Close
Jak obserwujemy na przestrzeni ostatnich lat, wycieki danych stały się tak powszechnym problemem, że dziś niemal każdy z nas przynajmniej raz został nimi styczność. Sytuację tę pogorszyła pandemia COVID-19, która przyczyniła się do wzrostu częstotliwości występowania ataków typu credential stuffing. Są one o tyle niebezpieczne, że zdobyte w ich wyniku dane mogą być wykorzystywane przez cyberprzestępców na różne sposoby, z włamaniem na konto bankowe włącznie. Czym są ataki typu credential stuffing i co możemy zrobić, by im zapobiec?
Pod pojęciem ataku typu credential stuffing kryje się zautomatyzowane działanie, które polega na próbie przejęcia dostępu do konta. Hakerzy sprawdzają wówczas poprawność haseł, które wyciekły już wcześniej z innych serwisów oraz usług. W momencie, gdy cyberprzestępcy uda się zastosować prawidłową kombinację danych uwierzytelniających, może przejść do kolejnego etapu, czyli wykorzystania danych osobowych ofiary, np. w celu podjęcia zobowiązania kredytowego.
Ze względu na fakt, że niemal jedna trzecia użytkowników Internetu używa ponownie tych samych haseł, skuteczność ataków typu credential stuffing jest bardzo wysoka. Cyberprzestępcy wystarczy zaledwie 5 minut, by wprowadzić skradzione dane do logowania na różnego rodzaju strony internetowe, doprowadzając w ten sposób do naruszenia prywatności profilu w mediach społecznościowych, a także naruszenia własności oprogramowania używanego w firmie.
Dobra informacja jest taka, że wykrycie ataku typu credential stuffing jest stosunkowo proste, jednak pod warunkiem stosowania uwierzytelniania 2FA/MFA dla każdego konta. Dzięki temu będziemy otrzymywać powiadomienia w sytuacji naruszenia konta, a także zostaniemy zobowiązani do wprowadzenia nowego hasła, by móc się zalogować.
Wśród pozostałych sposobów na wykrycie ataków typu credential stuffing wymienia się:
W ostatnich latach zauważyć możemy duży wzrost liczby ataków cybernetycznych typu credential stuffing, które zagrażają danym nie tylko osób prywatnych, ale także firm. Za przykład można wziąć następujące zdarzenia:
Jak podaje OWASP (The Open Web Application Security Project) istnieje 5 sposobów na to, by zabezpieczyć się przed atakami credential stuffing:
Digital Fingerprints S.A. ul. Żeliwna 38, 40-599 Katowice. KRS: 0000543443, Sąd Rejonowy Katowice-Wschód, VIII Wydział Gospodarczy, Kapitał zakładowy: 1 128 828,76 zł – opłacony w całości, NIP: 525-260-93-29
Biuro Informacji Kredytowej S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000110015, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 15.550.000 zł opłacony w całości, NIP: 951-177-86-33, REGON: 012845863.
Biuro Informacji Gospodarczej InfoMonitor S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000201192, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 7.105.000 zł opłacony w całości, NIP: 526-274-43-07, REGON: 015625240.
