Co to jest upychanie poświadczeń?

DLP

Spis treści

Jak działają ataki polegające na upychaniu poświadczeń?
Co powoduje ataki polegające na upychaniu poświadczeń?
Wyzwania stojące przed wykrywaniem upychania poświadczeń
Jak zapobiegać upychaniu poświadczeń?
Chroń dane uwierzytelniające pracowników za pomocą LayerX

Dane logowania są dziś bramą do każdej usługi online, ponieważ pomagają zidentyfikować osobę znajdującą się za ekranem, chroniąc Twoje poufne informacje przed osobami mającymi złe zamiary. Pomimo niezliczonej liczby dostępnych obecnie środków zapobiegawczych, fałszowanie danych uwierzytelniających pozostaje jednym z najlepszych narzędzi w arsenale cyberprzestępcy. Dzięki temu atakujący mogą włamać się na konta internetowe i wyrwać się z cennych danych osobowych.

Ponieważ na czarnym rynku można kupić ponad 15 miliardów danych uwierzytelniających, napastnicy zawsze chcą uzyskać szybki zysk, wykorzystując ujawnione dane uwierzytelniające przeciwko ofiarom. Obecnie niekoniecznie muszą płacić za wykorzystanie skradzionych danych uwierzytelniających – lista RockYou21 to publicznie dostępna lista haseł, składająca się z ponad 8 miliardów wpisów. Dzięki tej bezpłatnej bazie danych hakerzy otrzymują niezwykłą ilość amunicji przeciwko niczego niepodejrzewającym użytkownikom Internetu. W przypadku takich baz danych znalezienie prawidłowej kombinacji loginu i przejęcie kontroli przez automatyczne narzędzia do rozpylania haseł może zająć niewiele czasu.

Jak działają ataki polegające na upychaniu poświadczeń?

Podstawową słabością leżącą u podstaw popularności upychania poświadczeń jest częstotliwość ponownego użycia hasła. Choć kuszące jest zrzucanie całej winy na użytkownika końcowego, warto pamiętać o ogromnej liczbie kont online, które każdy użytkownik końcowy musi śledzić.

Niedawne badanie wykazało, że przeciętny człowiek ma obecnie zaledwie 100 kont online – liczba ta drastycznie wzrosła w czasie pandemii, gdy hordy nowych użytkowników odkryły nowe formy rozrywki online. Biorąc pod uwagę kontekst konieczności przełączania tak wielu kont, użytkownicy są zasadniczo zmuszeni do wyboru dwóch opcji: pierwsza polega na skorzystaniu z rozbudowanego i bezpiecznego menedżera haseł; lub po prostu ponownie używać haseł na różnych kontach. Chociaż te pierwsze są obiecujące, menedżery haseł są wciąż stosunkowo nowe i dalekie od powszechnego przyjęcia. Stanowią także jeszcze większe cele dla atakujących, czego przykładem jest: niedawne naruszenie LastPass w wyniku których skradziono dane zarówno przedsiębiorstw, jak i klientów.

Wiedząc, że tak wielu użytkowników używa tego samego hasła na wielu kontach online, napastnicy często wykorzystują wcześniej naruszone dane uwierzytelniające, aby uzyskać wysokie zyski. Upychanie poświadczeń to proces podłączania ujawnionych poświadczeń do zautomatyzowanego programu, który następnie automatycznie działa na wszystkich powiązanych kontach internetowych i podejmuje próbę włamania.

Większość ataków ma ten sam format: najpierw osoba atakująca znajdzie lub kupi pamięć podręczną nazw użytkowników i haseł – często ujawnianą w wyniku niedawnego naruszenia bezpieczeństwa danych. Osoba atakująca poświęci następnie niewielką ilość czasu na sprawdzenie, czy te kombinacje działają w kilku witrynach internetowych. Po zweryfikowaniu atak na dużą skalę rozpoczyna się na dobre. Wszystkie skradzione dane są wykorzystywane, powodując zalew prób logowania do określonego serwera. Jeśli tylko jeden działa, atakujący ma dostęp. Po włamaniu osoba atakująca ręcznie zacznie usuwać z konta wszystko, co wartościowe, na przykład numery kart kredytowych, powiązane konta e-mail i numery ubezpieczenia społecznego. Wreszcie, przed zrzeczeniem się kontroli nad kontem, osoba atakująca może zatrzymać je dla okupu.

Co powoduje ataki polegające na upychaniu poświadczeń?

Ataki polegające na upychaniu poświadczeń są po prostu wynikiem wielu szerszych przeoczeń na powierzchni ataku organizacji. Zautomatyzowane boty logujące rozwijają się dzięki stałemu wprowadzaniu wyciekających, skradzionych i złamanych danych uwierzytelniających, z których każde pochodzi z indywidualnych źródeł.

Naruszenie danych

Naruszenia danych, które nigdy nie były tak powszechne, są spowodowane niezliczoną liczbą słabych praktyk bezpieczeństwa, zagrożeniami wewnętrznymi i atakami ukierunkowanymi na dużą skalę. Podczas gdy firmy starają się zaradzić skutkom skutków w systemach PR i technicznych, dane ujawnione podczas naruszenia są szybko wprowadzane na silny rynek fałszowania danych uwierzytelniających. Odpowiednie dane uwierzytelniające są wykorzystywane do dalszych naruszeń danych, gdy atakujący infiltrują szerszy zakres sieci firmowych. W ten sposób wydobywane są bardziej wrażliwe dane, co prowadzi do wykładniczo rosnącej liczby ataków.

Ponownie użyte hasła

Dzięki dzisiejszej łączności internetowej powszechność ponownego użycia haseł jest powszechna: 80% naruszeń danych w firmach jest bezpośrednio spowodowanych złamaniem haseł; ta sama liczba opisuje odsetek incydentów włamań spowodowanych ponownym użyciem hasła. Oprócz tego siła różnych haseł może zależeć od niepokojąco dostępnych informacji: aż jedna trzecia pracowników w USA jako podstawę swoich haseł wykorzystuje urodziny swoich dzieci lub bliskich. Łącznie potencjalna powierzchnia ataku oferowana przez takie replikowalne i odgadnięte hasła znacznie zwiększa promień wybuchu ataków polegających na upychaniu poświadczeń.

Ataki typu phishing

Ataki phishingowe polegają na tym, że napastnicy oszukują ofiary poprzez podszywanie się pod inne osoby. Tworząc fałszywe e-maile – rzekomo od banków, dostawców oprogramowania, a nawet współpracowników – ofiary są namawiane do ujawnienia swoich danych logowania. Kiedy te dane uwierzytelniające zostaną wpisane na fałszywej stronie logowania, zostaną dodane do stale rozwijającej się bazy danych osoby atakującej. E-maile nie są jedyną formą przesyłania wiadomości wykorzystywaną przez osoby atakujące w ramach phishingu: rozmowy telefoniczne, wiadomości SMS i media społecznościowe oferują potencjalne możliwości ataku.

Wyciekły dane uwierzytelniające

Poświadczenia nie zawsze są traktowane z szacunkiem, na jaki zasługują – szybkie cykle programowania często prowadzą do przeoczeń, które stają się zbyt podatne na wykorzystanie przez złośliwe podmioty. Ten problem występuje również poza Devops: pracownicy czasami przypadkowo ujawniają dane uwierzytelniające, dzieląc się nimi z innymi lub przechowując je w postaci zwykłego tekstu. W przypadku wystąpienia wycieku danych uwierzytelniających są one szybko dodawane do baz danych zebranych danych uwierzytelniających dostępnych na rynkach w ciemnej sieci.

Zautomatyzowane narzędzia

Ostatni element układanki wypełniania poświadczeń jest wykonywany przez zautomatyzowane narzędzia. Sprawdzenie ważności miliardów haseł byłoby niemożliwe w przypadku procesów ręcznych. Zamiast tego napastnicy zwiększają skuteczność i zwrot z inwestycji w ataki, korzystając z botów. Testują one co minutę miliony kombinacji haseł i nazw użytkowników, rozpowszechniając i wzmacniając aktywne ataki.

Wyzwania stojące przed wykrywaniem upychania poświadczeń

Przewagą osób podających dane uwierzytelniające jest ich zdolność do wtapiania się w legalnych użytkowników. Tradycyjne podejście do zapory aplikacji internetowych (WAF) i czarnej listy całkowicie zawodzi, ponieważ ataki te nie opierają się na możliwych do zidentyfikowania exploitach ani na żadnych jawnie złośliwych działaniach. Technicznie rzecz biorąc, osoba atakująca wykorzystuje funkcję logowania do aplikacji zgodnie z jej przeznaczeniem – czyniąc WAF bezużytecznym.

Podejście do ochrony skoncentrowane na atakującym poprzez identyfikację złośliwych adresów IP może zapewnić pewną ochronę, ale sama skala rozproszonych botnetów pozwala nie tylko na szybszą pracę, ale także na wysoce rozproszony atak, który obejmuje potencjalnie tysiące różnych adresów IP. To znacznie ogranicza wszelkie proaktywne wykrywanie upychania poświadczeń.

W przeciwieństwie do wzorców zachowań obserwowanych w przypadku ataków siłowych, w których boty stale sprawdzają wcześniejsze domysły, boty fałszujące dane uwierzytelniające po prostu próbują uzyskać dostęp za pośrednictwem skradzionej pary, zanim przejdą dalej. Dzięki temu są bardzo mobilne – wystarczająco zwinne, aby ominąć programy oceniające częstotliwość niepowodzeń logowania.

Jak zapobiegać upychaniu poświadczeń?

Pomimo wyzwań stojących przed zespołami ds. bezpieczeństwa istnieje kilka raczkujących sposobów udaremniania prób fałszowania poświadczeń.

Uwierzytelnij się za pomocą Multi-Factor

Usługa MFA dodaje dodatkową warstwę uwierzytelniania do próby logowania, zmuszając użytkownika do uwierzytelnienia za pomocą czegoś, co posiada – a także czegoś, co wie. W przypadku fizycznej metody uwierzytelniania, takiej jak telefon lub token dostępu, boty uwierzytelniające nie mogą uzyskać dostępu do konta, nawet jeśli skradzione dane logowania są prawidłowe. Wyzwanie stojące przed wdrożeniem usługi MFA w całej bazie użytkowników jest jednak znaczne ze względu na powszechne zastrzeżenia użytkowników.

Użyj CAPTCHA

CAPTCHA zmusza użytkowników do udowodnienia, że są ludźmi. Może to pomóc w ograniczeniu liczby botów skutecznie przeprowadzających ataki, choć warto pamiętać, że napastnicy mają dwa sposoby na obejście tego problemu: pierwszy to przeglądarki bezgłowe (patrz poniżej); inni napastnicy po prostu zaczęli zatrudniać ludzi do ukończenia etapu logowania CAPTCHA. Podobnie jak MFA, CAPTCHA najlepiej łączyć z arsenałem innych podejść.

Blokuj bezgłowe przeglądarki

Przeglądarki bezgłowe oferują wysoki poziom automatyzacji działań w sieci – w tym uzupełnianie CAPTCHA. Działają jednak głównie poprzez wywołania JavaScript, dzięki czemu są stosunkowo łatwe do wykrycia. Blokując dostęp do wszystkich przeglądarek bezgłowych, techniki CAPTCHA zapewniają większą kontrolę zapobiegawczą nad próbami upchania poświadczeń.

Czarna lista podejrzanych adresów IP

Początkujący atakujący zazwyczaj mają do dyspozycji mniejszą pulę złośliwych adresów. W tym miejscu blokowanie adresów IP nadal ma potencjał w hotelach, ponieważ każdy adres IP próbujący zalogować się na wiele kont może zostać szybko zablokowany.

Identyfikuj i ograniczaj ruch poza budynkami mieszkalnymi

Wykrywanie ruchu pochodzącego z AWS lub innych komercyjnych centrów danych jest łatwe: wykorzystaj to na swoją korzyść, stosując rygorystyczne limity szybkości dla tego typu ruchu, ponieważ prawie na pewno jest on związany z botami. Traktuj cały ruch w centrum danych ze szczególną ostrożnością, blokując podejrzanych użytkowników.

Chroń dane uwierzytelniające pracowników za pomocą LayerX

LayerX oferuje w pełni kompleksową ochronę przed upychaniem poświadczeń poprzez monitorowanie wszystkich zachowań związanych z uwierzytelnianiem i autoryzacją. Widoczność tę osiąga się dzięki jego implementacji jako rozszerzenia przeglądarki, umożliwiającego pełne monitorowanie i analizę prób logowania użytkowników oraz żądań dostępu do zasobów na dowolnym urządzeniu.

Łącząc lokalny widok aktywności logowania z wiodącym na rynku silnikiem analitycznym, sesje internetowe i SaaS botów wypełniających dane uwierzytelniające stają się wyraźnie widoczne. Warstwa X automatycznie oznaczona jako obarczona wysokim ryzykiem może wdrożyć kontekstową drugą warstwę weryfikacji. Chociaż w przeszłości wdrożenie MFA u wszystkich użytkowników było trudne, LayerX dodatkowo zapewnia ten dodatkowy czynnik uwierzytelniania, eliminując frustrację związaną z UX powodowaną przez MFA i CAPTCHA. W ten sposób zasady dostępu mogą określić legalność użytkownika końcowego bez ślepego polegania na skradzionych danych uwierzytelniających.

Dzięki LayerX organizacje mogą wykrywać, zapobiegać i aktywnie chronić się przed złośliwym użyciem haseł.

Bezpieczeństwo użytkowania AI

Bezpieczeństwo przeglądarki korporacyjnej

Raport bezpieczeństwa LayerX Enterprise GenAI 2025

Partnerzy

O nas