Med så mange nettsteder og applikasjoner som krever unike brukerlegitimasjon, det vil si et brukernavn og et passord, kan det bli fristende å bruke den samme legitimasjonen på alle disse plattformene.
Faktisk, ifølge 2022 Annual Identity Exposure Report av SpyCloud, som analyserte mer enn 15 milliarder kompromitterte legitimasjoner tilgjengelig på kriminelle underjordiske nettsteder, ble det funnet at 65 prosent av brutte passord ble brukt til minst to kontoer.
For brukere som gjenbruker legitimasjon på forskjellige plattformer, kan det virke som en genial måte å unngå å glemme passord, men i virkeligheten er det en katastrofe som venter på å skje.
I tilfelle et av systemene er kompromittert og legitimasjonen din blir registrert, risikerer alle andre kontoer som bruker samme legitimasjon. Med tanke på at kompromittert legitimasjon selges billig på det mørke nettet, kan du lett bli et offer for legitimasjonsfylling.
Credential stuffing er et nettangrep der ondsinnede aktører bruker stjålet legitimasjon for en nettkonto eller et system for å prøve å få tilgang til andre ikke-relaterte nettkontoer eller systemer.
Et eksempel på dette er en ondsinnet aktør som får tilgang til brukernavnet og passordet ditt for Twitter-kontoen din og bruker de kompromitterte legitimasjonene for å prøve å få tilgang til en Paypal-konto.
I tilfelle du bruker samme legitimasjon på Twitter og Paypal, vil Paypal-kontoen din bli overtatt på grunn av brudd på Twitter-legitimasjonen din.
I tilfelle du bruker Twitter-legitimasjonen din på flere nettkontoer, kan disse nettkontoene også bli kompromittert. Et slikt angrep er kjent som credential stuffing, og det utnytter det faktum at mange brukere gjenbruker legitimasjon på flere nettkontoer.
Ondsinnede aktører som utfører credential-stuffing-angrep bruker vanligvis roboter for å automatisere og skalere prosessen. Dette lar dem bruke et stort antall kompromitterte legitimasjoner og målrette mot flere nettplattformer. Med kompromittert legitimasjon som lekkes fra datainnbrudd og også selges på det mørke nettet, har angrep på legitimasjon blitt utbredt.
Innholdsfortegnelse
Hvordan credential stuffing fungerer
Et påloggingsfyllende angrep starter med anskaffelse av kompromittert legitimasjon. Disse brukernavnene og passordene kan kjøpes på det mørke nettet, få tilgang fra passorddump-sider, eller hentes fra datainnbrudd og phishing-angrep.
Det neste trinnet innebærer å sette opp roboter for å teste den stjålne legitimasjonen på forskjellige nettsteder. Automatiserte roboter er det viktigste verktøyet for angrep på legitimasjonsfylling, ettersom roboter snikende kan utføre legitimasjonsfylling ved å bruke et stort antall legitimasjon mot mange nettsteder i høye hastigheter.
Utfordringen med at en IP-adresse blokkeres etter flere mislykkede påloggingsforsøk, unngås også ved å bruke roboter.
Når et credential-stuffing-angrep lanseres, lanseres også automatiserte prosesser for å overvåke for vellykkede pålogginger parallelt med credential-stuffing-angrepet. På denne måten får angripere enkelt legitimasjon som fungerer på visse nettsider og bruker dem til å overta en konto på plattformene.
Når angripere har fått tilgang til en konto, er hva de kan gjøre med den opp til deres skjønn. Angripere kan selge legitimasjonen til andre angripere, stjele sensitiv informasjon fra kontoen, forplikte seg til identitet eller bruke kontoen til å foreta nettkjøp i tilfelle en bankkonto blir kompromittert.
Hvorfor credential stuffing-angrep er effektive
Credential Stuffing er et cyberangrep med svært lave suksessrater. Faktisk, ifølge The Economy of Credential Stuffing Attacks Report av Insikt Group, som er Recorded Futures trusselforskningsavdeling, er den gjennomsnittlige suksessraten for credential stuffing-angrep mellom én til tre prosent.
Så mye som suksessratene er lave, bemerket Akamai Technologies i sin 2021 State of the Internet / Security-rapport at Akamai i 2020 så 193 milliarder legitimasjonsangrep globalt.
Årsaken til det høye antallet påloggingsangrep og hvorfor de blir mer utbredt er på grunn av antallet kompromitterte legitimasjonsopplysninger som er tilgjengelige og tilgang til avanserte botverktøy som gjør påloggingsangrep mer effektive og nesten ikke kan skilles fra menneskelige påloggingsforsøk.
For eksempel, selv med en lav suksessrate på bare én prosent, hvis en angriper har 1 million kompromittert legitimasjon, kan de kompromittere rundt 10 000 kontoer. Store mengder kompromittert legitimasjon handles på det mørke nettet, og så store volumer kompromittert legitimasjon kan gjenbrukes på flere plattformer.
Disse høye volumene av kompromittert legitimasjon resulterer i en økning i antallet kompromitterte kontoer. Dette, kombinert med det faktum at folk fortsetter å gjenbruke legitimasjonen sin på flere nettkontoer, blir påloggingsfyllingsangrep veldig effektive.
Credential Stuffing vs. Brute Force angrep
Selv om credential stuffing og brute force-angrep begge er kontoovertakelsesangrep, og Open Web Application Security Project (OWASP) anser legitimasjonsfylling som en undergruppe av brute force-angrep, er de to forskjellige i hvordan de utføres.
I et brute-force-angrep prøver en ondsinnet skuespiller å overta en konto ved å gjette brukernavnet eller passordet eller begge. Dette gjøres vanligvis ved å prøve ut så mange mulige kombinasjoner av brukernavn og passord uten kontekst eller anelse om hva de kan være.
En brute force kan bruke vanlige passordmønstre eller en ordbok over ofte brukte passordfraser som Qwerty, passord eller 12345. Et brute force-angrep kan lykkes hvis brukeren bruker svake passord eller systemstandardpassord.
Et påloggingsangrep forsøker derimot å overta en konto ved å bruke kompromittert legitimasjon hentet fra andre systemer eller nettkontoer. I et credential stuffing-angrep gjetter ikke angrepet legitimasjonen. Suksessen til et legitimasjonsstopp-angrep er avhengig av at en bruker gjenbruker legitimasjonen sin på flere nettkontoer.
Vanligvis er suksessratene for brute force-angrep mye lavere enn credential stuffing. Brute force-angrep kan forhindres ved å bruke sterke passord. Bruk av sterke passord kan imidlertid ikke forhindre fylling av legitimasjon i tilfelle det sterke passordet deles mellom flere kontoer. Legitimasjonsfylling forhindres ved å bruke unik legitimasjon på nettkontoer.
Hvordan oppdage credential stuffing-angrep
Aktører for trussel om legitimasjon bruker vanligvis roboter som etterligner menneskelige agenter, og det er ofte svært vanskelig å skille mellom et påloggingsforsøk fra et ekte menneske og ett fra en bot. Imidlertid er det fortsatt tegn som kan signalisere et pågående angrep på legitimasjon.
For eksempel bør en plutselig økning i nettrafikk vekke mistanke. I et slikt tilfelle, overvåk påloggingsforsøk til nettstedet, og i tilfelle det er en økning i påloggingsforsøk på flere kontoer fra flere IP-adresser eller en økning i påloggingsfeilfrekvens, kan dette indikere et pågående angrep på legitimasjonsstopp.
En annen indikator på et påloggingsangrep er brukere som klager over å være utestengt fra kontoene sine eller motta varsler om mislykkede påloggingsforsøk som ikke ble gjort av dem.
Overvåk i tillegg brukeraktivitet, og i tilfelle du oppdager uvanlig brukeraktivitet, som å gjøre endringer i innstillingene, profilinformasjon, pengeoverføringer og nettkjøp, kan dette signalisere et angrep på legitimasjon.
Hvordan beskytte mot legitimasjonsfylling
Det er flere tiltak som kan iverksettes for å unngå å bli offer for legitimasjonsfyllende angrep. Dette inkluderer:
#1. Unngå å gjenbruke den samme legitimasjonen på tvers av flere kontoer
Påloggingsfylling er avhengig av at en bruker deler legitimasjon på tvers av flere nettkontoer. Dette kan enkelt unngås ved å bruke unik legitimasjon på forskjellige nettkontoer.
Med passordbehandlere som Google Password Manager kan brukere fortsatt bruke unike og svært passord uten å bekymre seg for å glemme legitimasjonen. Bedrifter kan også håndheve dette ved å forhindre bruk av e-post som brukernavn. På denne måten er det mer sannsynlig at brukere bruker unik legitimasjon på forskjellige plattformer.
#2. Bruk multifaktorautentisering (MFA)
Multifaktorautentisering er bruken av flere metoder for å autentisere identiteten til en bruker som prøver å logge på. Dette kan implementeres ved å kombinere tradisjonelle autentiseringsmetoder for et brukernavn og et passord, sammen med en hemmelig sikkerhetskode som deles med brukere via e-post eller tekstmelding for ytterligere å bekrefte identiteten deres. Dette er veldig effektivt for å forhindre fylling av legitimasjon, da det legger til et ekstra lag med sikkerhet.
Den kan til og med gi deg beskjed når noen prøver å kompromittere kontoen din, da du vil få en sikkerhetskode uten å be om en. MFA er så effektivt at en Microsoft-studie har fastslått at det er 99,9 prosent mindre sannsynlighet for at nettkontoer blir kompromittert hvis de bruker MFA.
#3. Fingeravtrykk på enheten
Enhetsfingeravtrykk kan brukes til å knytte tilgang til en nettkonto med en bestemt enhet. Enhetsfingeravtrykk identifiserer enheten som brukes for å få tilgang til en konto ved å bruke informasjon som enhetsmodell og nummer, operativsystemet som brukes, språk og land, blant annet.
Dette skaper et unikt enhetsfingeravtrykk som deretter knyttes til en brukerkonto. Tilgang til kontoen ved hjelp av en annen enhet er ikke tillatt uten tillatelse gitt av enheten tilknyttet kontoen.
#4. Overvåk for lekke passord
Når brukere prøver å lage brukernavn og passord for en nettplattform i stedet for bare å sjekke styrken til passordene, kan legitimasjonen motsjekkes mot publiserte lekkede passord. Dette bidrar til å forhindre bruk av legitimasjon som senere kan utnyttes.
Organisasjoner kan implementere løsninger som overvåker brukerlegitimasjon mot lekket legitimasjon på det mørke nettet og varsle brukere når en treff blir funnet. Brukere kan deretter bli bedt om å bekrefte identiteten sin gjennom en rekke metoder, endre legitimasjon og også implementere MFA for å beskytte kontoen deres ytterligere
#5. Credential Hashing
Dette innebærer kryptering av brukerlegitimasjon før de lagres i en database. Dette bidrar til å beskytte mot misbruk av legitimasjon i tilfelle et databrudd på systemene, da legitimasjonen vil bli lagret i et format som ikke kan brukes.
Selv om dette ikke er en idiotsikker metode, kan det gi brukerne tid til å endre passordene sine i tilfelle et datainnbrudd.
Eksempler på credential stuffing-angrep
Noen bemerkelsesverdige eksempler på credential-stuffing-angrep inkluderer:
- Stjelingen av over 500 000 Zoom-legitimasjon i 2020. Dette legitimasjonsangrepet ble utført ved bruk av brukernavn og passord hentet fra forskjellige mørke nettfora, med legitimasjon hentet fra angrep som dateres så langt tilbake som i 2013. Den stjålne zoom-legitimasjonen ble gjort tilgjengelig på dark web-fora. web og selges billig til villige kjøpere
- Gå på akkord med tusenvis av brukerkontoer fra Canada Revenue Agency (CRA). I 2020 ble rundt 5500 CRA-kontoer kompromittert i to separate legitimasjonsangrep som resulterte i at brukere ikke kunne få tilgang til tjenester som tilbys av CRA.
- Kompromiss med 194 095 The North Face-brukerkontoer. The North Face er et selskap som selger sportsklær, og det ble utsatt for et legitimasjonsangrep i juli 2022. Angrepet resulterte i lekkasje av brukerens fulle navn, telefonnummer, kjønn, lojalitetspoeng, fakturerings- og leveringsadresse, kontoopprettelsesdato, og kjøpshistorikk.
- Reddit credential-stuffing-angrep i 2019. Flere Reddit-brukere ble utestengt fra kontoene sine etter at legitimasjonen deres ble kompromittert gjennom credential-stuffing-angrep.
Disse angrepene fremhever viktigheten av behovet for å beskytte deg mot lignende angrep.
Konklusjon
Du har kanskje kommet over selgere av legitimasjon til strømmesider som Netflix, Hulu og disney+ eller nettjenester som Grammarly, Zoom og Turnitin, blant andre. Hvor tror du selgerne henter legitimasjonen?
Vel, slik legitimasjon er sannsynligvis fått gjennom legitimasjonsfyllende angrep. Hvis du bruker samme legitimasjon på flere nettkontoer, er det på tide at du endrer dem før du blir et offer.
For å beskytte deg selv ytterligere, implementer multifaktorautentisering på alle nettkontoene dine og unngå å kjøpe kompromittert legitimasjon, da dette skaper et mulig miljø for angrep på legitimasjon.