Τι είναι το Credential Stuffing;

DLP

Πίνακας περιεχομένων

Πώς λειτουργούν οι επιθέσεις πλήρωσης διαπιστευτηρίων;
Τι προκαλεί επιθέσεις πλήρωσης διαπιστευτηρίων;
The Challenges Facing Credential Stuffing Detection
Πώς να αποτρέψετε το γέμισμα διαπιστευτηρίων;
Προστατέψτε τα διαπιστευτήρια των εργαζομένων με το LayerX

Τα διαπιστευτήρια σύνδεσης είναι η πύλη σε κάθε διαδικτυακή υπηρεσία σήμερα, καθώς βοηθούν στην αναγνώριση του ατόμου πίσω από την οθόνη, προστατεύοντας τις ευαίσθητες πληροφορίες σας από οποιονδήποτε έχει κακόβουλη πρόθεση. Παρά τα πολλά προληπτικά μέτρα που είναι δυνατά σήμερα, το γέμισμα διαπιστευτηρίων παραμένει ένα από τα καλύτερα εργαλεία στο οπλοστάσιο του κυβερνοεπιτιθέμενου. Με αυτό, οι επιτιθέμενοι μπορούν να εισβάλουν σε διαδικτυακούς λογαριασμούς και να ξεφύγουν από πολύτιμα προσωπικά δεδομένα.

Με περισσότερα από 15 δισεκατομμύρια διαπιστευτήρια διαθέσιμα για αγορά στη μαύρη αγορά, οι εισβολείς προσπαθούν πάντα να αποκομίσουν γρήγορα κέρδη αξιοποιώντας τα διαπιστευτήρια που διέρρευσαν κατά των θυμάτων. Σήμερα, δεν χρειάζεται απαραιτήτως να πληρώσουν για να οπλίσουν αυτά τα κλεμμένα διαπιστευτήρια – η λίστα RockYou21 είναι μια δημόσια προσβάσιμη λίστα κωδικών πρόσβασης, που συντάσσει πάνω από 8 δισεκατομμύρια συμμετοχές. Με αυτήν τη δωρεάν βάση δεδομένων, οι χάκερ λαμβάνουν μια εξαιρετική ποσότητα πυρομαχικών εναντίον ανυποψίαστων διαδικτυακών χρηστών. Με βάσεις δεδομένων όπως αυτές, μπορεί να χρειαστεί μόνο λίγος χρόνος για να βρουν τον σωστό συνδυασμό σύνδεσης και να αναλάβουν τα αυτοματοποιημένα εργαλεία ψεκασμού κωδικών πρόσβασης.

Πώς λειτουργούν οι επιθέσεις πλήρωσης διαπιστευτηρίων;

Η βασική αδυναμία στο επίκεντρο της δημοτικότητας της γέμισης διαπιστευτηρίων είναι η συχνότητα επαναχρησιμοποίησης κωδικών πρόσβασης. Αν και είναι δελεαστικό να ρίξουμε όλη αυτή την ευθύνη στον τελικό χρήστη, αξίζει να έχετε κατά νου την τεράστια ποσότητα διαδικτυακών λογαριασμών που κάθε τελικός χρήστης πρέπει να παρακολουθεί.

Μια πρόσφατη μελέτη διαπίστωσε ότι ο μέσος άνθρωπος έχει πλέον μόλις 100 διαδικτυακούς λογαριασμούς – αυτό αυξήθηκε δραστικά καθ' όλη τη διάρκεια της πανδημίας, καθώς ορδές νέων χρηστών ανακάλυψαν νέες μορφές διαδικτυακής ψυχαγωγίας. Δεδομένου του πλαισίου που χρειάζεται να κάνουν ταχυδακτυλουργίες τόσους πολλούς λογαριασμούς, οι χρήστες αναγκάζονται ουσιαστικά σε δύο επιλογές: η πρώτη είναι να χρησιμοποιήσουν έναν εκτεταμένο και ασφαλή διαχειριστή κωδικών πρόσβασης. ή απλώς να επαναχρησιμοποιήσετε τους κωδικούς πρόσβασης σε όλους τους λογαριασμούς. Ενώ το πρώτο είναι πολλά υποσχόμενο, οι διαχειριστές κωδικών πρόσβασης εξακολουθούν να είναι σχετικά νέοι και μακριά από την ευρεία υιοθέτησή τους. Αντιπροσωπεύουν επίσης ακόμη μεγαλύτερους στόχους για τους επιτιθέμενους, όπως παραδείγματος χάριν την πρόσφατη παραβίαση του LastPass που είδε τόσο τις επιχειρήσεις όσο και τα δεδομένα πελατών να κλαπούν.

Γνωρίζοντας ότι τόσοι πολλοί χρήστες βασίζονται στον ίδιο κωδικό πρόσβασης σε πολλούς διαδικτυακούς λογαριασμούς, οι εισβολείς συχνά χρησιμοποιούν διαπιστευτήρια που έχουν παραβιαστεί στο παρελθόν για να αποκομίσουν υψηλά κέρδη. Το γέμισμα διαπιστευτηρίων είναι η διαδικασία σύνδεσης αυτών των διαπιστευτηρίων που διέρρευσαν σε ένα αυτοματοποιημένο πρόγραμμα, το οποίο στη συνέχεια λειτουργεί αυτόματα μέσω τυχόν συσχετισμένων διαδικτυακών λογαριασμών για την απόπειρα διάρρηξης.

Οι περισσότερες επιθέσεις ακολουθούν την ίδια μορφή: Πρώτον, ο εισβολέας θα βρει ή θα αγοράσει μια κρυφή μνήμη ονομάτων χρήστη και κωδικών πρόσβασης – που συχνά εκτίθεται από μια πρόσφατη παραβίαση δεδομένων. Ο εισβολέας θα αφιερώσει στη συνέχεια ένα μικρό χρονικό διάστημα δοκιμάζοντας εάν αυτοί οι συνδυασμοί λειτουργούν σε μερικούς ιστότοπους. Μόλις επαληθευτεί, η επίθεση μεγάλης κλίμακας ξεκινά σοβαρά. Όλα τα κλεμμένα δεδομένα χρησιμοποιούνται, εκδίδοντας πλημμύρες προσπαθειών σύνδεσης σε έναν συγκεκριμένο διακομιστή. Εάν λειτουργεί μόνο ένα, τότε ο εισβολέας έχει πρόσβαση. Όταν γίνει διάρρηξη, ο εισβολέας θα αρχίσει με μη αυτόματο τρόπο να αφαιρεί οτιδήποτε έχει αξία από τον λογαριασμό – όπως αριθμούς πιστωτικών καρτών, σχετικούς λογαριασμούς email και αριθμούς κοινωνικής ασφάλισης. Τέλος, πριν παραιτηθεί από τον έλεγχο του λογαριασμού, ο εισβολέας μπορεί να τον κρατήσει ως λύτρα.

Τι προκαλεί επιθέσεις πλήρωσης διαπιστευτηρίων;

Οι επιθέσεις γεμίσματος διαπιστευτηρίων είναι απλώς αποτέλεσμα πολλών ευρύτερων παραβλέψεων σε όλη την επιφάνεια επίθεσης ενός οργανισμού. Τα αυτοματοποιημένα ρομπότ σύνδεσης αναπτύσσονται από μια σταθερή εισαγωγή διαπιστευτηρίων που έχουν διαρρεύσει, κλαπεί και σπασθεί, καθένα από τα οποία προέρχεται από μεμονωμένες πηγές.

Παραβιάσεις δεδομένων

Οι παραβιάσεις δεδομένων, οι οποίες δεν ήταν ποτέ πιο συνηθισμένες, προκαλούνται από μυριάδες αδύναμες πρακτικές ασφάλειας, εσωτερικές απειλές και στοχευμένες επιθέσεις μεγάλης κλίμακας. Ενώ οι εταιρείες προσπαθούν να διαχειριστούν τις επιπτώσεις σε PR και τεχνικά συστήματα, τα δεδομένα που δημοσιεύονται κατά τη διάρκεια μιας παραβίασης τροφοδοτούνται γρήγορα στην ισχυρή αγορά πλήρωσης διαπιστευτηρίων. Τα σχετικά διαπιστευτήρια ανακυκλώνονται σε περαιτέρω παραβιάσεις δεδομένων, καθώς οι εισβολείς διεισδύουν σε ένα ευρύτερο φάσμα εταιρικών δικτύων. Από αυτό εξάγονται πιο ευαίσθητα δεδομένα, οδηγώντας σε εκθετικά αυξανόμενες επιθέσεις.

Επαναχρησιμοποιημένοι κωδικοί πρόσβασης

Χάρη στη σημερινή διαδικτυακή συνδεσιμότητα, η επικράτηση της επαναχρησιμοποίησης κωδικών πρόσβασης είναι ανεξέλεγκτη: το 80% των παραβιάσεων δεδομένων της εταιρείας προκαλούνται άμεσα από παραβιάσεις κωδικών πρόσβασης. ο ίδιος αριθμός περιγράφει το ποσοστό των περιστατικών hacking που προκαλούνται από την επαναχρησιμοποίηση του κωδικού πρόσβασης. Παράλληλα, η ισχύς των διαφόρων κωδικών πρόσβασης μπορεί να εξαρτάται από ανησυχητικά προσβάσιμες πληροφορίες: έως και το ένα τρίτο των εργαζομένων στις ΗΠΑ χρησιμοποιούν τα γενέθλια των παιδιών τους ή των αγαπημένων τους ως βάση για τους κωδικούς πρόσβασής τους. Μαζί, η πιθανή επιφάνεια επίθεσης που προσφέρουν τέτοιοι αναπαραγόμενοι και μαντεύσιμοι κωδικοί πρόσβασης αυξάνει μαζικά την ακτίνα έκρηξης των επιθέσεων πλήρωσης διαπιστευτηρίων.

Επιθέσεις Phishing

Οι επιθέσεις phishing βλέπουν τους εισβολείς να ξεγελούν τα θύματα μέσω της πλαστοπροσωπίας. Δημιουργώντας ψεύτικα email - υποτίθεται από τράπεζες, παρόχους λογισμικού ή ακόμα και συναδέλφους - τα θύματα πείθονται να αποκαλύψουν τα στοιχεία σύνδεσής τους. Όταν αυτά τα διαπιστευτήρια πληκτρολογούνται σε μια δόλια σελίδα σύνδεσης, προστίθενται στη συνεχώς διευρυνόμενη βάση δεδομένων του εισβολέα. Τα email δεν είναι η μόνη μορφή μηνυμάτων που χρησιμοποιούν οι εισβολείς phishing: οι τηλεφωνικές κλήσεις, τα μηνύματα SMS και τα μέσα κοινωνικής δικτύωσης προσφέρουν όλα πιθανούς τρόπους επίθεσης.

Διαπιστευτήρια που διέρρευσαν

Τα διαπιστευτήρια δεν αντιμετωπίζονται πάντα με τον σεβασμό που τους αξίζει – οι γρήγοροι κύκλοι ανάπτυξης συχνά οδηγούν σε παραλείψεις που γίνονται υπερβολικά εκμεταλλεύσιμες από κακόβουλους παράγοντες. Αυτό το ζήτημα παραμένει και εκτός του Devops: οι εργαζόμενοι μερικές φορές διαρρέουν κατά λάθος διαπιστευτήρια μοιράζοντάς τα με άλλους ή αποθηκεύοντάς τα σε απλό κείμενο. Όταν εμφανίζονται περιπτώσεις διαπιστευτηρίων που διέρρευσαν, προστίθενται γρήγορα στις βάσεις δεδομένων των συγκεντρωμένων διαπιστευτηρίων που είναι διαθέσιμες σε αγορές σκοτεινού ιστού.

Αυτοματοποιημένα Εργαλεία

Το τελευταίο κομμάτι του παζλ γεμίσματος διαπιστευτηρίων καταλαμβάνεται από αυτοματοποιημένα εργαλεία. Ο έλεγχος της εγκυρότητας δισεκατομμυρίων κωδικών πρόσβασης θα ήταν αδύνατος για μη αυτόματες διαδικασίες. Αντίθετα, οι εισβολείς ενισχύουν την αποτελεσματικότητα και την απόδοση επένδυσης (ROI) των επιθέσεων χρησιμοποιώντας bots. Αυτά δοκιμάζουν εκατομμύρια συνδυασμούς κωδικών πρόσβασης και ονομάτων χρήστη κάθε λεπτό, διανέμοντας και ενισχύοντας ενεργές επιθέσεις.

The Challenges Facing Credential Stuffing Detection

Το πάνω χέρι που απολαμβάνουν οι γεμιστήρες διαπιστευτηρίων είναι η ικανότητά τους να συνδυάζονται με νόμιμους χρήστες. Οι προσεγγίσεις του παραδοσιακού τείχους προστασίας εφαρμογών Ιστού (WAF) και της μαύρης λίστας αποτυγχάνουν εντελώς, καθώς αυτές οι επιθέσεις δεν βασίζονται σε αναγνωρίσιμες εκμεταλλεύσεις – ή οποιεσδήποτε απροκάλυπτα κακόβουλες ενέργειες. Τεχνικά, ο εισβολέας χρησιμοποιεί τη λειτουργία σύνδεσης της εφαρμογής για την επιδιωκόμενη αιτία – καθιστώντας το WAF άχρηστο.

Η υιοθέτηση μιας προσέγγισης προστασίας με επίκεντρο τον εισβολέα με τον εντοπισμό κακόβουλων διευθύνσεων IP μπορεί να προσφέρει κάποια προστασία, αλλά η τεράστια κλίμακα των κατανεμημένων botnets επιτρέπει όχι μόνο ταχύτερη εργασία – αλλά και μια εξαιρετικά διαδεδομένη επίθεση που καλύπτει πιθανώς χιλιάδες διαφορετικές διευθύνσεις IP. Αυτό περιορίζει σε μεγάλο βαθμό κάθε προληπτική ανίχνευση γέμισης διαπιστευτηρίων.

Σε αντίθεση με τα μοτίβα συμπεριφοράς που παρατηρούνται στις επιθέσεις ωμής βίας - όπου τα bots επαναλαμβάνουν συνεχώς προηγούμενες εικασίες - τα διαπιστευτήρια ρομπότ απλώς επιχειρούν πρόσβαση μέσω του κλεμμένου ζεύγους, προτού προχωρήσουν. Αυτό τα καθιστά εξαιρετικά κινητά – αρκετά ευέλικτα ώστε να αποφεύγουν προγράμματα που αξιολογούν τη συχνότητα αποτυχίας σύνδεσης.

Πώς να αποτρέψετε το γέμισμα διαπιστευτηρίων;

Παρά τις προκλήσεις που παρουσιάζουν οι ομάδες ασφαλείας, υπάρχουν μερικοί νέοι τρόποι με τους οποίους έχουν αποτραπεί οι προσπάθειες γεμίσματος διαπιστευτηρίων.

Έλεγχος ταυτότητας με Multi-Factor

Το MFA προσθέτει ένα επιπλέον επίπεδο ελέγχου ταυτότητας σε μια προσπάθεια σύνδεσης κάνοντας τον χρήστη να ελέγχει την ταυτότητα με κάτι που έχει – καθώς και με κάτι που γνωρίζει. Με μια μέθοδο φυσικής επαλήθευσης ταυτότητας, όπως ένα τηλέφωνο ή ένα διακριτικό πρόσβασης, τα ρομπότ διαπιστευτηρίων δεν μπορούν να έχουν πρόσβαση σε έναν λογαριασμό, ακόμη και αν τα κλεμμένα στοιχεία σύνδεσης είναι σωστά. Ωστόσο, η πρόκληση που αντιμετωπίζει η εφαρμογή MFA σε ολόκληρη τη βάση χρηστών είναι σημαντική, λόγω των εκτεταμένων αντιρρήσεων σχετικά με την εμπειρία χρήστη.

Χρησιμοποιήστε το CAPTCHA

Το CAPTCHA αναγκάζει τους χρήστες να αποδείξουν ότι είναι άνθρωποι. Αυτό μπορεί να βοηθήσει στη μείωση ορισμένων από τα ρομπότ που εκτελούν επιτυχώς επιθέσεις, αν και αξίζει να έχουμε κατά νου ότι οι εισβολείς έχουν δύο τρόπους να το αντιμετωπίσουν: ο πρώτος είναι τα προγράμματα περιήγησης χωρίς κεφάλι (βλ. παρακάτω). άλλοι εισβολείς απλώς στράφηκαν στη χρήση ανθρώπων για να ολοκληρώσουν το στάδιο CAPTCHA μιας σύνδεσης. Στο ίδιο πνεύμα με το MFA, το CAPTCHA συνδυάζεται καλύτερα με ένα οπλοστάσιο άλλων προσεγγίσεων.

Αποκλεισμός Headless Browsers

Τα προγράμματα περιήγησης χωρίς κεφαλή προσφέρουν αυτοματοποίηση υψηλού επιπέδου των δραστηριοτήτων ιστού – συμπεριλαμβανομένης της ολοκλήρωσης CAPTCHA. Ωστόσο, λειτουργούν σε μεγάλο βαθμό μέσω κλήσεων JavaScript, γεγονός που καθιστά σχετικά εύκολο τον εντοπισμό τους. Αποκλείοντας την πρόσβαση σε όλα τα προγράμματα περιήγησης χωρίς κεφαλή, οι τεχνικές CAPTCHA έχουν περισσότερο προληπτικό έλεγχο στις προσπάθειες γεμίσματος διαπιστευτηρίων.

Μαύρη λίστα ύποπτων IP

Οι αρχάριοι εισβολείς έχουν συνήθως μια μικρότερη ομάδα κακόβουλων διευθύνσεων για να αντλήσουν. Αυτό είναι το σημείο όπου μπορεί να αποκλειστεί η διεύθυνση IP σε ακόμα ξενοδοχεία, καθώς κάθε IP που επιχειρεί να συνδεθεί σε πολλούς λογαριασμούς μπορεί γρήγορα να απαγορευτεί.

Προσδιορισμός και περιορισμός της κυκλοφορίας εκτός κατοικίας

Ο εντοπισμός επισκεψιμότητας που προέρχεται από το AWS ή άλλα εμπορικά κέντρα δεδομένων είναι εύκολος: χρησιμοποιήστε το προς όφελός σας εφαρμόζοντας αυστηρά όρια ρυθμών σε αυτόν τον τύπο επισκεψιμότητας, καθώς είναι σχεδόν βέβαιο ότι σχετίζεται με bot. Αντιμετωπίστε όλη την κίνηση του κέντρου δεδομένων με εξαιρετική προσοχή, φροντίζοντας να αποκλείσετε τυχόν ύποπτους χρήστες.

Προστατέψτε τα διαπιστευτήρια των εργαζομένων με το LayerX

Το LayerX προσφέρει πλήρως ολοκληρωμένη προστασία από το γέμισμα διαπιστευτηρίων παρακολουθώντας όλες τις συμπεριφορές ελέγχου ταυτότητας και εξουσιοδότησης. Αυτή η ορατότητα επιτυγχάνεται χάρη στην εφαρμογή του ως επέκταση προγράμματος περιήγησης, που επιτρέπει την πλήρη παρακολούθηση και ανάλυση των προσπαθειών σύνδεσης των χρηστών και των αιτημάτων πρόσβασης σε πόρους σε οποιαδήποτε συσκευή.

Συνδυάζοντας μια επιτόπια προβολή της δραστηριότητας σύνδεσης με μια κορυφαία μηχανή ανάλυσης στην αγορά, οι περίοδοι σύνδεσης ιστού και SaaS των bot πλήρωσης διαπιστευτηρίων γίνονται καθαρά ορατές. Επισημαίνεται αυτόματα ως υψηλού κινδύνου, στη συνέχεια καθίσταται δυνατό για το LayerX να εφαρμόσει ένα δεύτερο επίπεδο επαλήθευσης ευαίσθητο στο περιβάλλον. Ενώ το MFA ήταν ιστορικά δύσκολο να εφαρμοστεί σε όλους τους χρήστες, το LayerX παρέχει περαιτέρω αυτόν τον πρόσθετο παράγοντα ελέγχου ταυτότητας, εξαλείφοντας την απογοήτευση του UX που προκαλείται από το MFA και το CAPTCHA. Με αυτόν τον τρόπο, οι πολιτικές πρόσβασης μπορούν να καθορίσουν τη νομιμότητα ενός τελικού χρήστη χωρίς να βασίζονται τυφλά σε κλεμμένα διαπιστευτήρια.

Με το LayerX, οι οργανισμοί είναι σε θέση να εντοπίζουν, να αποτρέπουν και να προστατεύουν προληπτικά από τη χρήση κακόβουλου κωδικού πρόσβασης.

Ασφάλεια Χρήσης Τεχνητής Νοημοσύνης

Ασφάλεια προγράμματος περιήγησης για επιχειρήσεις

Έκθεση ασφάλειας LayerX Enterprise GenAI 2025

Σχετικά με εμάς