Credential Stuffing: เมื่อการละเมิดครั้งเดียวกลายเป็นหลายครั้ง
หากคุณเคยใช้รหัสผ่านซ้ำในหลายบัญชี ซึ่งคนส่วนใหญ่ทำกัน คุณคือเป้าหมายที่อาจตกเป็นเหยื่อของ credential stuffing ได้ นี่คือหนึ่งในวิธีการโจมตีที่พบบ่อยและมีประสิทธิภาพมากที่สุดที่อาชญากรไซเบอร์ใช้ในปัจจุบัน และมันอาศัยนิสัยที่เป็นธรรมชาติของมนุษย์มาก นั่นคือการเลือกความสะดวกสบายมากกว่าความปลอดภัย
มันคืออะไร
Credential stuffing คือการโจมตีทางไซเบอร์แบบอัตโนมัติ ที่แฮกเกอร์นำรายการ username และรหัสผ่านที่รั่วไหลจำนวนมาก ซึ่งมักได้มาจากการละเมิดข้อมูลที่เกิดขึ้นก่อนหน้า มาทดสอบอย่างเป็นระบบกับเว็บไซต์ต่าง ๆ หลายสิบหรือหลายร้อยแห่ง ตรรกะนั้นเรียบง่าย: หากใครบางคนใช้อีเมลและรหัสผ่านเดียวกันทั้งในฟอรัมเกมและบัญชีธนาคารออนไลน์ การเจาะเข้าบัญชีหนึ่งก็เท่ากับเจาะเข้าอีกบัญชีได้อย่างมีประสิทธิภาพ
ต่างจากการโจมตีแบบ brute-force ที่ลองใช้รหัสผ่านแบบสุ่มหรือจากพจนานุกรม credential stuffing ใช้ข้อมูลประจำตัว จริง ที่ได้รับการพิสูจน์แล้วว่าใช้งานได้ในที่ใดที่หนึ่ง จึงทำให้มีประสิทธิภาพสูงกว่ามากและตรวจจับได้ยากกว่า
วิธีการทำงาน
กระบวนการนี้มักดำเนินตามรูปแบบที่คาดเดาได้:
- การได้มาซึ่งข้อมูล — ผู้โจมตีซื้อหรือดาวน์โหลดฐานข้อมูลข้อมูลประจำตัวที่ถูกละเมิดจากตลาดมืดบน dark web โดยบางรายการมีชุด username และรหัสผ่านหลายร้อยล้านชุด
- การทำงานอัตโนมัติ — โดยใช้เครื่องมือเฉพาะทาง (บางครั้งเรียกว่า "account checkers" หรือ credential stuffing frameworks) ผู้โจมตีโหลดข้อมูลประจำตัวที่ถูกขโมยและนำไปทดสอบกับหน้าเข้าสู่ระบบของเป้าหมาย
- การโจมตีแบบกระจาย — เพื่อหลีกเลี่ยงการถูกตรวจจับจากการจำกัดอัตราการเข้าถึงหรือการบล็อก IP ผู้โจมตีจะกระจายทราฟฟิกผ่าน botnet หรือ residential proxy จำนวนมาก ทำให้ดูเหมือนว่าความพยายามในการเข้าสู่ระบบมาจากผู้ใช้หลายพันคนทั่วโลก
- การเก็บเกี่ยวบัญชีที่ใช้งานได้ — ซอฟต์แวร์จะทำเครื่องหมายการเข้าสู่ระบบที่สำเร็จ ทำให้ผู้โจมตีเข้าถึงบัญชีที่ผ่านการยืนยันแล้ว จากนั้นจะนำไปใช้โดยตรง ขายต่อ หรือใช้เพื่อก่อการฉ้อโกงต่อไป
อัตราความสำเร็จโดยทั่วไปต่ำ มักอยู่ระหว่าง 0.1% ถึง 2% แต่เมื่อทดสอบกับข้อมูลประจำตัวหลายล้านชุด แม้แต่ 0.5% ก็แปลงเป็นบัญชีที่ถูกบุกรุกหลายพันบัญชีได้
เหตุใดจึงสำคัญสำหรับผู้ใช้ VPN
ผู้ใช้ VPN ไม่ได้ปลอดภัยจาก credential stuffing และที่จริงมีแง่มุมหนึ่งที่ควรทราบ ผู้ให้บริการ VPN บางรายตกเป็นเป้าหมายโดยตรง ในอดีต การโจมตีแบบ credential stuffing ต่อบริการ VPN ส่งผลให้ผู้โจมตีเข้าถึงบัญชีของผู้ใช้ และในบางกรณีรวมถึงอุปกรณ์ที่เชื่อมต่อหรือการกำหนดค่าส่วนตัวด้วย
นอกจากนี้ การใช้ VPN ไม่ได้ช่วยปกป้องคุณหากข้อมูลประจำตัวของคุณถูกบุกรุกไปแล้ว VPN ซ่อน IP address ของคุณและเข้ารหัสทราฟฟิก แต่ไม่สามารถหยุดผู้โจมตีจากการเข้าสู่ระบบ Netflix อีเมล หรือบัญชีธนาคารของคุณด้วยรหัสผ่านที่คุณนำมาใช้ซ้ำจากเว็บไซต์ที่ถูกละเมิดได้
อย่างไรก็ตาม VPN สามารถ ช่วยลดความเสี่ยงของคุณได้ในทางอ้อม การซ่อน IP address จริงของคุณทำให้ trackers และ data brokers ติดตามและสร้างโปรไฟล์ที่เชื่อมโยงบัญชีออนไลน์ต่าง ๆ ของคุณได้ยากขึ้น ซึ่งช่วยจำกัดความเสียหายที่อาจเกิดขึ้นเมื่อมีการละเมิดข้อมูล
ตัวอย่างในโลกความเป็นจริง
- ในปี 2020 การโจมตีแบบ credential stuffing ได้โจมตีผู้ให้บริการ VPN และบริการสตรีมวิดีโอหลายรายพร้อมกัน โดยผู้โจมตีทดสอบข้อมูลประจำตัวที่ถูกขโมยจากการละเมิดในวงการเกมและค้าปลีกที่ไม่เกี่ยวข้องกัน
- Disney+ ประสบกับการยึดบัญชีจำนวนมากไม่นานหลังจากเปิดตัว ไม่ใช่เพราะระบบของ Disney ถูกละเมิด แต่เพราะผู้ใช้นำรหัสผ่านจากบริการอื่นที่ถูกบุกรุกมาใช้ซ้ำ
- สถาบันการเงินพบกับความพยายาม credential stuffing นับล้านครั้งต่อวัน โดยส่วนใหญ่ถูกป้องกันด้วยการจำกัดอัตราการเข้าถึงและการยืนยันตัวตนแบบหลายขั้นตอน
วิธีปกป้องตัวเอง
การป้องกันนั้นตรงไปตรงมา แม้ว่าการเปลี่ยนนิสัยอาจไม่ใช่เรื่องง่าย:
- ใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับทุกบัญชี โดย password manager จะช่วยให้เรื่องนี้เป็นเรื่องที่ทำได้จริง
- เปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน (2FA) ทุกที่ที่ทำได้ แม้ผู้โจมตีจะมีรหัสผ่านของคุณ พวกเขาก็ไม่มี second factor ของคุณ
- ตรวจสอบฐานข้อมูลการละเมิด เช่น HaveIBeenPwned เพื่อดูว่าข้อมูลประจำตัวของคุณถูกเปิดเผยหรือไม่
- ติดตามการเข้าสู่ระบบบัญชี เพื่อตรวจหาตำแหน่งหรืออุปกรณ์ที่ไม่คุ้นเคย
Credential stuffing ได้ผลเพราะผู้คนใช้รหัสผ่านซ้ำ หยุดทำแบบนั้น และการโจมตีนี้ก็จะหมดประสิทธิภาพกับคุณเป็นส่วนใหญ่