Credential stuffing същото ли е като brute-force атака?

Не. При brute-force атаките нападателите изпробват произволни или речникови пароли, докато при credential stuffing се използват реални комбинации от потребителски имена и пароли, откраднати от реални изтичания на данни. Това прави credential stuffing по-ефективен, тъй като тества идентификационни данни, за които вече е известно, че са работили на поне един сайт.

Може ли VPN да ме защити от credential stuffing?

Само частично. VPN скрива IP адреса ви и криптира трафика ви, но не може да предотврати достъпа на нападател до акаунта ви, ако вашите идентификационни данни вече са компрометирани. Най-ефективната защита е използването на уникални пароли за всеки акаунт в комбинация с двуфакторна автентикация (2FA).

Откъде нападателите получават списъците с идентификационни данни?

Откраднатите идентификационни данни обикновено се продават или споделят безплатно в пазари в тъмната мрежа след изтичания на данни. Някои списъци съдържат стотици милиони двойки имейл/парола, натрупани от множество пробиви с течение на годините.

Как да разбера дали акаунтите ми са засегнати?

Можете да проверите дали имейл адресът или паролите ви са появявали в известни изтичания на данни, като използвате безплатни услуги като HaveIBeenPwned. Препоръчително е също да следите акаунтите си за необичайна активност при вход и да активирате известия за вход, когато услугата го поддържа.

Credential Stuffing

Credential Stuffing: Когато Едно Изтичане Се Превръща в Много

Ако някога сте използвали една и съща парола за няколко акаунта — а повечето хора го правят — вие сте потенциална цел за credential stuffing. Това е един от най-разпространените и ефективни методи за атака, използвани от киберпрестъпниците днес, и той експлоатира една много човешка навик: да изберем удобството пред сигурността.

Какво Представлява

Credential stuffing е вид автоматизирана кибератака, при която хакерите вземат големи списъци с изтекли потребителски имена и пароли (обикновено получени от предишни изтичания на данни) и ги изпробват систематично в десетки или стотици различни уебсайтове. Логиката е проста: ако някой е използвал един и същ имейл и парола едновременно за игрови форум и за своя акаунт в онлайн банкиране, пробивът в единия ефективно означава пробив и в другия.

За разлика от brute-force атаките, които изпробват произволни пароли или пароли от речник, credential stuffing използва реални идентификационни данни, които вече са се доказали като работещи някъде. Това го прави значително по-ефективен и по-труден за засичане.

Как Работи

Процесът обикновено следва предвидима схема:

Придобиване на данни — Нападателите купуват или изтеглят бази данни с компрометирани идентификационни данни от пазари в тъмната мрежа. Някои списъци съдържат стотици милиони двойки потребителско име/парола.
Автоматизация — С помощта на специализирани инструменти (понякога наричани „проверки на акаунти" или credential stuffing frameworks), нападателите зареждат откраднатите идентификационни данни и ги насочват към целева страница за вход.
Разпределена атака — За да избегнат задействането на ограничения за честота или блокиране на IP, нападателите насочват трафика през ботнети или голям брой резидентни прокси сървъри, което създава впечатлението, че опитите за вход идват от хиляди различни потребители по целия свят.
Събиране на валидни акаунти — Софтуерът отбелязва всеки успешен вход, давайки на нападателите достъп до верифицирани акаунти. Те се експлоатират директно, продават се или се използват за по-нататъшни измами.

Процентът на успех е общо взето нисък — често между 0,1% и 2% — но когато се тестват милиони идентификационни данни, дори 0,5% се равняват на хиляди компрометирани акаунти.

Защо Е Важно за Потребителите на VPN

Потребителите на VPN не са имунизирани срещу credential stuffing — всъщност има един конкретен аспект, който си заслужава да се знае. Някои VPN доставчици сами са били обект на атаки. При минали инциденти credential stuffing атаките срещу VPN услуги са довели до това нападателите да получат достъп до акаунти на потребители, а в някои случаи — и до свързаните им устройства или лични конфигурации.

Освен това, използването на VPN не ви защитава, ако идентификационните ви данни вече са компрометирани. VPN скрива вашия IP адрес и криптира трафика ви, но не може да попречи на нападател да влезе в акаунта ви в Netflix, имейл или банкова сметка с парола, която сте използвали повторно от пробит сайт.

Въпреки това, VPN може да помогне за намаляване на излагането ви по косвени начини. Като маскира реалния ви IP адрес, то затруднява проследяващите системи и брокерите на данни да изграждат профили, свързващи различните ви онлайн акаунти — което може да ограничи щетите, когато все пак настъпят изтичания.

Реални Примери

През 2020 г. credential stuffing атаки удариха едновременно множество VPN доставчици и услуги за видео стрийминг, като нападателите тестваха идентификационни данни, откраднати от несвързани игрови и търговски пробиви.
Disney+ преживя вълна от превземания на акаунти скоро след стартирането си — не поради пробив в системите на Disney, а защото потребителите бяха използвали повторно пароли от други компрометирани услуги.
Финансовите институции редовно регистрират опити за credential stuffing в размер на милиони на ден, като повечето се отблъскват чрез ограничения за честота и многофакторна автентикация.

Как да се Защитите

Защитата е ясна, дори ако промяната в навиците не е:

Използвайте уникална парола за всеки акаунт. Мениджър на пароли прави това практично.
Активирайте двуфакторна автентикация (2FA) навсякъде, където е възможно. Дори ако нападателят има паролата ви, той няма да разполага с втория ви фактор.
Проверявайте бази данни за изтичания като HaveIBeenPwned, за да видите дали вашите идентификационни данни са били разкрити.
Следете влизанията в акаунта за непознати местоположения или устройства.

Credential stuffing работи, защото хората използват повторно пароли. Спрете да правите това и атаката до голяма степен престава да работи срещу вас.

Credential StuffingСреден