Чи може VPN захистити мене від credential stuffing?

Не напряму. VPN шифрує ваш трафік і приховує IP-адресу, але не може завадити зловмиснику використати вже викрадені облікові дані для входу у ваші акаунти. Найнадійніший захист — унікальні паролі та двофакторна автентифікація (2FA).

Як зловмисники отримують списки облікових даних для credential stuffing?

Зазвичай вони купують або завантажують бази даних з витоками з маркетплейсів даркнету. Ці бази формуються з попередніх зламів таких сервісів, як роздрібні магазини, ігрові платформи, соціальні мережі та інші вебсайти, де зберігаються паролі користувачів.

Чим credential stuffing відрізняється від brute-force атаки?

Brute-force атака перебирає випадкові або словникові паролі, намагаючись вгадати правильний. Credential stuffing натомість використовує реальні пари імен користувачів і паролів, викрадені з попередніх витоків — що робить його значно ефективнішим і складнішим для виявлення.

Як дізнатися, чи стали мої облікові дані частиною витоку даних?

Перевірте свою електронну адресу на сайті HaveIBeenPwned (haveibeenpwned.com) — він покаже, чи фігурують ваші дані у відомих витоках. Багато менеджерів паролів також мають вбудовані функції моніторингу витоків.

Credential Stuffing

Credential Stuffing: коли один витік породжує багато інших

Якщо ви хоч раз використовували один і той самий пароль для кількох акаунтів — а більшість людей так роблять — ви є потенційною ціллю для credential stuffing. Це один із найпоширеніших і найефективніших методів атак, які використовують кіберзлочинці сьогодні, і він експлуатує цілком людську звичку: обирати зручність на шкоду безпеці.

Що це таке

Credential stuffing — це різновид автоматизованої кібератаки, під час якої зловмисники беруть великі списки витоків імен користувачів і паролів (зазвичай отриманих з попередніх витоків даних) і систематично перевіряють їх на десятках або сотнях різних вебсайтів. Логіка проста: якщо людина використовувала однаковий email і пароль і на ігровому форумі, і в онлайн-банкінгу, злам одного акаунта фактично відкриває доступ до іншого.

На відміну від brute-force атак, які перебирають випадкові або словникові паролі, credential stuffing використовує справжні облікові дані, які вже довели свою дієвість. Це робить атаку значно ефективнішою та складнішою для виявлення.

Як це працює

Процес зазвичай відбувається за передбачуваною схемою:

Збір даних — Зловмисники купують або завантажують бази витоків облікових даних на маркетплейсах даркнету. Деякі списки містять сотні мільйонів пар імен користувачів і паролів.
Автоматизація — За допомогою спеціалізованих інструментів (які іноді називають «account checkers» або фреймворками для credential stuffing) зловмисники завантажують викрадені облікові дані та спрямовують їх на цільову сторінку входу.
Розподілена атака — Щоб не спрацювало обмеження кількості запитів або блокування IP-адрес, зловмисники маршрутизують трафік через ботнети або велику кількість резидентних проксі, імітуючи спроби входу з тисяч різних користувачів по всьому світу.
Збір дійсних акаунтів — Програма фіксує успішні входи, надаючи зловмисникам доступ до підтверджених акаунтів. Їх або використовують безпосередньо, або продають, або задіюють для подальшого шахрайства.

Показник успішності зазвичай низький — часто від 0,1% до 2% — але коли перевіряються мільйони облікових даних, навіть 0,5% означають тисячі зламаних акаунтів.

Чому це важливо для користувачів VPN

Користувачі VPN не застраховані від credential stuffing — і тут є один конкретний аспект, про який варто знати. Деякі VPN-провайдери самі ставали об'єктами таких атак. У минулому credential stuffing атаки на VPN-сервіси призводили до того, що зловмисники отримували доступ до акаунтів користувачів, а в окремих випадках — до їхніх підключених пристроїв або приватних конфігурацій.

Крім того, використання VPN не захищає вас, якщо ваші облікові дані вже скомпрометовані. VPN приховує вашу IP-адресу та шифрує трафік, але не може завадити зловмиснику увійти до вашого Netflix, електронної пошти або банківського акаунта за допомогою пароля, який ви повторно використали з зламаного сайту.

Проте VPN може побічно допомогти зменшити вашу вразливість. Маскуючи вашу реальну IP-адресу, він ускладнює трекерам і брокерам даних створення профілів, що пов'язують ваші різні онлайн-акаунти — а це може обмежити масштаби шкоди у разі витоків.

Реальні приклади

У 2020 році credential stuffing атаки одночасно вдарили по кількох VPN-провайдерах і стримінгових відеосервісах: зловмисники перевіряли облікові дані, викрадені з не пов'язаних між собою ігрових і роздрібних сервісів.
Disney+ зіткнувся з хвилею захоплення акаунтів невдовзі після запуску — не через витік у системах Disney, а тому що користувачі повторно використовували паролі з інших скомпрометованих сервісів.
Фінансові установи щодня фіксують мільйони спроб credential stuffing, більшість із яких відбиваються завдяки обмеженню кількості запитів і багатофакторній автентифікації.

Як захистити себе

Захист є зрозумілим, навіть якщо змінити звички непросто:

Використовуйте унікальний пароль для кожного акаунта. Менеджер паролів робить це зручним.
Увімкніть двофакторну автентифікацію (2FA) скрізь, де це можливо. Навіть якщо зловмисник має ваш пароль, у нього не буде другого фактора.
Перевіряйте бази витоків на кшталт HaveIBeenPwned, щоб дізнатися, чи не були розкриті ваші облікові дані.
Відстежуйте входи в акаунти з незнайомих місць або пристроїв.

Credential stuffing працює тому, що люди повторно використовують паролі. Припиніть це робити — і атака здебільшого перестане бути для вас небезпечною.

Credential StuffingСередній