loader image
Close
  • Use case
    • Bankowość i Finanse
    • eCommerce i Retail
    • Telekomunikacja i Dostawcy Mediów
    • Administracja
    • Opieka Zdrowotna
    • Technologie i Informatyka
  • Rodzaje aktywności
    • Współdzielenie kont i udostępnianie urządzeń
    • Uwierzytelnianie pracowników
    • Bezsprzętowe MFA/2FA dla klientów
    • Praca Zdalna
    • Zgodność z regulacjami PSD2, SCA
    • System antyfraudowy
    • Wykrywanie botów i zdalnych pulpitów
  • Rozwiązania
    • Biometria behawioralna
    • Device Fingerprinting
    • PureSecure
    • MobileSecure
  • Strefa wiedzy
    • Onepagery
    • Prezentacje
    • E-book
    • Webinary
    • Video
  • Aktualności
    • Blog
    • Teksty eksperckie
  • Firma
    • O nas
    • O grupie
    • Polityka Prywatności
    • Projekt Unijny
  • Kontakt
  • Use case

    Bankowość i finanse

    eCommerce i Retail

    Telekomunikacja i Dostawcy Mediów

    Administracja

    Opieka Zdrowotna

    Technologie i Informatyka

    Współdzielenie kont i udostępnianie urządzeń

    Uwierzytelnianie pracowników

    Bezsprzętowe MFA/ 2FA dla klientów

    Praca zdalna

    Zgodność z regulacjami PSD2, SCA

    System antyfraudowy

    Wykrywanie botów i zdalnych pulpitów

  • Rozwiązania

    Biometria behawioralna

    Device Fingerprinting

    PureSecure

    MobileSecure

  • Strefa wiedzy

    Onepgery

    Prezentacje

    E-book

    Webinary

    Wideo

  • Aktualności

    Blog

    Teksty eksperckie

  • Firma

    O nas

    O grupie

    Polityka prywatności

    Projekt unijny

  • Kontakt
  • Polski
    • English
    • Polski

  • Use case

    Bankowość i finanse

    eCommerce i Retail

    Telekomunikacja i Dostawcy Mediów

    Administracja

    Opieka Zdrowotna

    Technologie i Informatyka

    Współdzielenie kont i udostępnianie urządzeń

    Uwierzytelnianie pracowników

    Bezsprzętowe MFA/ 2FA dla klientów

    Praca zdalna

    Zgodność z regulacjami PSD2, SCA

    System antyfraudowy

    Wykrywanie botów i zdalnych pulpitów

  • Rozwiązania

    Biometria behawioralna

    Device Fingerprinting

    PureSecure

    MobileSecure

  • Strefa wiedzy

    Onepgery

    Prezentacje

    E-book

    Webinary

    Wideo

  • Aktualności

    Blog

    Teksty eksperckie

  • Firma

    O nas

    O grupie

    Polityka prywatności

    Projekt unijny

  • Kontakt
  • Polski
    • English
    • Polski

Wiedza

Czym jest credential stuffing i jak się przed nim chronić?

Jak obserwujemy na przestrzeni ostatnich lat, wycieki danych stały się tak powszechnym problemem, że dziś niemal każdy z nas przynajmniej raz został nimi styczność. Sytuację tę pogorszyła pandemia COVID-19, która przyczyniła się do wzrostu częstotliwości występowania ataków typu credential stuffing. Są one o tyle niebezpieczne, że zdobyte w ich wyniku dane mogą być wykorzystywane przez cyberprzestępców na różne sposoby, z włamaniem na konto bankowe włącznie. Czym są ataki typu credential stuffing i co możemy zrobić, by im zapobiec?

Atak typu credential stuffing – co to takiego?

Pod pojęciem ataku typu credential stuffing kryje się zautomatyzowane działanie, które polega na próbie przejęcia dostępu do konta. Hakerzy sprawdzają wówczas poprawność haseł, które wyciekły już wcześniej z innych serwisów oraz usług. W momencie, gdy cyberprzestępcy uda się zastosować prawidłową kombinację danych uwierzytelniających, może przejść do kolejnego etapu, czyli wykorzystania danych osobowych ofiary, np. w celu podjęcia zobowiązania kredytowego.

Ze względu na fakt, że niemal jedna trzecia użytkowników Internetu używa ponownie tych samych haseł, skuteczność ataków typu credential stuffing jest bardzo wysoka. Cyberprzestępcy wystarczy zaledwie 5 minut, by wprowadzić skradzione dane do logowania na różnego rodzaju strony internetowe, doprowadzając w ten sposób do naruszenia prywatności profilu w mediach społecznościowych, a także naruszenia własności oprogramowania używanego w firmie.

Jak wykryć atak typu credential stuffing?

Dobra informacja jest taka, że wykrycie ataku typu credential stuffing jest stosunkowo proste, jednak pod warunkiem stosowania uwierzytelniania 2FA/MFA dla każdego konta. Dzięki temu będziemy otrzymywać powiadomienia w sytuacji naruszenia konta, a także zostaniemy zobowiązani do wprowadzenia nowego hasła, by móc się zalogować.

Wśród pozostałych sposobów na wykrycie ataków typu credential stuffing wymienia się:

  • monitorowanie konta pod kątem nietypowej liczby prób logowania;
  • wykrywanie złośliwych punktów końcowych, które próbują wykorzystać dane uwierzytelniające za pomocą adresu IP;
  • wykrywanie oprogramowania automatyzującego w trakcie logowania.

Przykłady ataków credential stuffing

W ostatnich latach zauważyć możemy duży wzrost liczby ataków cybernetycznych typu credential stuffing, które zagrażają danym nie tylko osób prywatnych, ale także firm. Za przykład można wziąć następujące zdarzenia:

  • naruszenie danych osobowych (adresów e-mail, numerów telefonów i numerów kont) klientów należących do programu lojalnościowego sieci barów Dunkin Donuts;
  • nieautoryzowane logowanie na konta tysięcy użytkowników korzystających z usług firmy Nintendo. W wyniku tego zdarzenia, które miało miejsce w marcu 2020 roku, doszło do wycieku danych klientów, takich jak imiona, nazwiska oraz adresy e-mail;
  • wyciek ponad 500 000 nazw użytkowników oraz haseł w aplikacji Zoom, które następnie zostały sprzedane lub kupione w dark web. Jak przyznaje firma Zoom, dane zostały przejęte w wyniku ataku hakerskiego, w związku z czym zdarzenie stanowi przykład typowego ataku credential stuffing.

Jak chronić się przed atakiem typu credential stuffing?

Jak podaje OWASP (The Open Web Application Security Project) istnieje 5 sposobów na to, by zabezpieczyć się przed atakami credential stuffing:

  • stosowanie uwierzytelniania wieloskładnikowego, dzięki czemu uzyskanie dostępu do konta staje się bardziej skomplikowane i wymaga dodatkowych działań niż tylko wpisania hasła;
  • stosowanie wieloetapowego procesu logowania, który wymaga od cyberprzestępcy większego zaangażowania i zrozumienia, czy dane poświadczenia są ważne, czy też nie;
  • wykorzystywanie czarnych list IP, które zmuszają hakera do ciągłej zmiany adresu IP;
  • używanie cyfrowego fingerprintu urządzenia, który pozwala na śledzenie tożsamości użytkownika logującego się na urządzenie, nawet wtedy, gdy zmienia się adres IP;
  • blokowanie opcji stosowania adresu e-mail jako identyfikatora użytkownika. W trakcie ataku system wymaga podania zarówno prawidłowego hasła, jak i prawidłowej nazwy użytkownika, która jest określona dla danej aplikacji.

Zostaw odpowiedź Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

PSD3
Nowa dyrektywa PSD3 - jakie zmiany nas czekają?
Poprzedni aktykuł
ataki socjotechniczne
Ataki socjotechniczne - czym są i na czym polegają?
Następny artykuł

Digital Fingerprints © Copyright 2022
Created by <code-One>

Use Case

Bankowość i finanse
eCommerce i retail
Telekomunikacja i dostawcy mediów
Administracja
Opieka zdrowotna
Technologia i informatyka

Rozwiązania

Biometria behawioralna
Device Fingerprinting
PureSecure
MobileSecure
O nas
O grupie
Projekt unijny
Polityka prywatności
Kontakt

Digital Fingerprints S.A. ul. Żeliwna 38, 40-599 Katowice. KRS: 0000543443, Sąd Rejonowy Katowice-Wschód, VIII Wydział Gospodarczy, Kapitał zakładowy: 128 828,76 zł – opłacony w całości, NIP: 525-260-93-29

Biuro Informacji Kredytowej S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000110015, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 15.550.000 zł opłacony w całości, NIP: 951-177-86-33, REGON: 012845863.

Biuro Informacji Gospodarczej InfoMonitor S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000201192, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 7.105.000 zł opłacony w całości, NIP: 526-274-43-07, REGON: 015625240.

Zarządzaj zgodami plików cookie
Aby zapewnić jak najlepsze wrażenia, korzystamy z technologii, takich jak pliki cookie, do przechowywania i/lub uzyskiwania dostępu do informacji o urządzeniu. Zgoda na te technologie pozwoli nam przetwarzać dane, takie jak zachowanie podczas przeglądania lub unikalne identyfikatory na tej stronie. Brak wyrażenia zgody lub wycofanie zgody może niekorzystnie wpłynąć na niektóre cechy i funkcje.
Funkcjonalne Zawsze aktywne
Przechowywanie lub dostęp do danych technicznych jest ściśle konieczny do uzasadnionego celu umożliwienia korzystania z konkretnej usługi wyraźnie żądanej przez subskrybenta lub użytkownika, lub wyłącznie w celu przeprowadzenia transmisji komunikatu przez sieć łączności elektronicznej.
Preferencje
Przechowywanie lub dostęp techniczny jest niezbędny do uzasadnionego celu przechowywania preferencji, o które nie prosi subskrybent lub użytkownik.
Statystyka
Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do celów statystycznych. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketing
Przechowywanie lub dostęp techniczny jest wymagany do tworzenia profili użytkowników w celu wysyłania reklam lub śledzenia użytkownika na stronie internetowej lub na kilku stronach internetowych w podobnych celach marketingowych.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Zobacz preferencje
{title} {title} {title}