Credential stuffing: Μαζικές επιθέσεις με κλεμμένους κωδικούς

«Όταν ένα site παραβιάζεται, οι κυβερνοεγκληματίες δεν σταματούν εκεί», εξηγεί ο Κρίστιαν Άλι Μπράβο από την ομάδα της παγκόσμιας εταιρίας ψηφιακής ασφάλειας ESET. «Παίρνουν οι κλέφτες credentials και τα δοκιμάζουν αυτόματα σε χιλιάδες άλλα site. Αυτό είναι το credential stuffing».

Η επίθεση αυτή είναι ιδιαίτερα επικίνδυνη, επειδή δεν απαιτεί από τους επιτιθέμενους να «σπάσουν» κάθε κωδικό ξεχωριστά. Αντίθετα, οι κυβερνοεγκληματίες κλέβουν λίστες με ονόματα χρηστών και κωδικούς από ένα site που έχει παραβιαστεί και τις δοκιμάζουν αυτόματα σε πολλά άλλα – email, social media, τράπεζες και e-shops. Αν ο κωδικός δουλέψει έστω και σε μία περίπτωση, έχουν αποκτήσει πρόσβαση σε έναν πραγματικό λογαριασμό.

Η απειλή του credential stuffing

Για τον απλό πολίτη αυτό μεταφράζεται σε μια απλή αλλά σοβαρή πραγματικότητα: ο λογαριασμός του μπορεί να παραβιαστεί χωρίς να κάνει κανένα λάθος εκείνη τη στιγμή. Αρκεί να έχει χρησιμοποιήσει τον ίδιο κωδικό σε κάποιο άλλο site που είχε διαρρεύσει, ακόμη κι αν το site που χρησιμοποιεί τώρα είναι απόλυτα ασφαλές.

Στην πράξη, το credential stuffing είναι το ψηφιακό αντίστοιχο του να βρει κάποιος ένα κλειδί που ανοίγει ταυτόχρονα το σπίτι, το γραφείο και το χρηματοκιβώτιό σας. Και η απόκτηση αυτού του «κλειδιού» δεν είναι καθόλου δύσκολη, τονίζει ο Άλι Μπράβο  από την ESET.

Οι κυβερνοεγκληματίες μπορούν να το αποκτήσουν από προηγούμενες παραβιάσεις δεδομένων ή ακόμη και να το αγοράσουν στο οικοσύστημα του κυβερνοεγκλήματος. Συχνά χρησιμοποιούν και κακόβουλο λογισμικό τύπου infostealer, που αντλεί διαπιστευτήρια απευθείας από παραβιασμένες συσκευές και προγράμματα περιήγησης.

Τι κάνει, λοιπόν, το credential stuffing τόσο επικίνδυνο και αποτελεσματικό;

Η απειλή αυτή αποφέρει σημαντικά κέρδη στους κυβερνοεγκληματίες, Για να αποτυπώσει το μέγεθος του προβλήματος, η NordPass δημοσίευσε πρόσφατα έρευνα σύμφωνα με την οποία το 62% των Αμερικανών παραδέχεται ότι επαναχρησιμοποιεί τον ίδιο κωδικό πρόσβασης «συχνά» ή «πάντα».

Η έκταση στην οποία μπορούν να πραγματοποιηθούν επιθέσεις credential stuffing αποτυπώνεται χαρακτηριστικά στα παρακάτω παραδείγματα:

• PayPal (2022): Η εταιρεία ανέφερε ότι σχεδόν 35.000 λογαριασμοί πελατών παραβιάστηκαν μέσω credential stuffing. Η ίδια η fintech εταιρεία δεν υπέστη παραβίαση· οι επιτιθέμενοι αξιοποίησαν διαπιστευτήρια σύνδεσης από παλαιότερες διαρροές δεδομένων, αποκτώντας πρόσβαση σε λογαριασμούς χρηστών που είχαν χρησιμοποιήσει τους ίδιους κωδικούς πρόσβασης σε πολλαπλές υπηρεσίες.
• Snowflake (2024): Το κύμα επιθέσεων κατά πελατών της Snowflake ανέδειξε μια διαφορετική διάσταση του προβλήματος. Η ίδια η πλατφόρμα αποθήκευσης και επεξεργασίας δεδομένων δεν παραβιάστηκε, ωστόσο το περιστατικό επηρέασε περίπου 165 εταιρείες-πελάτες. Οι επιτιθέμενοι χρησιμοποίησαν διαπιστευτήρια που είχαν κλαπεί προηγουμένως μέσω κακόβουλου λογισμικού infostealer για να αποκτήσουν πρόσβαση σε πολλαπλούς εταιρικούς λογαριασμούς Snowflake, με ορισμένα θύματα να λαμβάνουν αργότερα και απαιτήσεις καταβολής λύτρων.

Πώς να προστατευτείτε

Ακολουθούν μερικά πρακτικά βήματα που μπορείτε να ακολουθήσετε για να παραμείνετε ασφαλείς. Το πρώτο βήμα είναι ιδιαίτερα απλό:

• Μη χρησιμοποιείτε ΠΟΤΕ τον ίδιο κωδικό πρόσβασης σε πολλές ιστοσελίδες ή υπηρεσίες. Ένας διαχειριστής κωδικών πρόσβασης καθιστά αυτό το βήμα πολύ εύκολο, καθώς μπορεί να δημιουργήσει και να αποθηκεύσει ισχυρούς, μοναδικούς κωδικούς πρόσβασης για κάθε λογαριασμό.
• Ενεργοποιήστε την επαλήθευση δύο παραγόντων (2FA) όποτε είναι διαθέσιμη. Ακόμα και αν οι εισβολείς γνωρίζουν τον κωδικό πρόσβασής, δεν θα μπορούν να συνδεθούν χωρίς τον δεύτερο παράγοντα.
• Μείνετε σε εγρήγορση και χρησιμοποιήστε υπηρεσίες όπως το haveibeenpwned.com για να ελέγξετε αν το email ή τα διαπιστευτήριά σας έχουν εκτεθεί σε προηγούμενες διαρροές ή παραβιάσεις. Αν έχει συμβεί κάτι τέτοιο, αλλάξτε αμέσως τους κωδικούς πρόσβασής, ειδικά για λογαριασμούς που αποθηκεύουν ευαίσθητα δεδομένα.

Πώς να προστατεύσετε την εταιρεία σας

Σήμερα, η παραβίαση διαπιστευτηρίων αποτελεί έναν από τους βασικούς παράγοντες που οδηγούν σε κατάληψη λογαριασμών, απάτη και κλοπή δεδομένων μεγάλης κλίμακας σε πολλούς κλάδους, όπως το λιανικό εμπόριο, ο χρηματοοικονομικός τομέας, το SaaS (Software as a Service) ή «Λογισμικό ως Υπηρεσία», και η υγειονομική περίθαλψη. Παρ’ όλα αυτά, πολλές εταιρείες εξακολουθούν να βασίζονται αποκλειστικά σε κωδικούς πρόσβασης για την αυθεντικοποίηση. Ακόμη και όταν είναι διαθέσιμη η ταυτοποίηση δύο παραγόντων (2FA), συχνά δεν εφαρμόζεται από προεπιλογή.

Οι οργανισμοί οφείλουν να υιοθετούν πρόσθετα μέτρα προστασίας, όπως ο περιορισμός των προσπαθειών σύνδεσης, η χρήση λιστών επιτρεπόμενων δικτύων ή λευκών λιστών IP, η παρακολούθηση ασυνήθιστων δραστηριοτήτων σύνδεσης, καθώς και η εφαρμογή συστημάτων ανίχνευσης bot ή CAPTCHA για την αποτροπή αυτοματοποιημένης κατάχρησης.

Αξίζει να σημειωθεί ότι ολοένα και περισσότερες εταιρείες στρέφονται προς την αυθεντικοποίηση χωρίς κωδικό πρόσβασης, όπως τα passkeys, τα οποία καθιστούν το credential stuffing ουσιαστικά αναποτελεσματικό. Ωστόσο, η υιοθέτηση αυτών των μεθόδων παραμένει άνιση και οι παγιωμένες πρακτικές είναι δύσκολο να αλλάξουν. Ως αποτέλεσμα, δεν προκαλεί έκπληξη το γεγονός ότι το credential stuffing εξακολουθεί να προσφέρει υψηλή απόδοση στους επιτιθέμενους με ελάχιστη προσπάθεια.

Την ίδια στιγμή, εκατομμύρια διαρρεύσαντα διαπιστευτήρια παραμένουν ενεργά για μεγάλο χρονικό διάστημα μετά από μια παραβίαση, ιδιαίτερα όταν οι χρήστες δεν αλλάζουν ποτέ τους κωδικούς πρόσβασής τους. Υπό αυτές τις συνθήκες, το credential stuffing παραμένει μια χαμηλού κόστους, εξαιρετικά επεκτάσιμη και σταθερά αποτελεσματική μέθοδος για τους κυβερνοεγκληματίες.

Το credential stuffing είναι μια απλή, χαμηλού κόστους και επεκτάσιμη τεχνική επίθεσης. Λειτουργεί επειδή χρησιμοποιεί τις δικές μας συνήθειες εναντίον μας και υπονομεύει τα ξεπερασμένα μέτρα ασφαλείας. Έως ότου καταργηθούν εντελώς οι κωδικοί πρόσβασης, ο κίνδυνος παραβίασης λογαριασμών μπορεί να εξουδετερωθεί μέσω προσεκτικών πρακτικών διαχείρισης κωδικών πρόσβασης.

ΠΗΓΗ: in.gr