Πώς διαφέρει το credential stuffing από μια επίθεση brute force;

Το credential stuffing χρησιμοποιεί πραγματικούς συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης που έχουν κλαπεί από προηγούμενες παραβιάσεις δεδομένων, ενώ οι επιθέσεις brute force δημιουργούν τυχαία ή μαντεύουν συνδυασμούς κωδικών πρόσβασης. Αυτό καθιστά το credential stuffing πιο αποτελεσματικό και πιο δύσκολο να εντοπιστεί, καθώς οι απόπειρες σύνδεσης χρησιμοποιούν διαπιστευτήρια που φαίνονται νόμιμα.

Γιατί τόσοι πολλοί λογαριασμοί είναι ευάλωτοι σε επιθέσεις credential stuffing;

Πολλοί άνθρωποι επαναχρησιμοποιούν τους ίδιους κωδικούς πρόσβασης σε πολλούς ιστότοπους και υπηρεσίες, πράγμα που σημαίνει ότι μια μόνο παραβίαση δεδομένων μπορεί να εκθέσει διαπιστευτήρια που λειτουργούν σε δεκάδες άλλες πλατφόρμες. Οι εισβολείς εκμεταλλεύονται αυτή τη διαδεδομένη συνήθεια δοκιμάζοντας αυτόματα τα κλεμμένα διαπιστευτήρια σε μεγάλη κλίμακα με τη χρήση bots.

Πώς μπορώ να προστατευτώ από επιθέσεις credential stuffing;

Η χρήση ενός μοναδικού, ισχυρού κωδικού πρόσβασης για κάθε λογαριασμό είναι η πιο αποτελεσματική άμυνα κατά του credential stuffing, ιδανικά διαχειριζόμενου με έναν password manager. Η ενεργοποίηση του multi-factor authentication (MFA) προσθέτει ένα κρίσιμο δεύτερο επίπεδο προστασίας, ακόμα και αν ο κωδικός πρόσβασής σας έχει παραβιαστεί.

Credential Stuffing

Credential Stuffing: Όταν Μια Παραβίαση Γίνεται Πολλές

Αν έχετε χρησιμοποιήσει ποτέ τον ίδιο κωδικό πρόσβασης σε πολλούς λογαριασμούς — και οι περισσότεροι άνθρωποι το κάνουν — είστε πιθανός στόχος για credential stuffing. Είναι μία από τις πιο συνηθισμένες και αποτελεσματικές μεθόδους επίθεσης που χρησιμοποιούν σήμερα οι κυβερνοεγκληματίες, και εκμεταλλεύεται μια πολύ ανθρώπινη συνήθεια: την επιλογή της ευκολίας έναντι της ασφάλειας.

Τι Είναι

Το credential stuffing είναι ένας τύπος αυτοματοποιημένης κυβερνοεπίθεσης, κατά την οποία οι χάκερ παίρνουν μεγάλες λίστες διαρρευσάντων ονομάτων χρήστη και κωδικών πρόσβασης (που συνήθως αποκτώνται από προηγούμενες παραβιάσεις δεδομένων) και τα δοκιμάζουν συστηματικά σε δεκάδες ή εκατοντάδες διαφορετικούς ιστότοπους. Η λογική είναι απλή: αν κάποιος χρησιμοποίησε το ίδιο email και τον ίδιο κωδικό πρόσβασης τόσο σε ένα gaming forum όσο και στον λογαριασμό ηλεκτρονικής τραπεζικής του, η παραβίαση του ενός οδηγεί αυτόματα και στην παραβίαση του άλλου.

Σε αντίθεση με τις επιθέσεις brute-force, οι οποίες δοκιμάζουν τυχαίους κωδικούς ή κωδικούς βασισμένους σε λεξικά, το credential stuffing χρησιμοποιεί πραγματικά διαπιστευτήρια που έχουν ήδη αποδειχθεί λειτουργικά κάπου. Αυτό το καθιστά σημαντικά πιο αποδοτικό και δυσκολότερο να εντοπιστεί.

Πώς Λειτουργεί

Η διαδικασία ακολουθεί συνήθως ένα προβλέψιμο μοτίβο:

Απόκτηση δεδομένων — Οι επιτιθέμενοι αγοράζουν ή κατεβάζουν βάσεις δεδομένων παραβιασμένων διαπιστευτηρίων από αγορές του dark web. Ορισμένες λίστες περιέχουν εκατοντάδες εκατομμύρια ζεύγη ονομάτων χρήστη/κωδικών πρόσβασης.
Αυτοματοποίηση — Χρησιμοποιώντας εξειδικευμένα εργαλεία (που ορισμένες φορές ονομάζονται "account checkers" ή πλαίσια credential stuffing), οι επιτιθέμενοι φορτώνουν τα κλεμμένα διαπιστευτήρια και τα στρέφουν εναντίον μιας σελίδας σύνδεσης-στόχου.
Κατανεμημένη επίθεση — Για να αποφύγουν την ενεργοποίηση περιορισμών ρυθμού ή αποκλεισμού IP, οι επιτιθέμενοι δρομολογούν την κίνηση μέσω botnets ή μεγάλου αριθμού οικιακών proxies, κάνοντάς την να φαίνεται ότι οι απόπειρες σύνδεσης προέρχονται από χιλιάδες διαφορετικούς χρήστες ανά τον κόσμο.
Συλλογή έγκυρων λογαριασμών — Το λογισμικό επισημαίνει κάθε επιτυχημένη σύνδεση, παρέχοντας στους επιτιθέμενους πρόσβαση σε επαληθευμένους λογαριασμούς. Αυτοί είτε εκμεταλλεύονται άμεσα, είτε πωλούνται, είτε χρησιμοποιούνται για περαιτέρω απάτες.

Τα ποσοστά επιτυχίας είναι γενικά χαμηλά — συχνά μεταξύ 0,1% και 2% — όμως όταν δοκιμάζονται εκατομμύρια διαπιστευτήρια, ακόμη και το 0,5% αντιστοιχεί σε χιλιάδες παραβιασμένους λογαριασμούς.

Γιατί Έχει Σημασία για τους Χρήστες VPN

Οι χρήστες VPN δεν είναι απρόσβλητοι από το credential stuffing — στην πραγματικότητα, υπάρχει μια συγκεκριμένη πτυχή που αξίζει να γνωρίζετε. Ορισμένοι πάροχοι VPN έχουν οι ίδιοι αποτελέσει στόχο. Σε προηγούμενα περιστατικά, επιθέσεις credential stuffing εναντίον υπηρεσιών VPN οδήγησαν επιτιθέμενους να αποκτήσουν πρόσβαση στους λογαριασμούς χρηστών και, σε ορισμένες περιπτώσεις, στις συνδεδεμένες συσκευές τους ή στις ιδιωτικές διαμορφώσεις τους.

Πέρα από αυτό, η χρήση VPN δεν σας προστατεύει αν τα διαπιστευτήριά σας έχουν ήδη παραβιαστεί. Ένα VPN αποκρύπτει τη διεύθυνση IP σας και κρυπτογραφεί την κίνησή σας, αλλά δεν μπορεί να εμποδίσει έναν επιτιθέμενο να συνδεθεί στο Netflix, το email ή τον τραπεζικό σας λογαριασμό με έναν κωδικό πρόσβασης που επαναχρησιμοποιήσατε από έναν παραβιασμένο ιστότοπο.

Ωστόσο, ένα VPN μπορεί να συμβάλει στη μείωση της έκθεσής σας με έμμεσους τρόπους. Αποκρύπτοντας την πραγματική σας διεύθυνση IP, γίνεται πιο δύσκολο για trackers και data brokers να δημιουργήσουν προφίλ που συνδέουν τους διάφορους διαδικτυακούς λογαριασμούς σας — κάτι που μπορεί να περιορίσει τις επιπτώσεις όταν συμβαίνουν παραβιάσεις.

Παραδείγματα από την Πραγματικότητα

Το 2020, επιθέσεις credential stuffing έπληξαν ταυτόχρονα πολλούς παρόχους VPN και υπηρεσίες video streaming, με τους επιτιθέμενους να δοκιμάζουν διαπιστευτήρια κλεμμένα από άσχετες παραβιάσεις στον χώρο των gaming και του λιανικού εμπορίου.
Το Disney+ αντιμετώπισε κύμα καταλήψεων λογαριασμών λίγο μετά την κυκλοφορία του — όχι λόγω παραβίασης των συστημάτων της Disney, αλλά επειδή οι χρήστες είχαν επαναχρησιμοποιήσει κωδικούς πρόσβασης από άλλες παραβιασμένες υπηρεσίες.
Τα χρηματοπιστωτικά ιδρύματα αντιμετωπίζουν τακτικά εκατομμύρια απόπειρες credential stuffing την ημέρα, τις περισσότερες από τις οποίες αποκρούουν μέσω περιορισμού ρυθμού και ελέγχου ταυτότητας πολλαπλών παραγόντων.

Πώς να Προστατευθείτε

Η άμυνα είναι απλή, ακόμη κι αν η αλλαγή συνήθειας δεν είναι:

Χρησιμοποιήστε έναν μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό. Ένας password manager κάνει αυτό εφικτό.
Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) όπου είναι δυνατό. Ακόμη κι αν ένας επιτιθέμενος έχει τον κωδικό πρόσβασής σας, δεν θα έχει τον δεύτερο παράγοντά σας.
Ελέγξτε βάσεις δεδομένων παραβιάσεων όπως το HaveIBeenPwned για να δείτε αν τα διαπιστευτήριά σας έχουν εκτεθεί.
Παρακολουθείτε τις συνδέσεις στον λογαριασμό σας για άγνωστες τοποθεσίες ή συσκευές.

Το credential stuffing λειτουργεί επειδή οι άνθρωποι επαναχρησιμοποιούν κωδικούς πρόσβασης. Σταματήστε να το κάνετε αυτό, και η επίθεση σε μεγάλο βαθμό παύει να λειτουργεί εναντίον σας.

Credential StuffingΜέτριος