Что такое атака с подстановкой учетных данных

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.345
Репутация
11.800
Реакции
62.026
RUB
50
Атака с подстановкой учетных данных — один из самых эффективных способов захвата аккаунтов.


Рассказываем, как это работает и что следует делать для защиты.

Каждый год миллионы аккаунтов компрометируют атакой с подстановкой учетных данных. Этот метод стал настолько массовым, что еще в 2022 году, по данным одного из провайдеров аутентификации, в среднем . И за прошедшие пару лет ситуация, скорее всего, не изменилась к лучшему.

В этом посте поговорим подробнее о том, как работает подстановка учетных данных, что за данные злоумышленники используют и как защитить ресурсы организации от подобных атак.

Что такое подстановка учетных данных (credential stuffing)


Как работают атаки с подстановкой учетных данных

Подстановка учетных данных (credential stuffing) — это один из самых эффективных вариантов атаки на учетные записи. Для таких атак используются огромные базы данных с заранее добытыми логинами и паролями от аккаунтов на тех или иных платформах. Далее злоумышленники массово подставляют эти логины и пароли в другие онлайн-сервисы в расчете на то, что какие-то из них подойдут.

В основе атаки лежит тот печальный факт, что многие люди используют один и тот же пароль в нескольких сервисах — а то и вовсе пользуются везде одним-единственным паролем. Так что ожидания злоумышленников неизбежно оправдываются, и они успешно угоняют аккаунты с помощью паролей, установленных жертвами на других платформах.

Откуда берутся подобные базы данных?

Основных источника три:
  • пароли, украденные с помощью массовых фишинговых рассылок и фишинговых сайтов;
  • пароли, перехваченные зловредами, специально созданными для того, чтобы воровать пароли, — так называемыми стилерами;
  • пароли, утекшие в результате взломов онлайн-сервисов.
Последний вариант позволяет киберпреступникам добывать наиболее внушительное количество паролей. Рекорд тут принадлежит произошедшему в 2013 году взлому Yahoo! — в результате этой атаки .

Правда, тут следует сделать одну оговорку: обычно сервисы не хранят пароли в открытом виде, а . Так что после успешного взлома эти самые хеши надо еще расшифровать. Чем проще комбинация символов, тем меньше требуется ресурсов и времени, чтобы это сделать. Поэтому в результате утечек в первую очередь рискуют пользователи с недостаточно надежными паролями.

Тем не менее если злоумышленникам действительно понадобится ваш пароль, то даже самая надежная в мире комбинация будет рано (в случае утечки хеша, скорее всего, рано) или поздно расшифрована. Поэтому каким бы надежным ни был пароль, не стоит использовать его в нескольких сервисах.

Как несложно догадаться, базы украденных паролей постоянно растут, пополняясь новыми данными. В итоге получаются совершенно монструозные архивы, количество записей в которых в разы превышает население Земли. В январе 2024 года была обнаружена самая крупная база паролей из известных на сегодняшний день — в ней содержится .

Как защититься от атак с подстановкой учетных данных

Чтобы защитить ресурсы организации от атаки с помощью подстановки учетных данных, мы рекомендуем использовать следующие защитные меры.
  • Повышайте осведомленность сотрудников о кибербезопасности, чтобы среди прочего донести до них опасность переиспользования паролей.
  • Разработайте и внедрите разумную парольную политику.
  • Внедряйте использование менеджеров паролей для генерации и хранения надежных и уникальных комбинаций символов. Также приложение поможет следить за утечками и порекомендует сменить пароль в том случае, если он уже попал в известные базы.
  • Наконец, обязательно настаивайте на включении двухфакторной аутентификации везде, где возможно, — это самый эффективный способ защиты не только от подстановки ранее украденных учетных данных, но и любых других атак на учетные записи.
Также для заблаговременного смягчения последствий успешной атаки с подстановкой учетных данных следует применять принцип минимальных привилегий и, конечно же, использовать надежную защиту на всех корпоративных устройствах.


 
  • Теги
    атака с подстановкой учетных данных двухфакторная аутентификация захват аккаунта
  • Сверху Снизу