กล่าวโดยสรุป การบรรเทาการโจมตีด้วยการใช้ข้อมูลประจำตัวอาจไม่เพียงพอที่จะปกป้องธุรกิจจากอันตราย พวกเขาต้องมุ่งเน้นไปที่การยับยั้งอาชญากรเพื่อรักษาความปลอดภัยให้กับข้อมูล แนวทางใหม่ในการยับยั้งการฉ้อโกงเป็นสิ่งจำเป็นเพื่อให้องค์กรมีการป้องกันที่ยั่งยืนในขณะที่วิธีการโจมตียังคงพัฒนาต่อไป

ตามรายงานของ Akamai State of the Internet ดังกล่าว การโจมตีด้วยการใช้ข้อมูลประจำตัวจะไม่เกิดขึ้นทุกที่ เนื่องจากไม่สามารถหยุดได้ทั้งหมด ธุรกิจควรตั้งเป้าหมายที่จะทำให้กระบวนการรับชื่อผู้ใช้และรหัสผ่านที่ตรงกันมีความท้าทายมากที่สุด ลดการใช้รหัสผ่านซ้ำและส่งเสริมการสร้าง รหัสผ่านที่แข็งแกร่ง เป็นเครื่องยับยั้งที่มีประสิทธิภาพและราคาไม่แพงสำหรับธุรกิจในภาคส่วนต่างๆ

อ่านเพิ่มเติม

เกี่ยวกับ ยีน เฟย์

จีน เฟย์เป็นผู้บริหารระดับสูงมากประสบการณ์ที่มีประวัติความสำเร็จในการทำงานด้านเทคโนโลยีสารสนเทศ มีทักษะด้าน Cyber ​​Security, Storage Area Network (SAN), Sales, Professional Services และ Data Center ผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศที่แข็งแกร่งพร้อม MBA ที่เน้นด้านเทคโนโลยีขั้นสูงจากมหาวิทยาลัยภาคตะวันออกเฉียงเหนือ - บัณฑิตวิทยาลัยบริหารธุรกิจ นอกจากนี้ เขายังเป็นเจ้าภาพของ eXecutive Security Podcast ซึ่งเป็นพอดคาสต์ที่มีการสนทนากับ CISO และผู้นำด้านความปลอดภัยอื่นๆ เกี่ยวกับวิธีที่บุคคลสามารถเข้าร่วมและเพิ่มพูนอาชีพด้านความปลอดภัยได้

เชื่อมต่อ: