Czym jest atak typu „credential stuffing”?
Do ataku typu „credential stuffing” dochodzi, gdy cyberprzestępcy używają zestawu poświadczeń, aby uzyskać dostęp do kilku kont jednocześnie. Ataki tego typu są bardzo skuteczne, gdyż blisko jedna trzecia użytkowników internetu używa haseł ponownie. Cyberprzestępcy wprowadzają skradzione dane logowania na tysiącach stron internetowych w ciągu 5 minut lub kilku godzin, naruszając konta począwszy od mediów społecznościowych po własnościowe oprogramowanie firm.
Ataki typu „credential stuffing” a „password spraying”
Atak typu „password spraying” polega na użyciu zweryfikowanej nazwy użytkownika na kilku kontach w połączeniu z kombinacją różnych popularnych haseł. Jeśli użytkownik nie stosuje dobrych praktyk w zakresie haseł, większość jego kont lub nawet wszystkie mogą być zagrożone, gdyż łatwo jest rozszyfrować popularne hasła.
Atak typu „credential stuffing” polega na ponownym wykorzystaniu haseł. Ponieważ tak wiele osób ponownie używa swoich haseł do wielu kont, wystarczy jeden zestaw poświadczeń, aby ujawnić większość lub wszystkie konta. Cyberprzestępcy wykorzystują sieci botnet do przeprowadzania ataków wielopłaszczyznowych na wielu urządzeniach, rozszerzając swoje możliwości ataku za pomocą tylko jednego zestawu poświadczeń.
Jeśli atak typu „credential stuffing” powiedzie się, hakerzy mogą przejąć kontrolę nad danymi bankowymi użytkownika, kontami społecznościowymi i innymi danymi. To z kolei może prowadzić do kradzieży pieniędzy i innych aktywów, szantażu, czy kradzieży tożsamości.
Jak wykryć atak typu „credential stuffing”
Wczesne wykrycie ataku typu „credential stuffing” może dać czas na reakcję i ochronę kont.
Dla użytkowników osobistych
Wykrycie ataku typu „credential stuffing” może być bardzo proste w przypadku stosowania uwierzytelniania wieloskładnikowego (MFA) dla każdego konta. MFA to dodatkowy środek bezpieczeństwa, który można włączyć na większości kont internetowych. Zamiast logować się do konta tylko za pomocą nazwy użytkownika i hasła, musisz podać jeden lub więcej dodatkowych składników uwierzytelniających.
Jeśli nieupoważniona osoba spróbuje zalogować się na konto z włączoną funkcją MFA i otrzymasz kody e-mail lub SMS, kody te zasadniczo działają jako ostrzeżenie, że Twoje konta mogą być manipulowane.
Dla użytkowników biznesowych
Wykrywacz anomalii w zakresie ruchu z botów
Te narzędzia pomagają w wykrywaniu anomalii wśród napływającego ruchu internetowego i wysyłają powiadomienia o botach. Ataki typu „credential stuffing” wykorzystują niezależne boty, które mogą szybko podstawiać dane logowania, więc ich wykrycie może pozwolić Ci na podjęcie szybkich działań.
Korzystaj z odcisku palca urządzenia i przeglądarki.
Poświadczenia biometryczne zapewniają silne i unikatowe loginy. Połączenie hasła z poświadczeniem biometrycznym może znacząco zwiększyć bezpieczeństwo konta.
Jak zapobiegać atakom typu „credential stuffing”
Zapobieganie atakom typu „credential stuffing” przez użytkowników
Aby zapobiec atakom typu „credential stuffing”, zacznij od zabezpieczenia każdego ze swoich kont online za pomocą silnych i unikatowych haseł. Hasła powinny składać się z co najmniej 16 znaków i zawierać kombinację wielkich i małych liter oraz symboli i cyfr. Aby ułatwić sobie tworzenie silnych haseł, skorzystaj z generatora haseł. Generator haseł to darmowe narzędzie online, które losowo generuje ciąg znaków do wykorzystania jako hasło.
Wygenerowane hasła nie są łatwe do zapamiętania, więc najlepiej przechowywać je w menedżerze haseł. Menedżer haseł pomaga przechowywać wszystkie hasła i zarządzać nimi, dzięki czemu wystarczy zapamiętać tylko jedno silne hasło główne, aby uzyskać dostęp do pozostałych poświadczeń.
Jako dodatkowy krok bezpieczeństwa, włącz MFA, gdy tylko jest to możliwe. MFA pomaga chronić Twoje konta online przed włamaniem przez nieautoryzowanych użytkowników. Włączenie uwierzytelniania wieloskładnikowego zmniejsza ryzyko stania się ofiarą ataku polegającego na wyłudzeniu poświadczeń, ponieważ nawet jeśli osoba atakująca byłaby w stanie zdobyć Twoją nazwę użytkownika i hasło, nie będzie w stanie uzyskać dostępu bez dodatkowego składnika uwierzytelniania, który posiadasz tylko Ty.
Zapobieganie atakom typu „credential stuffing” jako firma
Aby zapobiec wyłudzaniu danych uwierzytelniających w organizacji, należy zacząć od zabezpieczenia kont pracowników silnymi hasłami i egzekwowania korzystania z uwierzytelniania wieloskładnikowego. Najlepszym sposobem na upewnienie się, że pracownicy przestrzegają najlepszych praktyk w zakresie haseł, jest wdrożenie menedżera haseł dla firm.
Menedżery haseł dla firm zapewniają administratorom IT pełny wgląd w praktyki dotyczące haseł pracowników. Menedżery haseł pomagają również administratorom IT w egzekwowaniu zasad bezpieczeństwa haseł, takich jak egzekwowanie minimalnej długości hasła i wymaganie korzystania z uwierzytelniania MFA wszędzie tam, gdzie jest ono obsługiwane. Posiadając scentralizowane rozwiązanie do zarządzania hasłami, organizacje mogą upewnić się, że podejmują niezbędne środki ostrożności, aby zapobiec możliwości ataków typu „credential stuffing”, które powodują naruszenie kont pracowników.
Uwaga na ataki „credential stuffing”
Ataki typu „credential stuffing” mogą narazić dane osobowe i biznesowe na poważne ryzyko, co może prowadzić do kradzieży tożsamości i strat finansowych. Aby zapobiec sytuacji, w której Ty lub Twoja firma staniecie się ofiarą ataku tego typu, ważne jest, aby wiedzieć, na czym polega ten atak i co można zrobić, aby chronić swoje konta online.