Je credential stuffing totéž co útok hrubou silou?

Ne. Útok hrubou silou zkouší náhodné nebo slovníkové kombinace hesel, zatímco credential stuffing používá skutečné přihlašovací údaje uniklé z předchozích úniků dat. Credential stuffing je efektivnější, protože testuje kombinace, o nichž je již prokázáno, že někde fungovaly.

Může mě VPN ochránit před credential stuffingem?

Jen částečně. VPN skrývá vaši IP adresu a šifruje internetový provoz, ale nemůže zabránit útočníkovi, aby se přihlásil k vašim účtům pomocí již odcizených přihlašovacích údajů. Nejúčinnější ochranou jsou jedinečná hesla a dvoufaktorové ověřování (2FA).

Jak zjistím, zda byly mé přihlašovací údaje odhaleny při úniku dat?

Navštivte web HaveIBeenPwned (haveibeenpwned.com) a zadejte svou e-mailovou adresu. Tento web sleduje veřejně známé úniky dat a upozorní vás, pokud se vaše přihlašovací údaje objevily v některém z nich.

Proč je credential stuffing tak obtížné zastavit?

Útočníci rozptylují přihlašovací pokusy přes tisíce různých IP adres pomocí botnetů a proxy serverů, takže provoz vypadá jako legitimní. Navíc jsou testovány skutečné přihlašovací údaje, nikoli náhodné kombinace, takže standardní detekce anomálií je méně spolehlivá. Proto jsou klíčové vícefaktorové ověřování a monitorování přihlašování.

Credential Stuffing

Credential Stuffing: Když jeden únik dat způsobí mnoho dalších

Pokud jste někdy použili stejné heslo pro více účtů – a většina lidí to dělá – jste potenciálním cílem credential stuffingu. Jde o jednu z nejrozšířenějších a nejúčinnějších metod útoku, kterou dnes kyberzločinci používají. Zneužívá přitom velmi lidský zvyk: upřednostňovat pohodlí před bezpečností.

Co to je

Credential stuffing je typ automatizovaného kybernetického útoku, při kterém útočníci vezmou rozsáhlé seznamy uniklých uživatelských jmen a hesel (obvykle získaných z předchozích úniků dat) a systematicky je zkouší na desítkách nebo stovkách různých webových stránek. Logika je jednoduchá: pokud někdo použil stejný e-mail a heslo jak pro herní fórum, tak pro svůj účet v internetovém bankovnictví, průnik do jednoho účtu fakticky znamená průnik do druhého.

Na rozdíl od útoků hrubou silou, které zkouší náhodná nebo slovníková hesla, credential stuffing používá skutečné přihlašovací údaje, o nichž je již prokázáno, že někde fungují. Díky tomu je tento útok výrazně efektivnější a hůře odhalitelný.

Jak to funguje

Celý proces obvykle sleduje předvídatelný vzorec:

Získání dat – Útočníci nakupují nebo stahují databáze uniklých přihlašovacích údajů z tržišť na dark webu. Některé seznamy obsahují stovky milionů párů uživatelských jmen a hesel.
Automatizace – Pomocí specializovaných nástrojů (někdy označovaných jako „account checkery" nebo frameworky pro credential stuffing) útočníci načtou odcizené přihlašovací údaje a namíří je na cílovou přihlašovací stránku.
Distribuovaný útok – Aby se zabránilo spuštění omezení počtu požadavků nebo blokování IP adres, útočníci směrují provoz přes botnety nebo velké množství rezidenčních proxy serverů. Díky tomu se zdá, jako by pokusy o přihlášení pocházely od tisíců různých uživatelů z celého světa.
Sklizeň platných účtů – Software označí všechna úspěšná přihlášení a útočníkům tak poskytne přístup k ověřeným účtům. Ty jsou buď přímo zneužity, prodány dál, nebo využity k dalším podvodům.

Míra úspěšnosti bývá obecně nízká – často mezi 0,1 % a 2 % – ale při testování milionů přihlašovacích údajů se i 0,5 % promění v tisíce kompromitovaných účtů.

Proč je to důležité pro uživatele VPN

Uživatelé VPN nejsou vůči credential stuffingu imunní – ve skutečnosti existuje jeden konkrétní aspekt, který stojí za pozornost. Některé VPN poskytovatele se staly terčem těchto útoků. Při minulých incidentech vedly útoky credential stuffing namířené proti VPN službám k tomu, že útočníci získali přístup k účtům uživatelů a v některých případech i k jejich připojeným zařízením nebo soukromým konfiguracím.

Kromě toho vás používání VPN neochrání, pokud jsou vaše přihlašovací údaje již kompromitovány. VPN skrývá vaši IP adresu a šifruje váš provoz, ale nemůže zabránit útočníkovi, aby se přihlásil k vašemu Netflixu, e-mailu nebo bankovnímu účtu pomocí hesla, které jste znovu použili na kompromitovaném webu.

VPN vám však může nepřímo pomoci snížit vaši míru ohrožení. Maskováním vaší skutečné IP adresy je pro sledovací nástroje a datové makléře těžší sestavovat profily propojující vaše různé online účty – což může omezit rozsah škod, ke kterým při únicích dat dochází.

Příklady z praxe

V roce 2020 zasáhly útoky credential stuffing několik VPN poskytovatelů a služeb pro streamování videa současně. Útočníci přitom testovali přihlašovací údaje odcizené z nesouvisejících herních a maloobchodních úniků dat.
Disney+ zaznamenal vlnu převzetí účtů krátce po svém spuštění – nikoli kvůli úniku dat ze systémů Disney, ale proto, že uživatelé znovu použili hesla z jiných kompromitovaných služeb.
Finanční instituce pravidelně zaznamenávají miliony pokusů o credential stuffing denně, přičemž většina z nich je odražena pomocí omezení počtu požadavků a vícefaktorového ověřování.

Jak se chránit

Obrana je přímočará, i když změna návyků není jednoduchá:

Pro každý účet používejte jedinečné heslo. Správce hesel to usnadní.
Pokud je to možné, zapněte dvoufaktorové ověřování (2FA). I kdyby útočník znal vaše heslo, druhý faktor mít nebude.
Zkontrolujte databáze úniků dat, například HaveIBeenPwned, a zjistěte, zda byly vaše přihlašovací údaje odhaleny.
Sledujte přihlášení k účtu z neznámých míst nebo zařízení.

Credential stuffing funguje, protože lidé opakovaně používají stejná hesla. Přestaňte to dělat, a útok na vás z velké části přestane být účinný.

Credential StuffingPokročilý