Czym jest credential stuffing i jak się przed nim chronić?

Jak obserwujemy na przestrzeni ostatnich lat, wycieki danych stały się tak powszechnym problemem, że dziś niemal każdy z nas przynajmniej raz został nimi styczność. Sytuację tę pogorszyła pandemia COVID-19, która przyczyniła się do wzrostu częstotliwości występowania ataków typu credential stuffing. Są one o tyle niebezpieczne, że zdobyte w ich wyniku dane mogą być wykorzystywane przez cyberprzestępców na różne sposoby, z włamaniem na konto bankowe włącznie. Czym są ataki typu credential stuffing i co możemy zrobić, by im zapobiec?

Atak typu credential stuffing – co to takiego?

Pod pojęciem ataku typu credential stuffing kryje się zautomatyzowane działanie, które polega na próbie przejęcia dostępu do konta. Hakerzy sprawdzają wówczas poprawność haseł, które wyciekły już wcześniej z innych serwisów oraz usług. W momencie, gdy cyberprzestępcy uda się zastosować prawidłową kombinację danych uwierzytelniających, może przejść do kolejnego etapu, czyli wykorzystania danych osobowych ofiary, np. w celu podjęcia zobowiązania kredytowego.

Ze względu na fakt, że niemal jedna trzecia użytkowników Internetu używa ponownie tych samych haseł, skuteczność ataków typu credential stuffing jest bardzo wysoka. Cyberprzestępcy wystarczy zaledwie 5 minut, by wprowadzić skradzione dane do logowania na różnego rodzaju strony internetowe, doprowadzając w ten sposób do naruszenia prywatności profilu w mediach społecznościowych, a także naruszenia własności oprogramowania używanego w firmie.

Jak wykryć atak typu credential stuffing?

Dobra informacja jest taka, że wykrycie ataku typu credential stuffing jest stosunkowo proste, jednak pod warunkiem stosowania uwierzytelniania 2FA/MFA dla każdego konta. Dzięki temu będziemy otrzymywać powiadomienia w sytuacji naruszenia konta, a także zostaniemy zobowiązani do wprowadzenia nowego hasła, by móc się zalogować.

Wśród pozostałych sposobów na wykrycie ataków typu credential stuffing wymienia się:

• monitorowanie konta pod kątem nietypowej liczby prób logowania;
• wykrywanie złośliwych punktów końcowych, które próbują wykorzystać dane uwierzytelniające za pomocą adresu IP;
• wykrywanie oprogramowania automatyzującego w trakcie logowania.

Przykłady ataków credential stuffing

W ostatnich latach zauważyć możemy duży wzrost liczby ataków cybernetycznych typu credential stuffing, które zagrażają danym nie tylko osób prywatnych, ale także firm. Za przykład można wziąć następujące zdarzenia:

• naruszenie danych osobowych (adresów e-mail, numerów telefonów i numerów kont) klientów należących do programu lojalnościowego sieci barów Dunkin Donuts;
• nieautoryzowane logowanie na konta tysięcy użytkowników korzystających z usług firmy Nintendo. W wyniku tego zdarzenia, które miało miejsce w marcu 2020 roku, doszło do wycieku danych klientów, takich jak imiona, nazwiska oraz adresy e-mail;
• wyciek ponad 500 000 nazw użytkowników oraz haseł w aplikacji Zoom, które następnie zostały sprzedane lub kupione w dark web. Jak przyznaje firma Zoom, dane zostały przejęte w wyniku ataku hakerskiego, w związku z czym zdarzenie stanowi przykład typowego ataku credential stuffing.

Jak chronić się przed atakiem typu credential stuffing?

Jak podaje OWASP (The Open Web Application Security Project) istnieje 5 sposobów na to, by zabezpieczyć się przed atakami credential stuffing:

• stosowanie uwierzytelniania wieloskładnikowego, dzięki czemu uzyskanie dostępu do konta staje się bardziej skomplikowane i wymaga dodatkowych działań niż tylko wpisania hasła;
• stosowanie wieloetapowego procesu logowania, który wymaga od cyberprzestępcy większego zaangażowania i zrozumienia, czy dane poświadczenia są ważne, czy też nie;
• wykorzystywanie czarnych list IP, które zmuszają hakera do ciągłej zmiany adresu IP;
• używanie cyfrowego fingerprintu urządzenia, który pozwala na śledzenie tożsamości użytkownika logującego się na urządzenie, nawet wtedy, gdy zmienia się adres IP;
• blokowanie opcji stosowania adresu e-mail jako identyfikatora użytkownika. W trakcie ataku system wymaga podania zarówno prawidłowego hasła, jak i prawidłowej nazwy użytkownika, która jest określona dla danej aplikacji.