Med så många webbplatser och applikationer som kräver unika användaruppgifter, det vill säga ett användarnamn och ett lösenord, kan det bli frestande att använda samma inloggningsuppgifter på alla dessa plattformar.
I själva verket, enligt 2022 års årliga identitetsexponeringsrapport av SpyCloud, som analyserade mer än 15 miljarder komprometterade referenser tillgängliga på kriminella underjordiska sajter, fann man att 65 procent av de brutna lösenorden användes för minst två konton.
För användare som återanvänder referenser på olika plattformar kan det verka som ett genialt sätt att undvika att glömma lösenord, men i verkligheten är det en katastrof som väntar på att hända.
I händelse av att ett av systemen har äventyrats och dina referenser fångas upp, riskerar alla andra konton som använder samma referenser att äventyra. Med tanke på att komprometterade autentiseringsuppgifter säljs billigt på den mörka webben, kan du lätt bli ett offer för autentiseringsuppgifter.
Credential stuffing är en cyberattack där illvilliga aktörer använder stulna autentiseringsuppgifter för ett onlinekonto eller system för att försöka komma åt andra orelaterade onlinekonton eller system.
Ett exempel på detta är en illvillig aktör som får tillgång till ditt användarnamn och lösenord för ditt Twitter-konto och använder dessa komprometterade autentiseringsuppgifter för att försöka komma åt ett Paypal-konto.
I händelse av att du använder samma referenser på Twitter och Paypal kommer ditt Paypal-konto att tas över på grund av ett brott mot dina Twitter-uppgifter.
Om du använder dina Twitter-uppgifter på flera onlinekonton kan dessa onlinekonton också äventyras. En sådan attack är känd som autentiseringsuppfyllning, och den utnyttjar det faktum att många användare återanvänder autentiseringsuppgifter på flera onlinekonton.
Skadliga aktörer som utför attacker med inloggningsuppfyllning använder vanligtvis bots för att automatisera och skala processen. Detta gör att de kan använda ett stort antal komprometterade referenser och rikta in sig på flera onlineplattformar. Med komprometterade autentiseringsuppgifter som läckt ut från dataintrång och även säljs på den mörka webben, har autentiseringsattacker blivit vanliga.
Innehållsförteckning
Hur Credential Stuffing fungerar
En attack med inloggningsuppgifter börjar med förvärvet av komprometterade uppgifter. Dessa användarnamn och lösenord kan köpas på den mörka webben, nås från lösenordsdumpsajter eller fås från dataintrång och nätfiskeattacker.
Nästa steg innebär att sätta upp bots för att testa de stulna referenserna på olika webbplatser. Automatiserade botar är det bästa verktyget för attacker med inloggningsuppfyllning, eftersom botar smygande kan utföra inloggningsuppfyllning med ett stort antal referenser mot många webbplatser i höga hastigheter.
Utmaningen med att en IP-adress blockeras efter flera misslyckade inloggningsförsök undviks också genom att använda bots.
När en autentiseringsattack lanseras, startas även automatiserade processer för att övervaka framgångsrika inloggningar parallellt med autentiseringsattacken. På så sätt kan angripare enkelt få inloggningsuppgifter som fungerar på vissa webbsajter och använda dem för att ta över ett konto på plattformarna.
När angripare väl har fått tillgång till ett konto är vad de kan göra med det upp till deras gottfinnande. Angripare kan sälja inloggningsuppgifterna till andra angripare, stjäla känslig information från kontot, begå identitet eller använda kontot för att göra onlineköp om ett bankkonto äventyras.
Varför Credential Stuffing Attacker är effektiva
Credential Stuffing är en cyberattack med mycket låga framgångar. Enligt The Economy of Credential Stuffing Attacks Report av Insikt Group, som är Recorded Futures hotforskningsavdelning, är den genomsnittliga framgångsattacken för credential stuffing-attacker mellan en till tre procent.
Så mycket som dess framgångsfrekvens är låg, noterade Akamai Technologies i sin 2021 State of the Internet/Security-rapport att Akamai 2020 såg 193 miljarder inloggningsattacker globalt.
Anledningen till det höga antalet autentiseringsattacker och varför de blir allt vanligare är på grund av antalet komprometterade autentiseringsuppgifter och tillgång till avancerade botverktyg som gör attacker med inloggningsuppgifter mer effektiva och nästan omöjliga att skilja från mänskliga inloggningsförsök.
Till exempel, även vid en låg framgångsfrekvens på bara en procent, om en angripare har 1 miljon komprometterade referenser, kan de äventyra omkring 10 000 konton. Stora volymer av komprometterade autentiseringsuppgifter handlas på den mörka webben, och så stora volymer komprometterade autentiseringsuppgifter kan återanvändas på flera plattformar.
Dessa höga volymer av inträngda autentiseringsuppgifter resulterar i en ökning av antalet inträngda konton. Detta, tillsammans med det faktum att människor fortsätter att återanvända sina referenser på flera onlinekonton, blir autentiseringsattacker mycket effektiva.
Credential Stuffing vs. Brute Force Attacker
Även om credential stuffing och brute force-attacker båda är kontoövertagandeattacker och Open Web Application Security Project (OWASP) betraktar credential stuffing som en delmängd av brute force-attacker, skiljer de två sig åt i hur de utförs.
I en brute-force attack försöker en illvillig skådespelare ta över ett konto genom att gissa användarnamnet eller lösenordet eller båda. Detta görs vanligtvis genom att prova så många möjliga kombinationer av användarnamn och lösenord utan sammanhang eller aning om vad de kan vara.
En brute force kan använda vanliga lösenordsmönster eller en ordbok med vanliga lösenordsfraser som Qwerty, lösenord eller 12345. En brute force-attack kan lyckas om användaren använder svaga lösenord eller standardlösenord för systemet.
En attack med inloggningsuppgifter försöker å andra sidan ta över ett konto genom att använda komprometterade autentiseringsuppgifter från andra system eller onlinekonton. I en autentiseringsattack, gissar attacken inte autentiseringsuppgifterna. Framgången för en autentiseringsattack förlitar sig på att en användare återanvänder sina uppgifter på flera onlinekonton.
Vanligtvis är framgångsfrekvensen för brute force-attacker mycket lägre än referensfyllning. Brute force attacker kan förhindras genom att använda starka lösenord. Att använda starka lösenord kan dock inte förhindra att användaruppgifter fylls i om det starka lösenordet delas mellan flera konton. Behörighetsfyllning förhindras genom att använda unika inloggningsuppgifter på onlinekonton.
Hur man upptäcker credential stuffing-attacker
Aktörer för hotfulla inloggningsuppgifter använder vanligtvis botar som efterliknar mänskliga agenter, och det är ofta mycket svårt att skilja ett inloggningsförsök från en riktig människa och ett från en bot. Det finns dock fortfarande tecken som kan signalera en pågående attack med meritförteckning.
Till exempel borde en plötslig ökning av webbtrafiken väcka misstankar. I ett sådant fall, övervaka inloggningsförsök till webbplatsen, och om det finns en ökning av inloggningsförsök på flera konton från flera IP-adresser eller en ökning av inloggningsfelfrekvensen, kan detta indikera en pågående autentiseringsattack.
En annan indikator på en autentiseringsattack är användare som klagar över att ha blivit utestängda från sina konton eller får meddelanden om misslyckade inloggningsförsök som inte gjordes av dem.
Övervaka dessutom användaraktivitet, och om du upptäcker ovanlig användaraktivitet, som att göra ändringar i deras inställningar, profilinformation, pengaöverföringar och onlineköp, kan detta signalera en autentiseringsattack.
Hur man skyddar sig mot inloggningsfyllning
Det finns flera åtgärder som kan vidtas för att undvika att bli utsatt för attacker som fyller med legitimationsuppgifter. Detta inkluderar:
#1. Undvik att återanvända samma autentiseringsuppgifter på flera konton
Fyllning av autentiseringsuppgifter är beroende av att en användare delar inloggningsuppgifter mellan flera onlinekonton. Detta kan enkelt undvikas genom att använda unika referenser på olika onlinekonton.
Med lösenordshanterare som Google Password Manager kan användare fortfarande använda unika och mycket lösenord utan att behöva oroa sig för att glömma sina referenser. Företag kan också genomdriva detta genom att förhindra användning av e-postmeddelanden som användarnamn. På så sätt är det mer sannolikt att användare använder unika referenser på olika plattformar.
#2. Använd multifaktorautentisering (MFA)
Multifactor Authentication är användningen av flera metoder för att autentisera identiteten för en användare som försöker logga in. Detta kan implementeras genom att kombinera traditionella autentiseringsmetoder för ett användarnamn och ett lösenord, tillsammans med en hemlig säkerhetskod som delas med användare via e-post eller textmeddelande för att ytterligare bekräfta sin identitet. Detta är mycket effektivt för att förhindra inloggningsfyllning eftersom det lägger till ett extra lager av säkerhet.
Det kan till och med låta dig veta när någon försöker kompromittera ditt konto, eftersom du får en säkerhetskod utan att begära en. MFA är så effektivt att en Microsoft-studie fastställde att onlinekonton är 99,9 procent mindre sannolikt att äventyras om de använder MFA.
#3. Enhetens fingeravtryck
Enhetsfingeravtryck kan användas för att koppla åtkomst till ett onlinekonto med en viss enhet. Enhetsfingeravtryck identifierar enheten som används för att komma åt ett konto med hjälp av information som enhetsmodell och nummer, operativsystemet som används, språk och land, bland annat.
Detta skapar ett unikt enhetsfingeravtryck som sedan kopplas till ett användarkonto. Åtkomst till kontot med en annan enhet är inte tillåten utan tillstånd från enheten som är kopplad till kontot.
#4. Övervaka efter läckta lösenord
När användare försöker skapa användarnamn och lösenord för en onlineplattform istället för att bara kontrollera lösenordens styrka, kan referenserna motkontrolleras mot publicerade läckta lösenord. Detta hjälper till att förhindra användning av referenser som senare kan utnyttjas.
Organisationer kan implementera lösningar som övervakar användaruppgifter mot läckta referenser på den mörka webben och meddela användare när en matchning hittas. Användare kan sedan uppmanas att verifiera sin identitet genom en mängd olika metoder, ändra referenser och även implementera MFA för att ytterligare skydda sitt konto
#5. Autentiseringshasning
Detta innebär förvrängning av användaruppgifter innan de lagras i en databas. Detta hjälper till att skydda mot missbruk av referenser i händelse av ett dataintrång i systemen, eftersom referenserna kommer att lagras i ett format som inte kan användas.
Även om detta inte är en idiotsäker metod kan det ge användarna tid att ändra sina lösenord i händelse av ett dataintrång.
Exempel på Credential Stuffing-attacker
Några anmärkningsvärda exempel på attacker med inloggningsuppgifter inkluderar:
- Stölden av över 500 000 Zoom-uppgifter under 2020. Denna inloggningsattack utfördes med användarnamn och lösenord som hämtats från olika mörka webbforum, med inloggningsuppgifter från attacker så långt tillbaka som 2013. De stulna zoomuppgifterna gjordes tillgängliga på den mörka webben webb och säljs billigt till villiga köpare
- Kompromissa med tusentals användarkonton för Canada Revenue Agency (CRA). År 2020 komprometterades cirka 5500 CRA-konton i två separata autentiseringsattacker, vilket resulterade i att användare inte kunde komma åt tjänster som erbjuds av CRA.
- Kompromiss med 194 095 The North Face-användarkonton. The North Face är ett företag som säljer sportkläder, och det drabbades av en missbruksattack i juli 2022. Attacken resulterade i läckage av användarens fullständiga namn, telefonnummer, kön, lojalitetspoäng, fakturerings- och leveransadress, datum då konto skapades, och köphistorik.
- Reddit-inloggnings-stuffing-attack 2019. Flera Reddit-användare låstes ute från sina konton efter att deras autentiseringsuppgifter äventyrats genom autentiseringsattacker.
Dessa attacker understryker vikten av att du måste skydda dig mot liknande attacker.
Slutsats
Du kanske har stött på säljare av referenser till streamingsidor som Netflix, Hulu och disney+ eller onlinetjänster som Grammarly, Zoom och Turnitin, bland andra. Var tror du att säljarna får meriteringen?
Tja, sådana inloggningsuppgifter har sannolikt fåtts genom attacker som fyller med uppgifter. Om du använder samma inloggningsuppgifter på flera onlinekonton är det dags att du ändrar dem innan du blir ett offer.
För att ytterligare skydda dig själv, implementera multifaktorautentisering på alla dina onlinekonton och undvik att köpa komprometterade autentiseringsuppgifter, eftersom detta skapar en möjliggörande miljö för autentiseringsattacker.