Može li mi VPN pomoći u zaštiti od credential stuffinga?

Ne izravno. VPN kriptira vaš promet i skriva vašu IP adresu, ali ne može spriječiti napadača da se prijavi na vaš račun ako već posjeduje vaše vjerodajnice. Međutim, VPN može neizravno smanjiti vašu izloženost otežavanjem trackerima da povežu vaše online aktivnosti i račune.

Kako mogu znati jesu li moje vjerodajnice bile dio credential stuffing napada?

Možete provjeriti je li vaša e-mail adresa ili lozinka bila izložena na stranicama poput HaveIBeenPwned (haveibeenpwned.com). Osim toga, praćenje aktivnosti računa radi neočekivanih prijava ili upozorenja može signalizirati da su vaše vjerodajnice kompromitirane.

Zašto credential stuffing ostaje toliko učinkovit unatoč tome što je dobro poznata prijetnja?

Ponovna upotreba lozinki i dalje je iznimno raširena, što napadačima daje veliku metu. Osim toga, automatizirani alati koji se koriste za te napade postali su sofisticiraniji, koristeći proxyje i botnete za izbjegavanje otkrivanja. Sve dok korisnici ne usvoje jedinstvene lozinke i 2FA, credential stuffing će ostati isplativa metoda napada.

Credential Stuffing

Q: Razlikuje li se credential stuffing od pogađanja lozinke?

Da. Pogađanje lozinke — uključujući brute-force napade — uključuje isprobavanje nasumičnih ili uobičajenih kombinacija bez prethodnog znanja. Credential stuffing koristi stvarne vjerodajnice procurjele iz prethodnih povreda podataka, što ga čini preciznijim i učinkovitijim jer se temelji na lozinkama koje su korisnici stvarno koristili.

Credential Stuffing: Kada Jedna Povreda Postane Mnogo

Ako ste ikada koristili istu lozinku za više računa — a većina ljudi to radi — potencijalna ste meta credential stuffinga. To je jedna od najčešćih i najučinkovitijih metoda napada koje danas koriste kibernetički kriminalci, a iskorištava jednu vrlo ljudsku naviku: odabir praktičnosti umjesto sigurnosti.

Što Je To

Credential stuffing je vrsta automatiziranog kibernetičkog napada u kojemu hakeri uzimaju velike popise procurjelih korisničkih imena i lozinki (najčešće dobivenih iz prethodnih povreda podataka) i sustavno ih isprobavaju na desecima ili stotinama različitih web stranica. Logika je jednostavna: ako je netko koristio istu e-mail adresu i lozinku i za gaming forum i za račun u internetskom bankarstvu, upad u jedno efektivno znači upad u drugo.

Za razliku od brute-force napada, koji isprobavaju nasumične lozinke ili one temeljene na rječniku, credential stuffing koristi stvarne vjerodajnice koje su već negdje pokazale da funkcioniraju. To ga čini znatno učinkovitijim i težim za otkrivanje.

Kako Funkcionira

Proces obično slijedi predvidljiv obrazac:

Pribavljanje podataka — Napadači kupuju ili preuzimaju baze podataka procurjelih vjerodajnica s tržnica na dark webu. Neki popisi sadrže stotine milijuna parova korisničkih imena i lozinki.
Automatizacija — Koristeći specijalizirane alate (ponekad zvane "account checkeri" ili credential stuffing okviri), napadači učitavaju ukradene vjerodajnice i usmjeravaju ih prema ciljanoj stranici za prijavu.
Distribuirani napad — Kako bi izbjegli pokretanje ograničenja broja zahtjeva ili blokiranje IP adresa, napadači usmjeravaju promet kroz botnete ili velik broj rezidencijalnih proxyja, pa se čini kao da pokušaji prijave dolaze od tisuća različitih korisnika diljem svijeta.
Prikupljanje valjanih računa — Softver označava svaku uspješnu prijavu, dajući napadačima pristup provjerenim računima. Ti se računi zatim izravno iskorištavaju, prodaju dalje ili koriste za daljnje prijevare.

Stope uspjeha su uglavnom niske — često između 0,1% i 2% — ali kada se testiraju milijuni vjerodajnica, čak i 0,5% znači tisuće kompromitiranih računa.

Zašto Je To Važno za VPN Korisnike

VPN korisnici nisu imuni na credential stuffing — štoviše, postoji jedan specifičan aspekt koji vrijedi znati. Neki VPN pružatelji usluga sami su bili mete ovakvih napada. U prošlim incidentima, credential stuffing napadi na VPN servise rezultirali su time da su napadači pristupili korisničkim računima, a u nekim slučajevima i njihovim spojenim uređajima ili privatnim konfiguracijama.

Osim toga, korištenje VPN-a ne štiti vas ako su vaše vjerodajnice već kompromitirane. VPN skriva vašu IP adresu i kriptira vaš promet, ali ne može spriječiti napadača da se prijavi na vaš Netflix, e-mail ili bankovni račun lozinkom koju ste ponovo upotrijebili s neke hakirane stranice.

Međutim, VPN može pomoći u neizravnom smanjenju izloženosti. Maskiranjem vaše stvarne IP adrese, postaje teže trackerima i data brokerima izgraditi profile koji povezuju vaše različite online račune — što može ograničiti opseg štete kada do povreda podataka ipak dođe.

Primjeri iz Stvarnog Života

Godine 2020. credential stuffing napadi pogodili su istovremeno više VPN pružatelja usluga i servisa za video streaming, pri čemu su napadači testirali vjerodajnice ukradene iz nepovezanih gaming i maloprodajnih povreda.
Disney+ doživio je val preuzimanja računa ubrzo nakon lansiranja — ne zbog povrede Disneyjevih sustava, već zato što su korisnici reciklirali lozinke s drugih kompromitiranih servisa.
Financijske institucije redovito bilježe milijune pokušaja credential stuffinga dnevno, od kojih je većina odbijena ograničenjem broja zahtjeva i višefaktorskom autentifikacijom.

Kako Se Zaštititi

Obrana je jednostavna, čak i ako promjena navika nije:

Koristite jedinstvenu lozinku za svaki račun. Upravitelj lozinkama to čini praktičnim.
Omogućite dvofaktorsku autentifikaciju (2FA) gdje god je to moguće. Čak i ako napadač ima vašu lozinku, neće imati vaš drugi faktor.
Provjerite baze podataka povreda poput HaveIBeenPwned kako biste vidjeli jesu li vaše vjerodajnice bile izložene.
Pratite prijave na račun radi nepoznatih lokacija ili uređaja.

Credential stuffing funkcionira zato što ljudi ponovo koriste lozinke. Prestanite to raditi i napad uglavnom prestaje funkcionirati na vama.

Credential StuffingSrednji