Miben különbözik a credential stuffing a brute force támadástól?

A credential stuffing valódi, korábbi adatszivárgásokból ellopott felhasználónév és jelszó kombinációkat használ, míg a brute force támadások véletlenszerűen generálnak vagy találgatnak jelszókombinációkat. Ez a credential stuffing-ot hatékonyabbá és nehezebben észlelhetővé teszi, mivel a bejelentkezési kísérletek legitimnek tűnő hitelesítő adatokat használnak.

Miért sebezhető annyi fiók a credential stuffing támadásokkal szemben?

Sok ember ugyanazokat a jelszavakat használja több webhelyen és szolgáltatásban, ami azt jelenti, hogy egyetlen adatszivárgás olyan hitelesítő adatokat fedhet fel, amelyek tucatnyi más platformon is működnek. A támadók ezt az elterjedt szokást kihasználva botok segítségével automatikusan, nagy léptékben tesztelik az ellopott hitelesítő adatokat.

Hogyan védhetem meg magam a credential stuffing támadásoktól?

Minden fiókhoz egyedi, erős jelszó használata a leghatékonyabb védekezés a credential stuffing ellen, amelyet ideális esetben egy jelszókezelővel célszerű kezelni. A multi-factor authentication (MFA) engedélyezése kritikus második védelmi réteget ad, még akkor is, ha a jelszava esetleg illetéktelen kezekbe kerül.

Credential Stuffing

Credential Stuffing: Amikor Egy Adatszivárgásból Sok Lesz

Ha valaha is használtál ugyanazt a jelszót több fiókhoz – és a legtöbb ember megteszi –, akkor potenciális célpontja vagy a credential stuffingnak. Ez az egyik legelterjedtebb és leghatékonyabb támadási módszer, amelyet a kiberbűnözők napjainkban alkalmaznak, és egy nagyon emberi szokást aknáz ki: a kényelmet a biztonság elé helyezést.

Mi Ez Pontosan?

A credential stuffing egy automatizált kibertámadás, amelynek során a hackerek nagy mennyiségű kiszivárgott felhasználónevet és jelszót (általában korábbi adatvédelmi incidensekből) szisztematikusan kipróbálnak tucatnyi vagy akár több száz különböző weboldalon. A logika egyszerű: ha valaki ugyanazt az e-mail címet és jelszót használta egy játékfórumhoz és az online bankszámlájához is, akkor az egyikbe való betörés lényegében a másikba való betörést is jelenti.

A brute-force támadásokkal ellentétben, amelyek véletlenszerű vagy szótáralapú jelszavakat próbálnak ki, a credential stuffing valódi, már máshol bevált hitelesítő adatokat használ. Ez jelentősen hatékonyabbá és nehezebben észlelhetővé teszi.

Hogyan Működik?

A folyamat általában egy kiszámítható mintát követ:

Adatszerzés – A támadók kiszivárgott hitelesítő adatokat tartalmazó adatbázisokat vásárolnak vagy töltenek le a dark web piacairól. Egyes listák több száz millió felhasználónév/jelszó párt tartalmaznak.
Automatizálás – Speciális eszközök (néha „account checkerek" vagy credential stuffing keretrendszerek) segítségével a támadók betöltik az ellopott hitelesítő adatokat, és egy célzott bejelentkezési oldalra irányítják azokat.
Elosztott támadás – A sebességkorlátozás vagy az IP-blokkolás elkerülése érdekében a támadók botneteken vagy nagyszámú lakossági proxyn keresztül irányítják a forgalmat, így azt a látszatot keltve, mintha a bejelentkezési kísérletek a világ különböző pontjain lévő több ezer felhasználótól érkeznének.
Érvényes fiókok begyűjtése – A szoftver jelzi a sikeres bejelentkezéseket, így a támadók hozzáférnek az ellenőrzött fiókokhoz. Ezeket közvetlenül kihasználják, eladják, vagy további csaláshoz használják fel.

A sikerességi arány általában alacsony – jellemzően 0,1% és 2% között van –, de ha több millió hitelesítő adatot tesztelnek, még a 0,5%-os arány is több ezer feltört fiókot jelent.

Miért Fontos Ez a VPN-felhasználók Számára?

A VPN-felhasználók sem immunisak a credential stuffingra – sőt, van egy konkrét szempont, amelyet érdemes ismerni. Egyes VPN-szolgáltatókat maguk is célba vettek. Korábbi incidensek során a VPN-szolgáltatások ellen indított credential stuffing támadások révén a támadók hozzáfértek a felhasználók fiókjaihoz, és bizonyos esetekben a csatlakoztatott eszközeikhez vagy privát konfigurációikhoz is.

Ezen túlmenően a VPN használata nem véd meg, ha a hitelesítő adataid már kompromittálódtak. A VPN elrejti az IP-címed és titkosítja a forgalmadat, de nem tudja megakadályozni, hogy egy támadó bejelentkezzen a Netflix-, e-mail- vagy bankfiókodba egy olyan jelszóval, amelyet egy feltört oldalon is használtál.

Ugyanakkor a VPN közvetett módon segíthet csökkenteni a kitettségedet. Mivel elrejti a valódi IP-címed, a nyomkövetők és az adatbrókerek számára nehezebbé válik a különböző online fiókjaidat összekapcsoló profilok felépítése – ez korlátozhatja az adatvédelmi incidensek okozta károk kiterjedését.

Valós Példák

2020-ban credential stuffing támadások értek egyszerre több VPN-szolgáltatót és videó-streaming platformot, miközben a támadók nem kapcsolódó játék- és kiskereskedelmi adatvédelmi incidensekből ellopott hitelesítő adatokat teszteltek.
A Disney+ indulása után röviddel fiókok tömeges átvételét tapasztalták – nem a Disney rendszereinek feltörése miatt, hanem azért, mert a felhasználók más, már kompromittált szolgáltatásoknál is használt jelszavakat alkalmaztak.
A pénzügyi intézmények rendszeresen naponta több millió credential stuffing kísérletet észlelnek, amelyek többségét a sebességkorlátozás és a többtényezős hitelesítés hárítja el.

Hogyan Védd Meg Magad?

A védekezés egyszerű, még ha a szokás megváltoztatása nem is az:

Használj egyedi jelszót minden fiókhoz. Egy jelszókezelő ezt megvalósíthatóvá teszi.
Engedélyezd a kétfaktoros hitelesítést (2FA) ahol csak lehetséges. Még ha egy támadónak megvan is a jelszavad, a második tényező nem lesz meg neki.
Ellenőrizd az adatvédelmi incidensek adatbázisait, például a HaveIBeenPwned-et, hogy megtudd, érintett-e a hitelesítő adataid.
Figyeld a fiókbejelentkezéseket ismeretlen helyekről vagy eszközökről.

A credential stuffing azért működik, mert az emberek újra felhasználják a jelszavaikat. Ha ezt abbahagyod, a támadás nagyrészt hatástalanná válik ellened.

Credential StuffingHaladó