Voiko VPN estää credential stuffing -hyökkäykset?

Ei suoraan. VPN salaa liikenteesi ja piilottaa IP-osoitteesi, mutta se ei estä hyökkääjiä käyttämästä jo vaarantuneita tunnistetietojasi muilla sivustoilla. Paras suoja on yksilölliset salasanat jokaiselle tilille sekä kaksivaiheinen todennus.

Mistä tiedän, ovatko tunnistetietoni vaarantuneet?

Voit tarkistaa asian ilmaisilla palveluilla, kuten HaveIBeenPwned (haveibeenpwned.com), joka kertoo, onko sähköpostiosoitteesi tai salasanasi esiintynyt tunnetuissa tietomurroissa.

Mikä erottaa credential stuffingin brute-force-hyökkäyksestä?

Brute-force-hyökkäys kokeilee satunnaisia tai sanakirjapohjaisia salasanayhdistelmiä arvaamalla. Credential stuffing taas käyttää oikeita, aiemmissa tietomurroissa varastettuja tunnistetietoja, mikä tekee siitä paljon tehokkaampaa ja vaikeammin havaittavaa.

Miksi credential stuffing on niin yleistä?

Hyökkäys on yleistä, koska salasanojen uudelleenkäyttö on laajalle levinnyt tapa ja suuria tunnistetietokantoja on helposti saatavilla dark webissä. Yhdistettynä helposti saatavilla oleviin automatisointityökaluihin se on pienellä vaivalla tuottava hyökkäysmenetelmä kyberrikollisille.

Credential Stuffing

Credential Stuffing: Kun Yhdestä Murrosta Tulee Monia

Jos olet koskaan käyttänyt samaa salasanaa useassa eri tilissä – ja suurin osa ihmisistä on – olet mahdollinen kohde credential stuffing -hyökkäykselle. Se on yksi kyberrikollisten yleisimmistä ja tehokkaimmista hyökkäysmenetelmistä, ja se hyödyntää hyvin inhimillistä tapaa: valita mukavuus turvallisuuden sijaan.

Mitä Se On

Credential stuffing on eräänlainen automaattinen kyberhyökkäys, jossa hakkerit ottavat suuria listoja vuodetuista käyttäjätunnuksista ja salasanoista – yleensä aiemmista tietomurroista hankittuja – ja kokeilevat niitä järjestelmällisesti kymmenillä tai sadoilla eri verkkosivustoilla. Logiikka on yksinkertainen: jos joku on käyttänyt samaa sähköpostiosoitetta ja salasanaa sekä pelipalstalla että verkkopankkitilillään, murtautuminen toiseen tarkoittaa käytännössä murtautumista myös toiseen.

Toisin kuin brute-force-hyökkäykset, jotka kokeilevat satunnaisia tai sanakirjapohjaisia salasanoja, credential stuffing käyttää oikeita tunnistetietoja, joiden on jo todettu toimivan jossakin. Tämä tekee siitä huomattavasti tehokkaamman ja vaikeammin havaittavan.

Miten Se Toimii

Prosessi seuraa tyypillisesti ennakoitavaa kaavaa:

Tietojen hankinta — Hyökkääjät ostavat tai lataavat murrettuja tunnistetietokantoja dark web -markkinapaikoilta. Jotkin listat sisältävät satoja miljoonia käyttäjätunnus- ja salasanapareja.
Automatisointi — Erikoistyökalujen avulla – joita kutsutaan joskus "tilitarkistimiksi" tai credential stuffing -sovelluskehyksiksi – hyökkääjät lataavat varastetut tunnistetiedot ja kohdistavat ne haluamalleen kirjautumissivulle.
Hajautettu hyökkäys — Välttääkseen pyyntömäärärajoitukset tai IP-eston hyökkääjät reitittävät liikenteen bottiverkkojen tai suurten määrien asuntoverkkojen välityspalvelimien kautta, jolloin kirjautumisyritykset näyttävät tulevan tuhansista eri käyttäjistä eri puolilta maailmaa.
Toimivien tilien löytäminen — Ohjelmisto merkitsee onnistuneet kirjautumiset, jolloin hyökkääjät saavat pääsyn vahvistettuihin tileihin. Niitä joko hyödynnetään suoraan, myydään eteenpäin tai käytetään lisäpetosten tekemiseen.

Onnistumisprosentit ovat yleensä matalat – usein 0,1–2 prosentin välillä – mutta kun kokeillaan miljoonia tunnistetietoja, jopa 0,5 prosenttia tarkoittaa tuhansia vaarantuneita tilejä.

Miksi Tämä On Tärkeää VPN-käyttäjille

VPN-käyttäjät eivät ole immuuneja credential stuffing -hyökkäyksille – asiaan liittyy itse asiassa yksi erityinen näkökulma, joka kannattaa tietää. Jotkut VPN-palveluntarjoajat ovat itse joutuneet hyökkäysten kohteiksi. Aiemmissa tapauksissa credential stuffing -hyökkäykset VPN-palveluita vastaan ovat johtaneet siihen, että hyökkääjät ovat päässeet käsiksi käyttäjien tileihin ja joissakin tapauksissa heidän yhdistettyihin laitteisiinsa tai yksityisiin konfiguraatioihinsa.

Sen lisäksi VPN:n käyttäminen ei suojaa sinua, jos tunnistetietosi ovat jo vaarantuneet. VPN piilottaa IP-osoitteesi ja salaa liikenteesi, mutta se ei estä hyökkääjää kirjautumasta Netflix-tiliisi, sähköpostiisi tai pankkitilillesi salasanalla, jonka olet käyttänyt uudelleen murretussa palvelussa.

VPN voi kuitenkin auttaa vähentämään altistumistasi epäsuorilla tavoilla. Peittämällä todellisen IP-osoitteesi se vaikeuttaa seurantapalveluiden ja tietovälittäjien työtä rakentaa profiileja, jotka yhdistävät eri verkkotilisi toisiinsa – mikä voi rajoittaa murtojen aiheuttamia vahinkoja.

Esimerkkejä Käytännöstä

Vuonna 2020 credential stuffing -hyökkäykset iskivät samanaikaisesti useisiin VPN-palveluntarjoajiin ja videosuoratoistopalveluihin, kun hyökkääjät testasivat tunnistetietoja, jotka oli varastettu asiaan liittymättömistä peli- ja vähittäiskauppamurroista.
Disney+ koki aallon tilinkaappauksia pian palvelun lanseerauksen jälkeen – ei siksi, että Disneyn omiin järjestelmiin olisi murtauduttu, vaan koska käyttäjät olivat käyttäneet salasanojaan uudelleen muissa vaarantuneissa palveluissa.
Rahoituslaitokset näkevät päivittäin miljoonia credential stuffing -yrityksiä, joista suurin osa torjutaan pyyntömäärärajoitusten ja monivaiheisen todennuksen avulla.

Miten Suojautua

Puolustus on suoraviivainen, vaikka tottumuksen muuttaminen ei olisikaan helppoa:

Käytä jokaisessa tilissä yksilöllistä salasanaa. Salasananhallintaohjelma tekee tästä käytännöllistä.
Ota käyttöön kaksivaiheinen todennus (2FA) aina kun mahdollista. Vaikka hyökkääjällä olisi salasanasi, hänellä ei ole toista todennustekijääsi.
Tarkista tietomurtokannoista – kuten HaveIBeenPwned – ovatko tunnistetietosi paljastuneet.
Seuraa tilikirjautumisia tuntemattomien sijaintien tai laitteiden varalta.

Credential stuffing toimii, koska ihmiset käyttävät salasanoja uudelleen. Lopeta se, niin hyökkäys lakkaa suurelta osin tehosta sinuun.

Credential StuffingKeskitaso