Чем credential stuffing отличается от брутфорс-атаки?

Брутфорс-атака перебирает случайные или словарные пароли, пытаясь угадать правильный. Credential stuffing использует реальные пары имя пользователя/пароль, уже похищенные в ходе предыдущих утечек данных. Это делает его значительно эффективнее, поскольку проверяются учётные данные, которые заведомо работают хотя бы на одном сервисе.

Защищает ли меня VPN от credential stuffing?

Не напрямую. VPN шифрует ваш трафик и скрывает IP-адрес, однако не может помешать злоумышленнику войти в ваши аккаунты с уже похищенными учётными данными. Лучшая защита — уникальные пароли для каждого сервиса и двухфакторная аутентификация (2FA).

Откуда злоумышленники берут списки учётных данных?

Как правило, они покупают или скачивают их с торговых площадок в даркнете. Эти списки формируются из ранее произошедших утечек данных — взломов сайтов, фишинговых кампаний или вредоносного ПО. Некоторые базы содержат сотни миллионов записей.

Как узнать, стал ли я жертвой credential stuffing?

Проверьте свои аккаунты на наличие уведомлений о входе с незнакомых устройств или мест. Также воспользуйтесь сервисом HaveIBeenPwned, чтобы узнать, фигурировал ли ваш email в известных утечках данных. Неожиданная активность в аккаунте — сброс пароля, изменение настроек или незнакомые транзакции — может свидетельствовать о компрометации.

Credential Stuffing

Credential Stuffing: когда одна утечка становится многими

Если вы когда-либо использовали один и тот же пароль для нескольких аккаунтов — а большинство людей так и делают — вы потенциальная жертва credential stuffing. Это один из наиболее распространённых и эффективных методов атак, применяемых киберпреступниками сегодня. В его основе лежит сугубо человеческая привычка: выбирать удобство в ущерб безопасности.

Что это такое

Credential stuffing — это разновидность автоматизированной кибератаки, при которой злоумышленники берут большие списки утёкших имён пользователей и паролей (как правило, полученных в результате предыдущих утечек данных) и последовательно проверяют их на десятках или сотнях различных сайтов. Логика проста: если человек использовал одни и те же email и пароль на игровом форуме и в сервисе онлайн-банкинга, взлом одного аккаунта фактически открывает доступ к другому.

В отличие от брутфорс-атак, которые перебирают случайные пароли или слова из словаря, credential stuffing использует настоящие учётные данные, которые уже где-то сработали. Это делает метод значительно более эффективным и трудным для обнаружения.

Как это работает

Процесс, как правило, следует предсказуемой схеме:

Получение данных — Злоумышленники покупают или скачивают базы данных скомпрометированных учётных записей с торговых площадок в даркнете. Некоторые списки содержат сотни миллионов пар имя пользователя/пароль.
Автоматизация — С помощью специализированных инструментов (иногда называемых «чекерами аккаунтов» или фреймворками для credential stuffing) злоумышленники загружают похищенные данные и направляют их на целевую страницу входа.
Распределённая атака — Чтобы не активировать ограничение числа запросов или блокировку по IP, злоумышленники маршрутизируют трафик через ботнеты или большое количество резидентных прокси, создавая видимость того, что попытки входа поступают от тысяч разных пользователей по всему миру.
Сбор валидных аккаунтов — Программа фиксирует все успешные входы, предоставляя злоумышленникам доступ к подтверждённым учётным записям. Их либо используют напрямую, либо перепродают, либо применяют для дальнейших мошеннических схем.

Процент успеха, как правило, невысок — обычно от 0,1% до 2% — но когда проверяются миллионы учётных данных, даже 0,5% означают тысячи скомпрометированных аккаунтов.

Почему это важно для пользователей VPN

Пользователи VPN не застрахованы от credential stuffing — более того, здесь есть один аспект, о котором стоит знать. Некоторые VPN-провайдеры сами становились мишенью подобных атак. В ряде инцидентов атаки credential stuffing на VPN-сервисы приводили к тому, что злоумышленники получали доступ к аккаунтам пользователей, а в отдельных случаях — к их подключённым устройствам или приватным конфигурациям.

Помимо этого, использование VPN не защитит вас, если ваши учётные данные уже скомпрометированы. VPN скрывает ваш IP-адрес и шифрует трафик, но не может помешать злоумышленнику войти в ваш Netflix, электронную почту или банковский аккаунт с паролем, который вы использовали повторно на взломанном сайте.

Тем не менее VPN способен косвенно снизить вашу уязвимость. Скрывая ваш реальный IP-адрес, он затрудняет для трекеров и брокеров данных построение профилей, связывающих ваши различные онлайн-аккаунты — что может ограничить масштаб последствий в случае утечки.

Примеры из реальной жизни

В 2020 году атаки credential stuffing одновременно затронули нескольких VPN-провайдеров и стриминговых сервисов: злоумышленники проверяли учётные данные, похищенные в ходе не связанных между собой утечек в игровой и розничной сферах.
Disney+ столкнулся с волной захватов аккаунтов вскоре после запуска — не из-за взлома систем самой компании, а потому что пользователи повторно использовали пароли от других скомпрометированных сервисов.
Финансовые учреждения ежедневно фиксируют миллионы попыток credential stuffing, большинство из которых отражается с помощью ограничения числа запросов и многофакторной аутентификации.

Как защитить себя

Защита проста, даже если изменить привычки непросто:

Используйте уникальный пароль для каждого аккаунта. Менеджер паролей делает это удобным на практике.
Включите двухфакторную аутентификацию (2FA) везде, где это возможно. Даже если злоумышленник узнает ваш пароль, второй фактор ему не достанется.
Проверяйте базы данных утечек — например, HaveIBeenPwned — чтобы узнать, не были ли раскрыты ваши учётные данные.
Отслеживайте входы в аккаунты с незнакомых мест или устройств.

Credential stuffing работает, потому что люди повторно используют пароли. Откажитесь от этой привычки — и атака в значительной мере перестанет быть для вас угрозой.

Credential StuffingСредний