Firmy i ich klienci tracą miliardy dolarów rocznie przez cyberataki z użyciem tzw. wypychania danych uwierzytelniających (ang. credential stuffing), ostrzegają eksperci Fortinet. Przestępcy stosujący tę metodę wykorzystują skradzione informacje, które dają im dostęp do konta ofiary w jednym serwisie, celem uzyskania dostępu do jej profili również na innych stronach. Główną przyczyną powodzenia tej techniki jest wykorzystywanie przez internautów tych samych danych logowania na różnych platformach.
Credential stuffing to jedna z najpopularniejszych i najbardziej skutecznych metod przeprowadzania cyberataków. Wskaźnik ich powodzenia może wynosić od 0,1 do 4 proc.
– Skutki ataków typu credential stuffing mogą być bardzo dotkliwe. Ich ofiarami padają zarówno prywatni użytkownicy, jak i duże firmy. Przejęte w wyniku wypychania danych informacje i konta mogą posłużyć cyberprzestępcom do prowadzania innych rodzajów cyberataków, na przykład z wykorzystaniem phishingu. Posiadając nieograniczony dostęp do skrzynki e-mail swojej ofiary hakerzy zyskują wówczas możliwość bardzo wiarygodnego podszywania się pod nią w celu wyłudzania pieniędzy albo zebrania nowych danych osobowych – mówi cytowana w komunikacie Jolanta Malak, dyrektorka Fortinet w Polsce.
Według badań TechReport, aż 65 proc. internautów powiela swoje hasła w wielu serwisach online. Nawyk ten jest podstawową przyczyną powodzenia wykorzystywania techniki credential stuffing przez cyberprzestępców.
Utrzymywanie się popularności tego typu ataków związane jest również z tym, że są one stosunkowo proste do zrealizowania. Oprogramowanie i sprzęt potrzebny do ich przeprowadzenia są powszechnie dostępne i są stosunkowo tanie (zestawy do pozyskania danych uwierzytelniających kosztują ok. 100 dolarów). W internecie istnieje wiele baz zawierających zebrane nielegalnie hasła, adresy e-mail oraz nazwy użytkowników. Jedna z nich – Collection 1-5 – zawiera ich ponad 22 mld.
Celem ataków z użyciem wypychania danych uwierzytelniających stali się w 2020 r. użytkownicy popularnego serwisu streamingowego. Hakerzy wykorzystali wówczas 380 mln rekordów, pozyskanych wcześniej z nielegalnych źródeł, do prób przejęcia istniejących w jego obrębie profili internautów. W ten sam sposób w 2022 r. cyberprzestępcy uzyskali dostęp do prawie 195 tys. kont klientów znanej firmy odzieżowej.
Cyberprzestępcy stosują też inne, zbliżone do credential stuffingu metody, takie jak ataki brute force oraz rozpylanie haseł. W przypadku pierwszej metody hakerzy podejmują próby uzyskania dostępu do konta ofiary wykorzystując generatory powszechnie stosowanych nazw użytkowników i haseł. Stworzone w ten sposób dane są wpisywane do panelu logowania do momentu, aż atak nie zakończy się powodzeniem. Przy rozpylaniu haseł cyberprzestępcy próbują dopasować hasło do zebranych i zweryfikowanych wcześniej adresów e-mail. Najczęściej wpisują stosowane przez użytkowników kombinacje kodów zabezpieczających, aż uda im się osiągnąć sukces.
Tworzenie silnych, unikalnych i złożonych haseł pozwala zapobiegać atakom credential stuffing, podkreślają eksperci Fortinet. Zalecają również włączanie wieloskładnikowego uwierzytelniania, które może obejmować m.in. skanowanie odcisków palców, wprowadzenie kodu bezpieczeństwa wysłanego na numer telefonu lub e-mailowe potwierdzenie logowania. Warto też wdrożyć bardziej specjalistyczne rozwiązania, w tym narzędzia monitorujące sieć pod kątem złośliwych aktywności, takich jak logowanie z nieautoryzowanego adresu IP.
