Plnění pověření je typ kybernetického útoku, který zahrnuje „nacpání“ odcizených pověření na více webů.
Nástroje, jako jsou roboti, umožnily hackerům automatizovat plnění a umožnit jim v krátké době otestovat miliony přihlašovacích údajů na desítkách webů. Zde je to, co potřebujete vědět o tomto útoku a jednoduchých způsobech, jak se můžete chránit.
Co je to vyřizování pověření?
Plnění pověření zahrnuje vtělení velké sbírky odcizených hesel a uživatelských jmen na více webů. Závisí na narušení příšer a úniků prodávaných na temném webu pro svá data. Cílem je použít miliony kombinací přihlašovacích údajů a uživatelských jmen z předchozích úniků k infiltraci na jiné webové stránky.
Věděli jste, že opětovné použití #passwords a nedostatek #multifactorauthentication připravit cestu pro #credentialstuffing útoky. FBI tvrdí, že 41% všech útoků na finanční sektor v letech 2017 až 2020 bylo způsobeno nacpáním pověření. https://t.co/h99KM6RPL7pic.twitter.com/4IEEEwbZ2n
- Simon Heslop (@ supersi101) 9. prosince 2020
Aby byly jejich útoky úspěšné, spoléhají se na jednu lidskou chybu - používají stejné uživatelské jméno a / nebo heslo na více webech. Podle průzkumu neuvěřitelných 85 procent všech uživatelů recykluje svá hesla na různé účty.
A právě tento druh myšlení umožňuje počítačovým zločincům využívat přihlašovací údaje z jednoho porušení webové stránky k získání dalších služeb.
Úspěšnost je poměrně nízká, na úrovni 0,1 až přibližně 2 procent. To znamená, že na každý milion testovaných přihlašovacích údajů lze na jiné webové stránky použít pouze přibližně 1 000 přihlašovacích údajů. Ale díky čemuž jejich úsilí stojí za to, je zlatý důl dat, který mohou shromažďovat z každého účtu, do kterého proniknou.
Řekněme, že se jim podaří hacknout kolem tisíce účtů a ty mají bankovní informace nebo údaje o kreditní kartě. Mohou nasávat finanční prostředky nebo je použít k páchání jiných forem podvodu. Ke spáchání trestných činů, jako je krádež identity, lze použít jiné osobní identifikační údaje (PII), jako jsou čísla sociálního zabezpečení nebo daňové informace.
Kybernetičtí zločinci zpeněžují vše, co v každém účtu najdou, díky čemuž útok stojí za námahu navzdory velmi nízké míře shody přihlášení.
Jak se provádí ucpávací útok?
Hackeři samozřejmě nezadávají ručně odcizené přihlašovací údaje po jednom do různých protože k útoku potřebují miliony (nebo dokonce miliardy) odcizených přihlašovacích údajů stojí za to.
Místo toho se prasklá pověření z narušení dat načítají do botnetů, které spouštějí pokusy o automatické přihlášení. Poté se pomocí dalších nástrojů vyhnou detekci.
Příbuzný: Co je Botnet a je váš počítač součástí jednoho?
Botnety jsou hlavním zdrojem malwaru, ransomwaru, spamu a dalších. Ale co je to botnet? Jak vznikají? Kdo je ovládá? A jak je můžeme zastavit?
Jeden botnet může provádět tisíce pokusů o přihlášení za hodinu. Například útok na naplnění pověření v roce 2016 použil botnet, který odeslal přes 270 000 požadavků na přihlášení na více webů za hodinu.
Jak se mohou vycpávky vyhnout detekci?
Zatímco mnoho webů používá bezpečnostní opatření k detekci více nepoctivých přihlášení, hackeři našli způsoby, jak tato opatření obejít.
Seznam proxy se používá k odražení požadavků a maskování zdroje, nebo jednoduše řečeno, aby žádosti o přihlášení vypadaly, jako by pocházely z různých míst. Používají také další nástroje, aby to vypadalo, že pokusy o vícenásobné přihlášení pocházejí z různých prohlížečů.
To se děje proto, že několik pokusů o přihlášení pouze z jednoho typu prohlížeče (například tisíc za hodinu) vypadá podezřele a má větší šanci být označen jako podvodný.
Všechny tyto techniky napodobují legitimní aktivitu přihlášení tisíců uživatelů na různých místech. Díky tomu je vektor útoku jednoduchý, ale obtížně detekovatelný.
Jaký je rozdíl mezi plněním pověření a útoky hrubou silou?
Credential Stuffing je podtyp útoku hrubou silou, který je mnohem účinnější, protože je cílenější.
Útok hrubou silou v podstatě zahrnuje hádání hesel pomocí různých náhodných kombinací znaků. Používají automatizovaný software k provádění více odhadů testováním několika možných kombinací, dokud není heslo objeveno. Dělá se to bez kontextu.
#credentialstuffing#cybersecurityminiseries#ntellitechs# infografika#techpic.twitter.com/IPuiyja79v
- Ntellitechs (@ntellitechs) 7. prosince 2020
Naplnění pověření naopak používá přihlašovací údaje a hesla z předchozích narušení dat. Používají pár hesla a uživatelského jména z úniku z jednoho webu a poté ho testují na jiných službách.
Zatímco používání silných hesel vás může ochránit před útoky hrubou silou, je to zbytečné, pokud používáte stejné heslo na jiných webech, když je spuštěn útok na vycpání.
Jaký je rozdíl mezi plněním pověření a skládáním pověření?
I když se to může zdát stejné, dumping pověření je jiný typ útoku, který se zaměřuje na jeden vstupní bod nebo stroj, aby infiltroval síť.
Zatímco náplň pověření používá více přihlašovacích údajů z předchozích porušení, aby se dostala do jiných skládání pověření zahrnuje vstup do jednoho stroje a extrahování vícenásobného přihlášení pověření.
To se provádí přístupem k pověření v mezipaměti v mnoha registrech počítače nebo extrahováním pověření z databáze Security Account Manager (SAM). Ten obsahuje všechny účty vytvořené pomocí hesel uložených jako hash.
Cílem útoku na pověřovací dumping je získat oporu v síti nebo přístup do jiných počítačů v systému. Po stažení přihlašovacích údajů z jednoho počítače může hacker znovu vstoupit do zařízení nebo získat přístup k celé síti a způsobit další škody.
Na rozdíl od vycpávky používá útok na ukládání pověření jeden vstupní bod, jeden stroj s neopravenými chybami zabezpečení k infiltraci do sítě.
PŘÍBUZNÝ: Co je to povolovací dumping? Chraňte se těmito 4 tipy
Jak se chráníte před nádivkou?
Pro většinu uživatelů je nejlepším a nejjednodušším způsobem, jak se chránit, použití jedinečných hesel pro každý web nebo účet. Přinejmenším to udělejte pro ty, kteří mají vaše citlivé informace, jako jsou bankovní údaje nebo údaje o kreditní kartě.
Povolení dvoufaktorového ověřování (2FA) nebo vícefaktorového ověřování (MFA) pomáhá hackerům ztěžovat převzetí účtu. Ty se spoléhají na sekundární prostředky ověření, tj. Zaslání kódu na vaše telefonní číslo a také požadavek na vaše uživatelské jméno a heslo.
Pokud si pamatujete více hesel a uživatelských jmen matoucích, můžete použít spolehlivého správce hesel. Pokud si nejste jisti jejich bezpečností, podívejte se na bezpečné metody, které používají správci hesel.
Nebo zkuste open-source správce hesel.
Chraňte svá hesla
Vaše heslo je jako klíč od vašeho domu. Musí to být jedinečné, silné a co je nejdůležitější, musíte to mít vždy na bezpečném místě.
Musí být také nezapomenutelné a bezpečné. Můžete prozkoumat různé nástroje pro heslo, které vám pomohou vytvořit jedinečné, ale nezapomenutelné nástroje, které hackeři těžko prolomí.
Vytvořte silné heslo, které si později zapamatujete. Pomocí těchto aplikací můžete dnes vylepšit zabezpečení novými silnými hesly.
- Bezpečnostní
- Zabezpečení online
Loraine píše pro časopisy, noviny a webové stránky již 15 let. Má magisterský titul v oboru aplikovaných mediálních technologií a velký zájem o digitální média, studium sociálních médií a kybernetickou bezpečnost.
Přihlaste se k odběru našeho zpravodaje
Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!
Ještě jeden krok…!
V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.