Credential stuffing: как утечки безопасности становятся ситом для данных

Все мы пользуемся десятками или даже сотнями различных онлайн-сервисов: поставщиками электронной почты, программными приложениями, потоковыми сервисами, подпиской на газеты и многим другим. Каждая из этих служб просит нас создать логин — обычно это имя пользователя и пароль. Однако часто эти данные для входа в систему тем или иным способом похищаются и продаются киберпреступниками как часть больших коллекций паролей. Затем хакеры используют эти данные для входа в систему, применяя такие методы, как, например, подстановка учетных данных, чтобы получить прибыль от украденных данных.

Хакерам регулярно удается получить доступ к базам данных крупных онлайн-сервисов и украсть регистрационные данные многих и многих пользователей. Эти украденные данные затем выставляются на продажу в темной сети в виде списков. Самый большой и самый известный список называется «Коллекция №1-5» и содержит более 2,2 миллиарда комбинаций имен пользователей и паролей — около 900 ГБ данных!

Что же можно сделать с таким списком? На первый взгляд, ничего особенного. Если поставщику услуг становится известно о краже данных, он предупреждает своих клиентов и просит их сменить пароль.

Смена пароля действительно предотвращает доступ хакеров к соответствующей учетной записи. Проблема в том, что многие пользователи являются существами привычки. Они часто используют один и тот же адрес электронной почты и комбинацию паролей для нескольких онлайн-сервисов. Именно в этом случае в игру вступает подстановка учетных данных, поскольку хакеры могут использовать украденные данные для входа в систему в своих интересах.

При вбросе учетных данных злоумышленники пытаются использовать украденные данные для входа в систему (или «учетные данные») для получения доступа к ней. При этом они используют множество различных учетных данных, которые они украли из других онлайн-сервисов. Цель атаки — получить дополнительную ценную информацию из взломанного аккаунта, такую как номера кредитных карт, адреса, сохраненные документы, контактные данные — словом, любые другие данные, которые можно использовать для получения прибыли.

Согласно статистике, примерно каждая тысячная попытка входа в систему оказывается успешной. Другими словами, чтобы взломать систему, злоумышленнику нужно попробовать 1000 различных наборов регистрационных данных.

Для успешной атаки «вброс учетных данных» хакеру необходимы четыре вещи:

• Список данных для входа в систему
• Список популярных онлайн-сервисов, которые они хотят атаковать (например, Dropbox, Adobe Cloud, Canva и т.д.).
• Техника, позволяющая использовать большое количество различных IP-адресов (ротация IP-адресов).
• «бот» (компьютерная программа), который делает попытки входа в различные онлайн-сервисы полностью автоматически.

С помощью этих ботов хакеры могут пробовать один вход в систему за другим, систематически меняя каждый раз IP-адрес, чтобы целевой сервер не блокировал попытки входа, поскольку хорошо настроенный сервер обычно блокирует IP-адрес, если количество неудачных попыток входа превышает определенный порог.

В случае успешного входа бот получает доступ к ценной информации, о которой мы говорили выше. Данные успешного входа также сохраняются для последующего использования — например, для фишинговых и других подобных атак.

Набивка учетных данных зачастую значительно эффективнее следующих методов взлома:

• Атаки грубой силы требуют гораздо большего количества попыток, поскольку проверяются только случайные комбинации паролей, а не существующие пароли, как при набивке учетных данных.
• Социальная инженерия обычно ограничивает атаку только одной платформой (например, Amazon), в то время как вброс учетных данных может одновременно атаковать сотни различных онлайн-сервисов.

Наиболее простой и надежной контрмерой является использование разных паролей для разных логинов. Хотя это не совсем удобно, но все же меньше хлопот с запоминанием всех паролей, чем с изменением пароля для всех ваших логинов по отдельности в случае утечки информации.

Эффективные методы использования различных паролей включают:

• Формула пароля, одинаковая для всех паролей. Одним из хороших методов является сочетание названия платформы с фиксированной комбинацией цифр. Например, для Dropbox ваш пароль будет dro33pbox22, а для Amazon — ama33zon22.
• Использование менеджера паролей; здесь вы можете выбирать между приложением и надстройкой для браузера.
• Использовать несколько адресов электронной почты и имен пользователей для разных платформ и каждый раз менять пароль.

У операторов веб-сайтов, интернет-магазинов и онлайн-сервисов есть целый ряд возможностей для выбора, когда речь идет о защите пользователей от вброса учетных данных:

• Аутентификация на основе TOTP: использует одноразовый временный пароль (одноразовый пароль на основе времени) для входа в систему.
• Многофакторная аутентификация: работает, например, путем отправки SMS-кода на смартфон пользователя.
• Блокировать безголовые браузеры: например, используемые ботами
• Блокируйте трафик из центров обработки данных: например, Amazon Web Services или IBM Watson, поскольку боты часто управляются из таких центров обработки данных.
• Использовать специализированное программное обеспечение безопасности: например, WordPress предлагает плагин Wordfence Login Security
• Отпечатки пальцев устройств: этот метод определяет различные свойства компьютеров пользователей, такие как MAC-адрес, размер жесткого диска и т.д., и преобразует их в хэш-значение, так что любые попытки входа в систему с чужих компьютеров могут быть немедленно обнаружены.