Wypychanie poświadczeń to rodzaj ataku cybernetycznego polegający na „wypychaniu” skradzionych danych uwierzytelniających do wielu witryn internetowych.
Narzędzia takie jak boty pozwoliły hakerom zautomatyzować wypychanie, umożliwiając im przetestowanie milionów danych logowania na dziesiątkach witryn w krótkim czasie. Oto, co musisz wiedzieć o tym ataku i prostych sposobach ochrony.
Co to jest nadzienie poświadczeń?
Wypychanie poświadczeń polega na upychaniu dużej kolekcji skradzionych haseł i nazw użytkowników na wielu stronach internetowych. Polegają na włamaniach i wyciekach potworów sprzedawanych w ciemnej sieci w celu uzyskania ich danych. Celem jest wykorzystanie milionów kombinacji loginów i nazw użytkowników z poprzednich wycieków do infiltracji innych witryn internetowych.
Czy wiesz, że ponowne użycie #Hasła i brak #multifactorauthentication utorować drogę #credentialstuffing ataki. W rzeczywistości FBI twierdzi, że 41% wszystkich ataków na sektor finansowy w latach 2017-2020 było spowodowanych wypychaniem poświadczeń. https://t.co/h99KM6RPL7pic.twitter.com/4IEEEwbZ2n
- Simon Heslop (@ supersi101) 9 grudnia 2020 r
Aby ich ataki były skuteczne, polegają na jednym ludzkim błędzie - używając tej samej nazwy użytkownika i / lub hasła w wielu witrynach. Według badań aż 85 procent wszystkich użytkowników przetwarza swoje hasła na różne konta.
I właśnie tego rodzaju myślenie umożliwia cyberprzestępcom wykorzystanie danych logowania z jednego włamania do witryny w celu uzyskania dostępu do innych usług.
Wskaźnik sukcesu jest dość niski i wynosi od 0,1 do około 2 procent. Oznacza to, że na każdy milion przetestowanych danych logowania tylko około 1000 danych uwierzytelniających można wykorzystać, aby uzyskać dostęp do innych witryn internetowych. Ale to, co sprawia, że ich wysiłki są tego warte, to kopalnia danych, które mogą zbierać z każdego konta, które infiltrują.
Powiedzmy, że udało im się włamać do około tysiąca kont, które zawierają informacje bankowe lub dane uwierzytelniające karty kredytowej. Mogą wyprowadzać fundusze lub wykorzystać je do popełnienia innych form oszustwa. Inne dane osobowe (PII), takie jak numery ubezpieczenia społecznego lub informacje podatkowe, mogą zostać wykorzystane do popełnienia przestępstw, takich jak kradzież tożsamości.
Cyberprzestępcy zarabiają na wszystkim, co znajdą na każdym koncie, co sprawia, że atak wart jest wysiłku, pomimo bardzo niskiego współczynnika dopasowania logowań.
Jak przeprowadza się atak na wypychanie?
Oczywiście hakerzy nie wprowadzają ręcznie skradzionych danych logowania jeden po drugim strony internetowe, ponieważ do przeprowadzenia ataku potrzebują milionów (a nawet miliardów) skradzionych danych logowania Warto było.
Zamiast tego złamane dane uwierzytelniające powstałe w wyniku wycieku danych są ładowane do botnetów, które uruchamiają automatyczne próby logowania. Następnie używają dalszych narzędzi, aby uniknąć wykrycia.
Związane z: Co to jest botnet i czy Twój komputer jest jego częścią?
Botnety są głównym źródłem złośliwego oprogramowania, oprogramowania wymuszającego okup, spamu i nie tylko. Ale co to jest botnet? Jak powstają? Kto ich kontroluje? Jak możemy ich powstrzymać?
Pojedynczy botnet może wykonywać tysiące prób logowania na godzinę. Na przykład w ataku polegającym na wypychaniu poświadczeń w 2016 r. Wykorzystano botnet, który wysyłał ponad 270 000 żądań logowania w wielu witrynach na godzinę.
W jaki sposób ataki faszerujące mogą uniknąć wykrycia?
Podczas gdy wiele witryn stosuje środki bezpieczeństwa do wykrywania wielokrotnych nieuczciwych logowań, hakerzy znaleźli sposoby na obejście tych środków.
Lista proxy jest używana do odbijania żądań i maskowania źródła lub, po prostu, sprawiania, że żądania logowania wyglądają, jakby pochodziły z różnych lokalizacji. Korzystają również z innych narzędzi, aby wyglądało na to, że wielokrotne próby logowania pochodzą z różnych przeglądarek.
Dzieje się tak, ponieważ wielokrotne próby logowania z tylko jednego typu przeglądarki (na przykład tysiąc na godzinę) wyglądają podejrzanie i mają większe szanse na oflagowanie jako fałszywe.
Wszystkie te techniki naśladują legalną aktywność tysięcy użytkowników w różnych lokalizacjach. To sprawia, że wektor ataku jest prosty, ale trudny do wykrycia.
Jaka jest różnica między wypychaniem poświadczeń a atakami brutalnej siły?
Credential Stuffing to podtyp brutalnego ataku siłowego, który jest znacznie silniejszy, ponieważ jest bardziej ukierunkowany.
Atak brute force zasadniczo polega na odgadywaniu haseł przy użyciu różnych losowych kombinacji znaków. Używają zautomatyzowanego oprogramowania do wielokrotnego zgadywania, testując kilka możliwych kombinacji, aż do odkrycia hasła. Odbywa się bez kontekstu.
#credentialstuffing#cybersecurityminiseries#ntellitechs#infografika#techpic.twitter.com/IPuiyja79v
- Ntellitechs (@ntellitechs) 7 grudnia 2020 r
Z drugiej strony wypełnianie poświadczeń wykorzystuje dane logowania i hasła z poprzednich naruszeń danych. Używają pary hasło-nazwa użytkownika z wycieku z jednej witryny, a następnie testują ją w innych usługach.
Chociaż używanie silnych haseł może chronić Cię przed atakami brutalnej siły, jest to bezużyteczne, jeśli używasz tego samego hasła na innych stronach internetowych, gdy przeprowadzany jest atak wypychania.
Jaka jest różnica między upychaniem poświadczeń a ich zrzucaniem?
Choć może się to wydawać takie samo, zrzucanie poświadczeń to inny rodzaj ataku, którego celem jest infiltracja sieci przez jeden punkt wejścia lub maszynę.
Podczas gdy upychanie danych logowania wykorzystuje wiele danych logowania z poprzednich naruszeń, aby dostać się do innych witryn internetowych, zrzucanie poświadczeń wiąże się z wejściem do jednego komputera i wyodrębnieniem wielu loginów kwalifikacje.
Odbywa się to poprzez dostęp do poświadczeń zapisanych w pamięci podręcznej w wielu rejestrach komputera lub wyodrębnienie poświadczeń z bazy danych Security Account Manager (SAM). Ta ostatnia zawiera wszystkie konta utworzone za pomocą haseł zapisanych jako skróty.
Celem ataku zrzucania poświadczeń jest uzyskanie przyczółka do sieci lub dostępu do innych komputerów w systemie. Po pobraniu danych logowania z jednego komputera haker może ponownie wejść do urządzenia lub uzyskać dostęp do całej sieci, aby spowodować więcej szkód.
W przeciwieństwie do wypychania, atak zrzucania poświadczeń wykorzystuje jeden punkt wejścia, jedną maszynę z niezałatanymi lukami w celu infiltracji sieci.
ZWIĄZANE Z: Co to jest dumping poświadczeń? Chroń się dzięki tym 4 wskazówkom
Jak się uchronić przed atakiem zacierania?
W przypadku większości użytkowników najlepszym i najprostszym sposobem ochrony siebie jest używanie unikalnych haseł do każdej witryny internetowej lub konta. Zrób to przynajmniej dla tych, którzy mają Twoje poufne informacje, takie jak dane bankowe lub dane karty kredytowej.
Włączenie uwierzytelniania dwuskładnikowego (2FA) lub uwierzytelniania wieloskładnikowego (MFA) utrudnia hakerom przejęcie konta. Polegają one na drugorzędnym sposobie weryfikacji, tj. Wysyłaniu kodu na Twój numer telefonu, a także wymaganiu podania nazwy użytkownika i hasła.
Jeśli zapamiętanie wielu haseł i nazw użytkowników jest mylące, możesz skorzystać z niezawodnego menedżera haseł. Jeśli nie masz pewności co do ich bezpieczeństwa, zapoznaj się z bezpieczne metody stosowane przez menedżerów haseł.
Lub spróbuj menedżer haseł open source.
Chroń swoje hasła
Twoje hasło jest jak klucz do Twojego domu. Musi być wyjątkowy, mocny, a co najważniejsze, należy go zawsze przechowywać w bezpiecznym miejscu.
Te również muszą być niezapomniane i bezpieczne. Możesz odkryć różne narzędzia do haseł, które pomogą Ci stworzyć unikalne, ale zapadające w pamięć narzędzia, które są trudne do złamania przez hakerów.
Utwórz silne hasło, które będziesz mógł później zapamiętać. Skorzystaj z tych aplikacji, aby zwiększyć swoje bezpieczeństwo dzięki nowym silnym hasłom już dziś.
- Bezpieczeństwo
- Bezpieczeństwo online
Loraine od 15 lat pisze do magazynów, gazet i stron internetowych. Ma tytuł magistra w dziedzinie technologii stosowanych w mediach i żywo interesuje się mediami cyfrowymi, studiami nad mediami społecznościowymi i cyberbezpieczeństwem.
Zapisz się do naszego newslettera
Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Jeszcze jeden krok…!
Potwierdź swój adres e-mail w wiadomości e-mail, którą właśnie wysłaliśmy.
