Giải thích các cuộc tấn công nhồi nhét xác thực (và Cách ngăn chặn chúng)

Cập nhật: 2022-04-25 / Bài viết của: Gene Fay
Cách hoạt động của các cuộc tấn công nhồi nhét thông tin xác thực

Chìa khóa để biết cách ngăn chặn các cuộc tấn công nhồi nhét thông tin xác thực là hiểu chúng là gì, cách chúng được thực hiện và cách chúng có thể ảnh hưởng đến doanh nghiệp và dữ liệu của bạn.

Nói một cách đơn giản, cuộc tấn công nhồi nhét thông tin xác thực là một cuộc đối sánh tự động của tên người dùng và mật khẩu bị đánh cắp mà bọn tội phạm có thể sử dụng để tìm các tổ hợp thông tin xác thực đăng nhập hợp lệ. Cách tiếp cận này thúc đẩy các cuộc tấn công chiếm đoạt tài khoản và thường có xu hướng đi trước chúng. Tội phạm cần phải truy cập vào tài khoản trước khi chúng có thể chiếm đoạt và sử dụng chúng cho mục đích riêng của chúng.

Trên thực tế, các cuộc tấn công nhồi nhét thông tin xác thực chiếm một tỷ lệ đáng kể trong tất cả các loại tấn công trực tuyến, gần 5% tổng lưu lượng truy cập kỹ thuật số liên quan đến các cuộc tấn công này.

Sự gia tăng gần đây của các cuộc tấn công nhồi nhét thông tin xác thực là do hành vi đánh cắp thông tin cá nhân của người tiêu dùng đang diễn ra và trong một số trường hợp có lợi nhuận cao thông qua các vụ vi phạm dữ liệu thường xuyên. Người tiêu dùng sử dụng lại và tái sử dụng mật khẩu trên các tài khoản trực tuyến của họ đặc biệt gặp rủi ro.

Về cơ bản, điều này có nghĩa là nếu kẻ tấn công có thể truy cập vào một tổ hợp tên người dùng và mật khẩu hợp lệ được một người sử dụng trên nhiều tài khoản trực tuyến, thì những tài khoản này đều có thể bị xâm nhập dễ dàng trong một khoảng thời gian tương đối ngắn.

Các cuộc tấn công nhồi nhét xác thực hoạt động như thế nào?

Có ba giai đoạn chính trong bất kỳ cuộc tấn công nhồi nhét thông tin xác thực nào:

  1. Thu thập dữ liệu
  2. Đối sánh thông tin xác thực
  3. Kiếm tiền từ một cuộc tấn công

Những kẻ tấn công thường sử dụng bot để tự động hóa quy trình xác thực thông tin xác thực và tìm các tổ hợp tên người dùng và mật khẩu hợp lệ. Các bot mạnh mẽ này có thể khớp hàng nghìn mật khẩu với tên người dùng để tìm ra các kết hợp hợp lệ có thể được sử dụng để truy cập không mong muốn vào các tài khoản kỹ thuật số. Cách tiếp cận này cho phép những kẻ tấn công mở rộng quy mô nỗ lực và tăng ROI của họ trong khi gây thiệt hại đáng kể cho các doanh nghiệp và cá nhân.

Các cuộc tấn công nhồi nhét thông tin đăng nhập phổ biến như thế nào?

Các cuộc tấn công kỹ thuật số này rất phổ biến và phổ biến trên nhiều ngành và lĩnh vực trực tuyến. Đôi khi chúng thậm chí còn được thực hiện bởi các bot tự động thay vì các cá nhân con người. Những con bot tiên tiến với khả năng trí tuệ nhân tạo rất dễ dàng và sẵn sàng cho những kẻ tấn công, những kẻ này thậm chí có thể truy cập các dịch vụ hỗ trợ để hỗ trợ chúng trong các cuộc tấn công của chúng. Công nghệ này giúp những kẻ tấn công dễ dàng thực hiện các cuộc tấn công quy mô lớn bằng cách sử dụng bot với chi phí tối thiểu.

Nhiều kẻ tấn công cũng biết về các kỹ thuật phòng chống gian lận cơ bản và có thể sử dụng kiến ​​thức này để đi vòng quanh và khai thác các hệ thống công nghệ nhằm mang lại lợi ích cho chúng. Sau khi xâm phạm mạng, họ có thể sử dụng bot để khám phá nội bộ, đánh cắp dữ liệu cá nhân và làm gián đoạn hoạt động và hệ thống bảo mật của doanh nghiệp.

Hiểu các số liệu thống kê

Nền tảng thông báo vi phạm dữ liệu miễn phí HaveIBeenPwnd.com theo dõi hơn 8.5 tỷ thông tin đăng nhập bị xâm phạm từ hơn 400 sự kiện vi phạm dữ liệu. Dịch vụ này chỉ theo dõi thông tin xác thực từ các tập dữ liệu công khai hoặc được phân phối rộng rãi bằng cách sử dụng các nền tảng ngầm. Nhiều bãi chứa cơ sở dữ liệu là riêng tư và chỉ các nhóm hack nhỏ mới có quyền truy cập vào chúng.

Các cuộc tấn công nhồi nhét thông tin xác thực được hỗ trợ bởi một nền kinh tế ngầm hoàn chỉnh tập trung vào việc bán thông tin xác thực bị đánh cắp và các công cụ hỗ trợ tùy chỉnh để giúp những kẻ tấn công trong nỗ lực của họ. Các công cụ này sử dụng 'danh sách kết hợp' được đối chiếu từ các tập dữ liệu khác nhau sau khi mật khẩu băm được tìm thấy trong các tập dữ liệu bị rò rỉ bị bẻ khóa. Về cơ bản, việc khởi chạy các cuộc tấn công nhồi thông tin xác thực không yêu cầu bất kỳ kiến ​​thức hoặc kỹ năng chuyên môn nào. Bất kỳ ai có đủ tiền để mua dữ liệu và công cụ họ cần đều có thể thực hiện một cuộc tấn công.

Các cuộc tấn công nhồi nhét thông tin xác thực đã trở nên hiệu quả về mặt chi phí - với mức thấp nhất là 200 đô la cho mỗi 100,000 lần tiếp quản tài khoản (nguồn).

Công ty cung cấp nội dung và bảo mật Akamai đã phát hiện ra 193 tỷ cuộc tấn công nhồi nhét thông tin xác thực trên quy mô toàn cầu chỉ trong năm 2020. Con số này đến như một Tăng 360% so với số liệu của năm 2019. Mặc dù một số sự gia tăng này có thể là do sự theo dõi rộng rãi hơn của nhiều khách hàng hơn. Một số ngành, chẳng hạn như ngành dịch vụ tài chính, được nhắm mục tiêu đặc biệt thường xuyên. Báo cáo tháng 2021 năm 2020 của Akamai đã trích dẫn một số đợt tăng đột biến về số lượng các cuộc tấn công này, bao gồm một ngày duy nhất vào cuối năm XNUMX chứng kiến ​​hơn một tỷ cuộc tấn công được phát động.

Cách phát hiện các cuộc tấn công

Các cuộc tấn công nhồi nhét thông tin xác thực được thực hiện thông qua các công cụ tự động và mạng botnet cho phép sử dụng proxy phân phối các yêu cầu giả mạo trên một số địa chỉ IP khác nhau. Những kẻ tấn công cũng thường cấu hình các công cụ mà chúng lựa chọn để bắt chước các tác nhân người dùng đích thực - các tiêu đề xác định hệ điều hành và trình duyệt mà các yêu cầu web bao gồm.

Tất cả những điều này khiến việc phân biệt giữa các cuộc tấn công và các nỗ lực đăng nhập thực sự trở nên khó khăn. Đặc biệt là trên các trang web có lượng truy cập cao mà làn sóng yêu cầu đăng nhập đột ngột không nổi bật so với hành vi đăng nhập thông thường. Như đã nói, sự gia tăng tỷ lệ đăng nhập thất bại trong một khoảng thời gian ngắn có thể cho thấy rằng một cuộc tấn công nhồi nhét thông tin xác thực đã được thực hiện chống lại một trang web.

Có nhiều tường lửa ứng dụng web và các dịch vụ tương tự sử dụng chẩn đoán hành vi nâng cao để phát hiện các hành vi đăng nhập đáng ngờ. Thêm, chủ sở hữu trang web có thể thực hiện các biện pháp của riêng họ để ngăn chặn các cuộc tấn công trong tương lai.

Tìm hiểu thêm

Làm thế nào để ngăn chặn các cuộc tấn công nhồi nhét thông tin xác thực

Bạn có phải là robot không?

Các cuộc tấn công nhồi nhét thông tin xác thực là một trong những mối đe dọa đáng kể nhất đối với tài khoản kỹ thuật số của người dùng internet ngày nay và điều này cũng áp dụng cho các doanh nghiệp. Các tổ chức, doanh nghiệp nhỏ và mọi người ở giữa nên thực hiện các biện pháp bảo vệ chống lại những mối đe dọa này để đảm bảo rằng dữ liệu cá nhân và tổ chức của họ được an toàn.

Một số phổ biến nhất ngăn chặn nhồi nhét thông tin xác thực các kỹ thuật bao gồm:

  • CAPTCHA
    CAPTCHA là một dạng bot phổ biến được sử dụng để ngăn chặn các cuộc tấn công do các bot khác điều khiển. Họ yêu cầu người dùng internet giải các câu đố khi đăng nhập để đảm bảo rằng họ là con người. CAPTCHA có sẵn trong nhiều phiên bản khác nhau, bao gồm hình ảnh, văn bản, âm thanh, tổng toán học, v.v.
  • Thông tin đăng nhập sinh trắc học hành vi
    Một số doanh nghiệp đã sử dụng đến phân tích hành vi người dùng điển hình và các mẫu lưu lượng truy cập web để phát hiện các mối đe dọa. Họ có thể sử dụng dữ liệu này để phát hiện các hành vi bất thường và khả năng khai thác hệ thống của họ.
  • Chặn địa chỉ IP
    Nhiều doanh nghiệp đã chặn địa chỉ IP do hoạt động đáng ngờ và những doanh nghiệp khác chọn cách ly các yêu cầu đáng ngờ cho đến khi chúng có thể được xem xét và xác minh.
  • Xác thực hai yếu tố và đa yếu tố
    2FA và MFA cung cấp các lớp bảo mật và xác thực bổ sung bằng cách sử dụng thông tin bổ sung mà chỉ người dùng mới biết hoặc có quyền truy cập. Xác thực này có thể ở dạng mã PIN một lần, SMS, câu hỏi bảo mật hoặc các phép đọc sinh trắc học như vân tay hoặc quét khuôn mặt.
  • Tính năng thông minh của thiết bị và tính năng lấy dấu vân tay
    Trí thông minh của thiết bị bao gồm dữ liệu như hệ điều hành, địa chỉ IP, loại trình duyệt và hơn thế nữa. Dữ liệu này giúp tạo ra một danh tính duy nhất có thể được liên kết với một thiết bị cụ thể. Sự sai lệch so với dữ liệu điển hình này có thể gắn cờ các hành vi đáng ngờ, đồng thời cho phép các doanh nghiệp và mọi người hành động một cách chủ động và đưa ra nhiều biện pháp xác thực hơn.
  • Mật khẩu và vệ sinh bảo mật
    Vệ sinh mật khẩu nên là một phần của khóa đào tạo nâng cao nhận thức về bảo mật của mọi doanh nghiệp cho nhân viên. Tái sử dụng mật khẩu là nguyên nhân chính gây ra các cuộc tấn công nhồi nhét thông tin xác thực, do đó, các doanh nghiệp cần ngăn chặn phương pháp này và đảm bảo rằng nhân viên của họ biết tầm quan trọng của việc sử dụng mật khẩu mạnh và duy nhất, cả trong công việc và năng lực cá nhân của họ.
    Người dùng web có thể sử dụng quản lý mật khẩu an toàn để tạo mật khẩu phức tạp và không thể đoán trước cho mọi tài khoản trực tuyến mà họ có. Trình quản lý mật khẩu sẽ tự động lưu trữ các mật khẩu này và cũng có thể thông báo cho người dùng nếu địa chỉ email của họ xuất hiện trong kho dữ liệu công khai.

Một số công ty lớn hơn đã bắt đầu thực hiện các biện pháp chủ động bằng cách phân tích và giám sát các kho dữ liệu công khai để xem liệu các địa chỉ email bị ảnh hưởng có hiện diện trong hệ thống của chính họ hay không. Đối với các tài khoản được tìm thấy trên máy chủ của họ, họ yêu cầu đặt lại mật khẩu và đề xuất bật xác thực đa yếu tố để bảo vệ người tiêu dùng có dữ liệu đã bị xâm phạm.

Hiệu quả của các Biện pháp Phòng ngừa này như thế nào?

Nhiều doanh nghiệp sử dụng một hoặc một số phương pháp phòng vệ được đề cập ở trên để bảo vệ bản thân và dữ liệu của họ khỏi các cuộc tấn công nhồi nhét thông tin xác thực. Tuy nhiên, những cách tiếp cận này không hiệu quả 100%. Chúng đưa ra những thiếu sót chứng tỏ chỉ hiệu quả một phần trong việc cung cấp sự bảo vệ liên tục chống lại các cuộc tấn công đang phát triển.

Các biện pháp phòng ngừa này đặt ra những thách thức tích hợp và làm tăng thêm chi phí kỹ thuật, đồng thời làm phức tạp thêm việc xác định rủi ro, có thể cản trở các nỗ lực phòng chống gian lận hơn nữa. Ví dụ: xác thực đa yếu tố vừa tốn kém chi phí thực hiện vừa dễ bị trễ hoặc mất SMS và OTP.

Tương tự như vậy, việc chặn địa chỉ IP dựa trên thay đổi hành vi có thể dẫn đến việc các doanh nghiệp vô tình chặn khách hàng và khách hàng tiềm năng hợp pháp. Trí thông minh của thiết bị không thể được sử dụng như một giải pháp bảo mật độc lập, vì hầu hết người dùng ngày nay đều có nhiều thiết bị và trình duyệt được cài đặt. CAPTCHA đã tụt hậu sau các công nghệ bot thay đổi liên tục. Chúng nhanh chóng trở nên kém hiệu quả vì chúng thường cản trở người dùng internet một cách không cần thiết mà không ngừng các cuộc tấn công.

Bài học rút ra: Răn đe là chìa khóa

Trong thời đại mà vấn đề tấn công nhồi nhét thông tin xác thực đang là mối đe dọa ngày càng tăng, các doanh nghiệp thuộc mọi quy mô sẽ đấu tranh để cân bằng giữa việc mở rộng chi phí khắc phục với các biện pháp bảo mật hiệu quả tạo ra ROI khả thi. Những cuộc tấn công này cực kỳ phải chăng đối với những kẻ tấn công. Nhưng chúng có thể khiến các doanh nghiệp tê liệt vì tổn thất tài chính và tổn hại danh tiếng.

Tóm lại, việc giảm thiểu các cuộc tấn công nhồi nhét thông tin xác thực có thể không đủ để bảo vệ các doanh nghiệp khỏi bị tổn hại. Thay vào đó, họ phải tập trung vào việc ngăn chặn tội phạm để giữ an toàn cho dữ liệu của họ. Cần có một cách tiếp cận sáng tạo để ngăn chặn gian lận để cung cấp cho các tổ chức sự bảo vệ lâu dài khi các phương pháp tấn công tiếp tục phát triển.

Theo báo cáo của Akamai State of Internet nói trên, các cuộc tấn công nhồi nhét thông tin xác thực sẽ không đi đến đâu. Vì chúng không thể bị dừng hoàn toàn, các doanh nghiệp nên cố gắng làm cho quá trình lấy tên người dùng và mật khẩu trùng khớp càng khó khăn càng tốt. Giảm sử dụng lại mật khẩu và khuyến khích tạo mật khẩu mạnh là một số biện pháp ngăn chặn hiệu quả và hợp lý nhất dành cho các doanh nghiệp trong các lĩnh vực.

Tìm hiểu thêm

Về Gene Fay

Gene Fay là một giám đốc điều hành công nghệ cao giàu kinh nghiệm với lịch sử thành công đã được chứng minh trong lĩnh vực công nghệ thông tin. Có kỹ năng về An ninh mạng, Mạng khu vực lưu trữ (SAN), Bán hàng, Dịch vụ chuyên nghiệp và Trung tâm dữ liệu. Chuyên gia công nghệ thông tin vững vàng với bằng MBA chuyên về Công nghệ cao của Đại học Northeastern - Khoa Quản trị Kinh doanh sau đại học. Ông cũng là người dẫn chương trình eXearch Security Podcast, một podcast gồm các cuộc trò chuyện với CISO và các nhà lãnh đạo bảo mật khác về cách các cá nhân có thể tham gia và phát triển sự nghiệp trong lĩnh vực bảo mật.

Kết nối: