Credential stuffing to rodzaj ataku, który polega na wykorzystaniu skradzionych w Internecie danych logowania przypisanych zazwyczaj do konkretnych użytkowników. Oszuści, często za pośrednictwem dark webu, kupują miliony par danych uwierzytelniających, składających się z nazwy użytkownika czy adresu e-mail oraz przypisanych do nich haseł i PIN-ów. Tego rodzaju dane znajdują się zazwyczaj w rękach oszustów w związku z wyciekiem informacji z popularnych portali.

Atak typu credential stuffing jest zautomatyzowaną próbą logowania (za pomocą skradzionych danych) do wielu różnych portali, platform społecznościowych i streamingowych. Hakerzy powszechnie wykorzystują do tego celu sieci zainfekowanych komputerów zombie, działających w ramach tak zwanego botnetu. W ramach takiej sieci mogą uczestniczyć tysiące maszyn sterowanych za pośrednictwem sieci IRC. Te same komputery są też często wykorzystywane do ataków typu DDoS, które podobnie jak credential stuffing, wykorzystują dużą skalę działania w celu osiągnięcia korzyści.

Hakerzy są świadomi, jak wiele osób zaniedbuje kwestie bezpieczeństwa. Badania i raporty zajmujące się poznaniem poziomu świadomości bezpieczeństwa użytkowników sieci alarmują, że nawet 1/3 ankietowanych używa identycznego hasła w przynajmniej kilku różnych kontach. Osoba przeprowadzająca atak ma tego świadomość i liczy na to, że jeśli udało się wykraść jedno z haseł, to takie samo hasło zostało powtórzone na przykład w banku lub na platformach zakupowych typu Allegro czy Amazon, gdzie użytkownik mógł podać dane swojej karty kredytowej i zostawić inne cenne informacje. Włamanie na konto w portalu społecznościowym pozwoli z kolei zyskać tożsamość, potrzebną do innych metod oszustw – w tym spoofingu, polegającego na podszywaniu się pod inną osobę (i np. wyłudzaniu pożyczek od znajomych).

Do przeprowadzania ataków credential stuffing wykorzystuje się często popularne rozwiązania do zarządzania siecią, jak na przykład cURL lub Selenium. Oszuści stworzyli też własne, dedykowane tej metodzie atakowania, narzędzia. Należą do nich znane w świecie cyberbezpieczeństwa BlackBullet i Sentry MBA oraz kilka innych rozwiązań zidentyfikowanych i niezidentyfikowanych przez służby.

Credential stuffing vs. password spraying – czym się różnią?

Zarówno credential stuufing, jak i password spraying należą do grupy tak zwanych ataków słownikowych (z ang. dictionary attacks). Różnica między nimi jest jednak wyraźna. O ile credential stuffing wykorzystuje rzeczywiste dane logowania, które trafiły do oszustów w wyniku realnego naruszenia prywatności, to password spraying opiera się na ogólnodostępnych listach najpowszechniejszych haseł. Bazy tego typu są nierzadko kompilowane z list haseł, które wyciekły po atakach i naruszeniach.

Potem wystarczy już tylko znaleźć bazy aktywnych adresów e-mail, które większość portali używa jako nazwy użytkowników podczas logowania. Skuteczność takich ataków jest mniejsza, jednak często wystarczająca do pozyskania kilku cennych kont. W ten sposób użytkownik może stracić dostęp do swoich pieniędzy, zasobów, a nawet tożsamości. Kluczową różnicą pomiędzy password sprayingiem a credential stuffingiem jest więc sam fakt powiązania konkretnej nazwy użytkownika z konkretnym hasłem.

Podobną, choć wciąż różną od wymienionych powyżej, jest metoda tak zwanych ataków siłowych (z ang. brute force attacks) polegająca na siłowej próbie sforsowania haseł bez znajomości kontekstu. Stworzony algorytm w tym samym czasie tworzy setki tysięcy losowych haseł. Jest to metoda znacznie mniej skuteczna od powszechnie stosowanego credential stuffingu. Sam credential stuffing jest w wielu kręgach traktowany jako rodzaj ataku siłowego, jednak zdania, co do tego są podzielone.

Większość portali i serwisów jest przygotowanych na możliwość ataku. Zazwyczaj, gdy logujemy się do swojego konta z innego komputera, nowego smartphona czy innej niż zazwyczaj przeglądarki internetowej, strona wysyła do nas wiadomość e-mail z powiadomieniem o próbie logowania. Najważniejsze, by nie ignorować takich wiadomości, gdy logowanie faktycznie nie zostało wykonane przez użytkownika. Nie oczekujmy, że to e-mail przesłany przez pomyłkę.

W takiej sytuacji należy jak najszybciej zmienić hasło do tego konta oraz innych (a przede wszystkim te same hasła wykorzystywane w różnych miejscach), a następnie zgłosić sprawę administratorowi portalu.

Najlepszą metodą zapobiegania atakom na dane logowania jest ciągłe zwiększanie świadomości bezpieczeństwa w firmie. Niezmiennie zachęcamy do korzystania ze szkoleń security awareness, poruszających najważniejsze kwestie związane z cyberbezpieczeństwem (szkolenia są dostępne m.in. zarządzany UTM Netii – usługę zapewniającą ochronę od A do Z w modelu usługowym z dostępem do szyfrowanych sieci prywatnych VPN, oprogramowaniem antywirusowym, zaporą sieciową i wieloma innymi modułami, chroniącymi sieć np. przed dla klientów Netii korzystających z pomocy naszego zespołu SOC). Konieczne jest także ustanawianie unikalnych haseł w każdym koncie, z którego korzystamy (w domu i w firmie – bez wyjątków). W przypadku wielu haseł warto posiłkować się sprawdzonym key managerem.

Ponadto, jeśli tylko jest to możliwe, powinno się skorzystać z uwierzytelniania dwuskładnikowego, które zmniejsza ryzyko powodzenia ataku.

W celu uzyskania kompleksowej ochrony przed atakami polecamy zarządzany UTM Netii – usługę zapewniającą ochronę od A do Z w modelu usługowym z dostępem do szyfrowanych sieci prywatnych VPN, oprogramowaniem antywirusowym, zaporą sieciową i wieloma innymi modułami, chroniącymi sieć np. przed sniffingiem. Ponadto kluczowa jest także ochrona poczty elektronicznej, stanowiącej częsty cel ataków. W kontekście ataków typu DDoS przydać może się także skuteczna ochrona w formie Netia DDoS Protection.

Co ciekawe, tworzenie „silnych haseł” składających się z wielu liter i cyfr, a także znaków specjalnych, nie podnosi stopnia ochrony przed credential stuffingiem. Jeśli identyczne hasło zostanie użyte więcej niż jeden raz, a następnie wycieknie, na nic zda się choćby najsilniejsza kombinacja.

Masz pytania dotyczące metod ochrony firmowej sieci i zasobów? Skontaktuj się z nami, a nasi specjaliści omówią z Tobą wszystkie najważniejsze kwestie i zaproponują gotowe rozwiązania.