Kvalifikacinių duomenų užpildymas yra tam tikra kibernetinė ataka, apimanti pavogtų duomenų „įdarymą“ į kelias svetaines.
Tokie įrankiai kaip robotai leido įsilaužėliams automatizuoti įdarą, leidžiant jiems per trumpą laiką išbandyti milijonus prisijungimo duomenų su dešimtimis svetainių. Štai ką turite žinoti apie šią ataką ir paprastus būdus, kaip apsisaugoti.
Kas yra įgaliojimų pildymas?
Kvalifikacinių duomenų užpildymas reiškia, kad didelė pavogtų slaptažodžių ir naudotojų vardų kolekcija sukraunama į kelias svetaines. Jų duomenys priklauso nuo monstrų pažeidimų ir nutekėjimų, kurie naudojami tamsioje žiniatinklyje. Tikslas yra panaudoti milijonus prisijungimo ir vartotojo vardų derinių iš ankstesnių nutekėjimų, norint įsiskverbti į kitas svetaines.
Ar žinojote, kad pakartotinis naudojimas # slaptažodžiai ir trūkumas # multifaktoriausautentifikavimas nutiesti kelią #credentialstuffing atakų. Tiesą sakant, FTB teigia, kad 41% visų finansų sektoriaus išpuolių 2017–2020 m. Įvyko dėl įgaliojimų užpildymo. https://t.co/h99KM6RPL7pic.twitter.com/4IEEEwbZ2n
- Simonas Heslopas (@ supersi101) 2020 m. Gruodžio 9 d
Jie pasikliauja viena žmogiška klaida, kad jų atakos būtų sėkmingos - naudojant tą patį vartotojo vardą ir (arba) slaptažodį keliose svetainėse. Remiantis tyrimais, nepaprastai 85 procentai visų vartotojų perdirbinėja slaptažodžius skirtingose sąskaitose.
Ir būtent toks mąstymas leidžia kibernetiniams nusikaltėliams naudoti prisijungimo duomenis iš vieno interneto pažeidimo patekti į kitas paslaugas.
Sėkmės lygis yra gana žemas, nuo 0,1 iki maždaug 2 procentų. Tai reiškia, kad kiekvienam milijonui išbandytų prisijungimo duomenų galima patekti į kitas svetaines tik apie 1000 prisijungimo duomenų. Tačiau jų pastangos vertos duomenų aukso kasyklos, kurias jie gali surinkti iš kiekvienos paskyros, į kurią įsiskverbia.
Tarkime, kad jiems pavyksta nulaužti maždaug tūkstantį sąskaitų, o jos turi banko informaciją arba kredito kortelės duomenis. Jie gali sifonuoti lėšas arba jas panaudoti kitoms sukčiavimo formoms įvykdyti. Kita asmenį identifikuojanti informacija, pvz., Socialinio draudimo numeriai ar mokesčių informacija, gali būti naudojama nusikaltimams, pvz., Asmens tapatybės vagystėms, padaryti.
Elektroniniai nusikaltėliai uždirba viską, ką randa kiekvienoje paskyroje, todėl ataka verta pastangų, nepaisant labai žemo prisijungimo atitikties rodiklio.
Kaip atliekamas įdarymo išpuolis?
Be abejo, įsilaužėliai neautomatiškai įveda pavogtus prisijungimo duomenis po vieną į skirtingus svetainių, nes joms atakuoti reikia milijonų (ar net milijardų) pavogtų prisijungimo duomenų verta.
Vietoj to, įtrūkę duomenų pažeidimų kredencialai įkeliami į botnetus, kurie paleidžia automatinius prisijungimo bandymus. Tada jie naudojasi kitomis priemonėmis, kad išvengtų aptikimo.
Susijęs: Kas yra „Botnet“ ir ar jūsų kompiuteris yra vieno iš jų dalis?
Robotiniai tinklai yra pagrindinis kenkėjiškų programų, išpirkos keliančių programų, šlamšto ir kt. Šaltinis. Bet kas yra botnetas? Kaip jie atsiranda? Kas juos kontroliuoja? Ir kaip mes galime juos sustabdyti?
Vienas robotas gali bandyti tūkstančius kartų prisijungti per valandą. Pvz., 2016 m. Atpažinimo duomenų užpuolimo metu buvo naudojamas robotas, per valandą išsiuntęs daugiau nei 270 000 prisijungimo užklausų keliose svetainėse.
Kaip išpuolių užpildymas gali išvengti aptikimo?
Nors daugelyje svetainių naudojamos saugos priemonės, kad būtų galima aptikti kelis nesąžiningus prisijungimus, įsilaužėliai rado būdų, kaip šias priemones apeiti.
Tarpinio serverio sąrašas naudojamas norint peradresuoti užklausas ir užmaskuoti šaltinį arba, paprasčiau tariant, padaryti prisijungimo užklausas tarsi iš skirtingų vietų. Jie taip pat naudoja kitus įrankius, kad atrodytų, jog kelis kartus bandoma prisijungti iš skirtingų naršyklių.
Tai daroma todėl, kad keli bandymai prisijungti tik iš vieno tipo naršyklės (pavyzdžiui, tūkstantis per valandą) atrodo įtartini ir turi didesnę galimybę būti pažymėti kaip apgaulingi.
Visi šie būdai imituoja teisėtą tūkstančių vartotojų skirtingose vietose prisijungimo veiklą. Tai daro atakos vektorių paprastą, tačiau sunku aptikti.
Koks skirtumas tarp įgaliojimų pildymo ir žiaurių jėgų atakų?
„Credential Stuffing“ yra žiaurios jėgos atakos potipis, kuris yra daug stipresnis, nes yra tikslingesnis.
Žiaurios jėgos ataka iš esmės apima slaptažodžių atspėjimą naudojant skirtingus atsitiktinių simbolių derinius. Jie naudoja automatizuotą programinę įrangą keliems spėjimams atlikti, išbandydami kelis galimus derinius, kol bus atrastas slaptažodis. Tai daroma be konteksto.
#credentialstuffing# kibernetinio saugumo miniserijos#ntellitechs#infographic#techpic.twitter.com/IPuiyja79v
- „Ntellitechs“ (@ntellitechs) 2020 m. Gruodžio 7 d
Kita vertus, prisijungimo duomenys ir slaptažodžiai naudojami iš ankstesnių duomenų pažeidimų. Jie naudoja slaptažodžio ir vartotojo vardų porą iš nutekėjimo iš vienos svetainės ir tada išbando ją kitose tarnybose.
Nors naudojant griežtus slaptažodžius galite apsaugoti jus nuo žiaurių jėgų atakų, tai nenaudinga, jei naudojate tą patį slaptažodį kitose svetainėse, kai pradedama kimšti ataka.
Koks skirtumas tarp kvalifikacijos užpildymo ir pažymėjimo išmetimo?
Nors gali atrodyti tas pats, kredencialų išmetimas yra kitokio tipo ataka, nukreipta į vieną įėjimo tašką ar mašiną, kad įsiskverbtų į tinklą.
Nors prisijungimo duomenys užpildo kelis ankstesnių pažeidimų prisijungimo duomenis, kad patektų į kitus svetainėse, kredencialų dempingas apima patekimą į vieną mašiną ir kelių prisijungimų išrinkimą įgaliojimai.
Tai daroma pasiekiant talpykloje saugomus kredencialus daugelyje kompiuterio registrų arba ištraukiant kredencialus iš „Security Account Manager“ (SAM) duomenų bazės. Pastarajame yra visos paskyros, sukurtos naudojant slaptažodžius, išsaugotus kaip maišos.
Kredencialų dempingo atakos tikslas yra įsitvirtinti tinkle arba patekti į kitus sistemos kompiuterius. Iš vienos mašinos ištraukęs prisijungimo duomenis, įsilaužėlis gali iš naujo įvesti įrenginį arba pasiekti visą tinklą, kad padarytų daugiau žalos.
Skirtingai nei įdarymo metu, atpažinimo išpuolių ataka naudoja vieną įėjimo tašką, vieną mašiną su nepašalintais pažeidimais, kad įsiskverbtų į tinklą.
SUSIJĘS: Kas yra kvalifikacijos kėlimas? Apsaugokite save šiais 4 patarimais
Kaip apsisaugoti nuo užpuolimo?
Daugumai vartotojų geriausias ir paprasčiausias būdas apsisaugoti yra unikalių kiekvienos svetainės ar paskyros slaptažodžių naudojimas. Tai atlikite bent jau tiems, kurie turi jūsų neskelbtiną informaciją, pvz., Banko ar kreditinės kortelės informaciją.
Įgalinus dviejų veiksnių (2FA) arba daugelio veiksnių (MFA) autentifikavimą įsilaužėliams tampa sunkiau perimti sąskaitą. Jie remiasi antrinėmis patvirtinimo priemonėmis, t. Y. Siunčiant kodą į jūsų telefono numerį, taip pat reikalaujant vartotojo vardo ir slaptažodžio.
Jei jums atrodo painu prisiminti kelis slaptažodžius ir naudotojų vardus, galite naudoti patikimą slaptažodžių tvarkyklę. Jei nesate tikri dėl jų saugumo, patikrinkite saugius metodus, kuriuos naudoja slaptažodžių valdytojai.
Arba pabandykite atvirojo kodo slaptažodžių tvarkyklė.
Apsaugokite savo slaptažodžius
Jūsų slaptažodis yra tarsi raktas į jūsų namus. Jis turi būti unikalus, tvirtas, o svarbiausia - jį visada reikia laikyti saugioje vietoje.
Tai taip pat turi būti įsimintina ir saugi. Galite ištirti įvairius slaptažodžių įrankius, kurie gali padėti sukurti unikalius, tačiau įsimintinus, kuriuos įsilaužėliams sunku įveikti.
Sukurkite tvirtą slaptažodį, kurį galėsite prisiminti vėliau. Naudokite šias programas, kad šiandien atnaujintumėte saugumą naudodami naujus tvirtus slaptažodžius.
- Saugumas
- Internetinis saugumas
Loraine jau 15 metų rašo žurnalams, laikraščiams ir interneto svetainėms. Ji turi taikomųjų medijų technologijų magistro laipsnį ir labai domisi skaitmenine žiniasklaida, socialinės žiniasklaidos studijomis ir kibernetiniu saugumu.
Prenumeruokite mūsų naujienlaiškį
Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!
Dar vienas žingsnis…!
Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.
