Credential Stuffing

КАКВО Е CREDENTIAL STUFFING?

Напоследък може да сте забелязали, че много често се случва следното нещо. Все повече потребителски акаунти се продават в черната мрежа, но компаниите, от които са взети тези акаунти претендират, че техните платформи не са били компрометирани от неотозризарана достъп. Налудничаво звучи, нали? Но в повечето случаи тези компании от техническа гледна точка са прави. Истинската причина за този парадокс се нарича credential stuffing (буквално преведено – напасване на данни).

Стратегията е проста. Хакери се добират до потребителски имена и пароли при хакерски пробив в дадена уеб платформа и просто се опитват със същите потребителски имена и пароли да влязат в други платформи за уеб услуги, които реално не са били хакнати. Защо правят това хакерите (и често пъти им се получава)? Защото потребителите ползват едни и същи потребителски имена и пароли на много различни сайтове. По този начин хакерите имащи едно малко парченце информация, могат да я ползват на много места. В последните дни потребителите на големи компании като Dunkin’ Donuts, Nest, DailyMotion станаха жертва на credential stuffing без реално сигурноста на тези платформи да е била компрометирана.

С несменянето редовно на паролата в различните акаунти потребителите могат да станат жертва на credential stuffing дори и при пробиви и изтичане на данни, които са се случили преди години.

Credential stuffing е проблем от години. От големите пробиви и изтичане на данни от DropBox и LinkedIn през 2012 и MySpace през 2013 credential stuffing атаки много успешно са били приложени и милиони акаунти са били компрометирани на други уеб платформи.

Защо пишем за credential stuffing? Последните месеци има активизиране в тъмната мрежа. Пускат се хакнатите данни за аакунти от много различни хакове през годините наведнъж. Т.е. всякакви хакери ще имат достъп до потребителските имена и паролите на милиони акаунти. Един от тях е познат като Collection #1-5 познат като хака на хакванията 😊 с общо над 2,2 млрд уникални потребителски имена и пароли събрани от различни пробиви през годините. И този списък може да се намери в мрежата в txt формат абсолютно безплатно!!! Точно за това има активизиране на credential stuffing атаките през последните седмици. Някои от тези потребителски имена и пароли са стари. Циркулират от години.

Скоро обаче в Dream Market в тъмната мрежа се продават нови 841 млн. акаунта, които са събрани от скорочни хаквания на MyFitnessPal, MyHeritage, WhitePages, Ge.TT и др. големи сайтове.

Как работи credential stuffing? Вече може би правилно сте предположили, че credential stuffing е автомзтизиран процес. Никой хакер не си прави труда ръчно да вкарва милиони потребителски икмена и пароли. Credential stuffing не работи при голям брой опити за логване идващи от едно и също IP. Това не се допуска от филтрите на интернет доставчиците.

Хакерите са принудени да ползват голям инструментариум, за да избегнат тези защити. Например през фалшиви уеб платформи, чрез списък от различни прокси листи и така заявките изглeжда, че идват от различни IP адреси. Също чрез манипулация на настройките за логване прикриват своите заявки с идея, че те идват от различни браузери. Защо?  Повечето уебсайтове слагат под съмнение, когато засечат огромен брой заявки, които идват от един и същ браузер. Credential stuffing също така използва инструменти, които да се интергрират в платформи (Captchas), които определят дали машина или човек се опитва да се логне. Ползват се също програми, които симулират голям човешки интерес за логване към определени сайтове, по този начин огромия опит логвания се смесва с голямата активност, която самите сайтове по принцип генерират.

Успехът за пробив през credential stuffing е м/у 0.1 и 2 %. Така, че хакерите се нуждаят от милиони откраднати пароли и потребителски имена, за да подготвят целия инструментариум за започването на една кампания за credential stuffing в интернет пространството. След като са пробили и са влезли в акаунта на даден потребител, хакерите имат нужда от още време преди да монетизират своя пробив. Зависи от това колко ценна информация ще намерят в компрометрирания акаунт – например оше лични данни, кредитни карти и тн.

Как да се противопоставим?

Най-добрият начин за защита с/у credential stuffing е да ползвате уникална парола във всеки ваш акаунт. Задължително ползвайте 2-степенна защита на оторизация на влизане, където е възможно.

Големите доставчици на уеб услуги (Google, Amazon, Facebook и др.) също активно се борят с/у credential stuffing. Сканират дали има съвпадение на открднати пароли и потребителски имена с такива при тях. Както вече написахме достъпа до милиони откраднати акаунти е безпроблемен. Ако намерят съвпадение е възможно да получите вежлива молба за промяна на своята парола в акаунта, с който сте се регистрирали.

Друг начин да противодействат e като вкарат сайтове и уеб-платформи в черни листи, когато засекат credential stuffing.

Мерките, които се взимат от доставчиците на уеб услуги постепенно еродират листите с хакнати акаунти и става по-скъпо за хакерите да подготвят credential stuffing атаки. Но това пък е стимул за тях да измислят все по-нови начини да заобиколят забраните и мерките, които уеб фирмите налагат.

Ето защо пак повтаряме, най-добрия начин за противодйствие на credential stuffing е ползването на различна парола навсякъде и ползването за 2-степенна форма на оторизация, където е възможно. Как може да решите проблема с големия брой акаунти, които ползвате (според проучване всеки един съврменен човек ползва около 191 акаунта) е като ползвате password manager.

Съвети относно паролата може да получите на следния линк.

Как да изберете по-добра парола?

При нужда от повече информация обърнете се към Вашата компютърна поддръжка или към нас!

От екип на „ЛИП Трейд“ ООД