Ano ang Credential Stuffing?

DLP

Talaan ng nilalaman

Paano Gumagana ang Mga Pag-atake ng Credential Stuffing?
Ano ang Nagiging sanhi ng Pag-atake ng Credential Stuffing?
Ang Mga Hamon na Kinakaharap sa Pagtukoy ng Credential Stuffing
Paano Pigilan ang Credential Stuffing?
Protektahan ang Mga Kredensyal ng Empleyado Gamit ang LayerX

Ang mga kredensyal sa pag-login ay ang gateway sa bawat online na serbisyo ngayon habang nakakatulong ang mga ito na makilala ang taong nasa likod ng screen, na pinoprotektahan ang iyong sensitibong impormasyon mula sa sinumang may malisyosong layunin. Sa kabila ng napakaraming mga hakbang sa pag-iwas na posible ngayon, ang pagpupuno ng kredensyal ay nananatiling isa sa mga pinakamahusay na tool sa arsenal ng cyberattacker. Sa pamamagitan nito, ang mga umaatake ay nakakapasok sa mga online na account at nakakagawa gamit ang mahalagang personal na data.

Sa mahigit 15 bilyong kredensyal na magagamit para mabili sa itim na merkado, ang mga umaatake ay palaging naghahanap ng mabilis na kita sa pamamagitan ng paggamit ng mga na-leak na kredensyal laban sa mga biktima. Ngayon, hindi na nila kailangang magbayad para magamit ang mga nakaw na kredensyal na ito – ang listahan ng RockYou21 ay isang listahan ng mga password na naa-access ng publiko, na nagtitipon mahigit 8 bilyong entry. Gamit ang libreng database na ito, ang mga hacker ay binibigyan ng pambihirang dami ng mga bala laban sa mga hindi pinaghihinalaang online na gumagamit. Sa mga database tulad ng mga ito, maaaring tumagal lamang ng isang maliit na oras para sa mga awtomatikong tool sa pag-spray ng password upang mahanap ang tamang kumbinasyon ng pag-login at pumalit.

Paano Gumagana ang Mga Pag-atake ng Credential Stuffing?

Ang pangunahing kahinaan sa gitna ng kasikatan ng pagpupuno ng kredensyal ay ang dalas ng muling paggamit ng password. Bagama't nakakaakit na sisihin ang lahat ng ito sa end-user, sulit na isaisip ang napakaraming online na account na kailangang subaybayan ng bawat end-user.

Nalaman ng isang kamakailang pag-aaral na ang karaniwang tao ay nahihiya na ngayon sa 100 online na mga account - tumaas ito nang husto sa buong pandemya, habang ang mga sangkawan ng mga bagong user ay nakatuklas ng mga bagong anyo ng online entertainment. Dahil sa konteksto ng pagkakaroon ng pag-juggle ng napakaraming account, ang mga user ay mahalagang napipilitan sa dalawang opsyon: ang una ay gumamit ng malawak at secure na tagapamahala ng password; o para lang muling gamitin ang mga password sa mga account. Habang ang una ay nangangako, ang mga tagapamahala ng password ay medyo bago pa rin at malayo sa malawakang pag-aampon. Kinakatawan din nila ang mas malalaking target para sa mga umaatake, na inihalimbawa sa ang kamakailang paglabag sa LastPass na nakitang ninakaw ang data ng enterprise at customer.

Dahil alam na napakaraming user ang umaasa sa parehong password sa maraming online na account, madalas na ginagamit ng mga attacker ang mga dati nang nilabag na kredensyal upang umani ng mataas na kita. Ang pagpupuno ng kredensyal ay ang proseso ng pagsaksak sa mga na-leak na kredensyal na ito sa isang automated na programa, na pagkatapos ay awtomatikong gagana sa anumang nauugnay na mga online na account upang subukang makapasok.

Karamihan sa mga pag-atake ay sumusunod sa parehong format: Una, ang umaatake ay makakahanap o bibili ng cache ng mga username at password – kadalasang nakalantad sa isang kamakailang paglabag sa data. Ang umaatake ay gugugol ng kaunting oras sa pagsubok kung gumagana ang mga kumbinasyong ito sa ilang website. Kapag na-verify na, ang malakihang pag-atake ay magsisimula nang seryoso. Ang lahat ng ninakaw na data ay ginagamit, na naglalabas ng maraming mga pagtatangka sa pag-login laban sa isang partikular na server. Kung isa lang ang gumagana, may access ang umaatake. Kapag nasira, manu-manong sisimulan ng umaatake ang pagtanggal ng anumang halaga mula sa account – tulad ng mga numero ng credit card, nauugnay na mga email account at mga numero ng social security. Sa wakas, bago isuko ang kontrol sa account, maaaring i-hold ito ng attacker para matubos.

Ano ang Nagiging sanhi ng Pag-atake ng Credential Stuffing?

Ang mga pag-atake sa pagpupuno ng kredensyal ay resulta lamang ng maraming mas malawak na mga oversight sa buong atake ng isang organisasyon. Ang mga naka-automate na bot sa pag-log in ay umuunlad sa isang tuluy-tuloy na input ng mga leaked, nanakaw, at basag na mga kredensyal, na ang bawat isa ay nagmumula sa mga indibidwal na pinagmulan.

Mga Breaches ng Data

Ang mga paglabag sa data, na hindi kailanman naging mas karaniwan, ay sanhi ng napakaraming mahihinang kasanayan sa seguridad, mga banta ng tagaloob, at malalaking pag-atake na naka-target. Habang ang mga kumpanya ay nag-aagawan upang pamahalaan ang pagbagsak sa PR at teknikal na mga sistema, ang data na inilabas sa panahon ng isang paglabag ay mabilis na ipinapasok sa malakas na merkado ng paglalagay ng kredensyal. Ang mga nauugnay na kredensyal ay nire-recycle sa karagdagang mga paglabag sa data, habang ang mga umaatake ay pumapasok sa mas malawak na hanay ng mga network ng kumpanya. Mula dito, na-exfiltrate ang mas sensitibong data, na humahantong sa mga pag-atake na dumarami nang malaki.

Muling Ginamit na Mga Password

Dahil sa online na koneksyon ngayon, laganap ang paglaganap ng muling paggamit ng password: 80% ng mga paglabag sa data ng kumpanya ay direktang sanhi ng mga nalabag na password; inilalarawan ng parehong numero ang porsyento ng mga insidente ng pag-hack na dulot ng muling paggamit ng password. Kasabay nito, ang lakas ng iba't ibang mga password ay maaaring nakasalalay sa nakakaalarmang naa-access na impormasyon: hanggang sa ikatlong bahagi ng mga empleyado ng US ay gumagamit ng mga kaarawan ng kanilang mga anak o mahal sa buhay bilang batayan para sa kanilang mga password. Magkasama, ang potensyal na pag-atake sa ibabaw na inaalok ng mga tulad na maaaring kopyahin at mahulaan na mga password ay lubos na nagpapataas sa blast radius ng mga pag-atake sa pagpupuno ng kredensyal.

Pag-atake ng Phishing

Ang mga pag-atake ng phishing ay nakikita ng mga umaatake na nanlinlang ng mga biktima sa pamamagitan ng pagpapanggap. Sa pamamagitan ng pagbuo ng mga pekeng email – sinasabing mula sa mga bangko, software provider, o kahit na mga kasamahan – ang mga biktima ay nahikayat na ihayag ang kanilang mga detalye sa pag-login. Kapag ang mga kredensyal na ito ay nai-type sa isang mapanlinlang na pahina sa pag-log in, idaragdag ang mga ito sa patuloy na lumalawak na database ng umaatake. Ang mga email ay hindi lamang ang paraan ng pagmemensahe na ginagamit ng mga umaatake sa phishing: lahat ng mga tawag sa telepono, SMS message at social media ay nag-aalok ng mga potensyal na paraan ng pag-atake.

Mga Leak na Kredensyal

Ang mga kredensyal ay hindi palaging tinatrato nang may paggalang na nararapat sa kanila – ang mabilis na mga siklo ng pag-unlad ay kadalasang humahantong sa mga oversight na nagiging lubos na mapagsamantalahan ng mga malisyosong aktor. Ang isyung ito ay nagpapatuloy din sa labas ng Devops: ang mga empleyado kung minsan ay hindi sinasadyang tumagas ng mga kredensyal sa pamamagitan ng pagbabahagi ng mga ito sa iba, o pag-iimbak ng mga ito sa plaintext. Kapag naganap ang mga pagkakataon ng mga na-leak na kredensyal, mabilis silang idinaragdag sa mga database ng mga pinagsama-samang kredensyal na available sa mga dark web marketplace.

Mga Automated na Tool

Ang huling piraso ng credential stuffing puzzle ay kinuha ng mga automated na tool. Ang pagsuri sa bisa ng bilyun-bilyong password ay magiging imposible para sa mga manu-manong proseso. Sa halip, pinapalakas ng mga umaatake ang pagiging epektibo at ROI ng mga pag-atake sa pamamagitan ng paggamit ng mga bot. Sinusubukan ng mga ito ang milyun-milyong kumbinasyon ng password at username bawat minuto, na namamahagi at nagpapalakas ng mga aktibong pag-atake.

Ang Mga Hamon na Kinakaharap sa Pagtukoy ng Credential Stuffing

Ang mas mataas na kamay na tinatamasa ng mga tagapuno ng kredensyal ay ang kanilang kakayahang makihalubilo sa mga lehitimong user. Ang mga tradisyunal na Web Application Firewall (WAF) at mga diskarte sa blacklist ay ganap na nabigo, dahil ang mga pag-atake na ito ay hindi umaasa sa mga makikilalang pagsasamantala – o anumang tahasang malisyosong pagkilos. Sa teknikal na paraan, ginagamit ng umaatake ang pag-andar sa pag-log in ng app para sa layunin nito – ginagawang walang silbi ang WAF.

Ang pagsasagawa ng attacker-centric na diskarte sa proteksyon sa pamamagitan ng pagtukoy ng mga nakakahamak na IP address ay maaaring mag-alok ng ilang proteksyon, ngunit ang napakaraming sukat ng mga distributed na botnet ay nagbibigay-daan hindi lamang sa mas mabilis na trabaho – kundi pati na rin sa isang napakalawak na pag-atake na sumasaklaw sa potensyal na libu-libong iba't ibang mga IP address. Lubos nitong nililimitahan ang anumang proactive na pagtuklas ng pagpupuno ng kredensyal.

Hindi tulad ng mga pattern ng pag-uugali na nakikita sa mga malupit na pag-atake - kung saan ang mga bot ay patuloy na umuulit sa mga nakaraang hula - sinusubukan lang ng mga credential stuffing bot na mag-access sa pamamagitan ng ninakaw na pares, bago magpatuloy. Dahil dito, napaka-mobile nila – sapat na maliksi upang maiwasan ang mga program na tinatasa ang dalas ng pagkabigo sa pag-log in.

Paano Pigilan ang Credential Stuffing?

Sa kabila ng mga hamon na nagpapakita ng mga security team, may ilang mga bagong paraan na napigilan ang mga pagtatangka sa pagpupuno ng kredensyal.

I-authenticate gamit ang Multi-Factor

Nagdaragdag ang MFA ng karagdagang layer ng pagpapatotoo sa isang pagtatangka sa pag-login sa pamamagitan ng pagpapatotoo sa user gamit ang isang bagay na mayroon sila – pati na rin ang isang bagay na alam nila. Gamit ang pisikal na paraan ng pagpapatotoo gaya ng telepono o access token, hindi ma-access ng mga kredensyal na bot ang isang account kahit na tama ang mga ninakaw na detalye sa pag-log in. Ang hamon na kinakaharap sa pagpapatupad ng MFA sa buong user base ay malaki, gayunpaman, dahil sa malawakang pagtutol sa karanasan ng user.

Gumamit ng CAPTCHA

Pinipilit ng CAPTCHA ang mga user na patunayan na sila ay tao. Makakatulong ito na bawasan ang ilan sa mga bot na matagumpay na nagsasagawa ng mga pag-atake, bagama't nararapat na tandaan na ang mga umaatake ay may dalawang paraan sa pag-ikot nito: ang una ay mga walang ulo na browser (tingnan sa ibaba); ang ibang mga umaatake ay bumaling na lamang sa paggamit ng mga tao upang kumpletuhin ang yugto ng CAPTCHA ng isang pag-login. Sa parehong ugat ng MFA, ang CAPTCHA ay pinakamahusay na pinagsama sa isang arsenal ng iba pang mga diskarte.

I-block ang Mga Walang Ulo na Browser

Ang mga walang ulo na browser ay nag-aalok ng mataas na antas ng automation ng mga aktibidad sa web – kabilang ang pagkumpleto ng CAPTCHA. Gumaganap ang mga ito sa kalakhan sa pamamagitan ng mga tawag sa JavaScript, gayunpaman, ginagawa itong medyo madaling makita. Sa pamamagitan ng pagharang sa pag-access sa lahat ng walang ulo na browser, ang mga diskarte ng CAPTCHA ay binibigyan ng higit na pang-iwas na kontrol sa mga pagtatangka sa pagpupuno ng kredensyal.

I-blacklist ang mga kahina-hinalang IP

Ang mga newbie attacker ay karaniwang may mas maliit na pool ng mga nakakahamak na address na kukunin. Ito ay kung saan ang IP blocking ay potensyal pa rin sa mga hotel, dahil ang anumang IP na sumusubok na mag-log in sa maraming mga account ay maaaring mabilis na ma-ban.

Kilalanin at Limitahan ang Non-Residential Traffic

Madaling makita ang trapiko na nagmumula sa AWS o iba pang komersyal na data center: gamitin ito sa iyong kalamangan sa pamamagitan ng paglalapat ng mahigpit na mga limitasyon sa rate sa ganitong uri ng trapiko, dahil halos tiyak na nauugnay ito sa bot. Tratuhin ang lahat ng trapiko ng data center nang may matinding pag-iingat, siguraduhing harangan ang sinumang kahina-hinalang user.

Protektahan ang Mga Kredensyal ng Empleyado Gamit ang LayerX

Nag-aalok ang LayerX ng ganap na komprehensibong proteksyon laban sa pagpupuno ng kredensyal sa pamamagitan ng pagsubaybay sa lahat ng pag-uugali sa pagpapatotoo at awtorisasyon. Nakamit ang visibility na ito salamat sa pagpapatupad nito bilang extension ng browser, na nagbibigay-daan sa ganap na pagsubaybay at pagsusuri ng mga pagtatangka sa pag-login ng user at mga kahilingan sa pag-access sa mapagkukunan sa anumang device.

Sa pamamagitan ng pagsasama-sama ng on-the-ground view ng aktibidad sa pag-log in sa isang nangunguna sa merkado na makina ng pagsusuri, ang web at mga session ng SaaS ng mga credential stuffing bot ay nagiging malinaw na nakikita. Awtomatikong na-flag bilang mataas ang panganib, pagkatapos ay magiging posible para sa LayerX na magpatupad ng pangalawang layer ng pag-verify na sensitibo sa konteksto. Habang ang MFA ay dating isang pakikibaka upang ipatupad sa lahat ng mga user, ang LayerX ay higit pang nagbibigay ng karagdagang kadahilanan sa pagpapatotoo, na inaalis ang pagkabigo sa UX na dulot ng MFA at CAPTCHA. Sa ganitong paraan, matutukoy ng mga patakaran sa pag-access ang pagiging lehitimo ng isang end-user nang hindi bulag na umaasa sa mga ninakaw na kredensyal.

Sa LayerX, nagagawa ng mga organisasyon na makita, maiwasan, at aktibong nagpoprotekta laban sa malisyosong paggamit ng password.

Seguridad sa Paggamit ng AI

Seguridad ng Enterprise Browser

Ulat sa Seguridad ng LayerX Enterprise GenAI 2025

Kasosyo

Tungkol sa amin