Pemadat kelayakan ialah kaedah serangan siber di mana penyerang menggunakan skrip automatik untuk menguji gabungan nama pengguna dan kata laluan pada pelbagai tapak web. Penyerang sering mendapatkan pasangan nama pengguna/kata laluan ini daripada pelanggaran data sebelumnya dan menggunakannya dalam percubaan untuk mendapatkan akses tanpa kebenaran kepada akaun pengguna pada platform yang berbeza.
Sejarah Pengisian Kredensial dan Sebutan Pertamanya
Istilah 'Credential Stuffing' pertama kali muncul pada akhir 2000-an, berikutan peningkatan ketara dalam pelanggaran data berskala besar yang mendedahkan berjuta-juta bukti kelayakan pengguna. Ia pada asasnya merupakan evolusi kaedah serangan brute-force, tetapi bukannya mencuba gabungan nama pengguna-kata laluan rawak, serangan pemadat kelayakan menggunakan kombinasi yang telah digunakan oleh individu.
Contoh pertama pemadat bukti yang diiktiraf bermula sejak 2014 apabila penyerang mengeksploitasi pelanggaran data Adobe, yang membocorkan kira-kira 153 juta akaun. Mereka menguji pasangan bukti kelayakan yang bocor ini di tapak web yang berbeza dan berjaya mendapatkan akses tanpa kebenaran kepada banyak akaun.
Tinjauan Mendalam tentang Pengisian Kredensial
Pemadat kelayakan adalah ancaman utama kepada keselamatan siber, terutamanya kerana ramai orang menggunakan kata laluan yang sama merentas berbilang tapak web. Jika pelanggaran data membocorkan kata laluan ini, penyerang boleh mendapat akses kepada berbilang akaun yang dimiliki oleh individu yang sama.
Serangan pemadat kelayakan biasanya automatik, menggunakan bot untuk memasukkan pasangan bukti kelayakan secara sistematik ke dalam tapak web yang disasarkan. Jika tapak web tidak mempunyai langkah keselamatan yang berkesan untuk mengesan dan mencegah serangan sedemikian, penyerang boleh menguji beribu-ribu pasangan bukti kelayakan dalam tempoh yang singkat.
Skala serangan ini dan potensi kesannya adalah besar. Sebagai contoh, pada tahun 2018, firma keselamatan Shape Security menganggarkan bahawa 90% daripada semua percubaan log masuk di tapak web e-dagang adalah serangan pemadat kelayakan.
Struktur Dalaman Pengisian Kredensial
Struktur dalaman serangan pemadat kelayakan melibatkan tiga komponen utama:
-
Pangkalan Data Tauliah yang Bocor: Ini adalah pangkalan data yang mengandungi gabungan nama pengguna-kata laluan yang diperoleh daripada pelanggaran data. Pangkalan data ini selalunya tersedia di web gelap.
-
Alat Automasi: Alat ini, juga dikenali sebagai 'penyumbat kelayakan', digunakan untuk mengautomasikan serangan. Mereka memasukkan pasangan nama pengguna-kata laluan ke dalam medan log masuk tapak web yang disasarkan.
-
Rangkaian Proksi: Penyerang menggunakan rangkaian proksi untuk menutup alamat IP mereka dan mengelakkan pengesanan.
Prosesnya agak mudah: Alat automatik memilih pasangan kelayakan daripada pangkalan data, memasukkannya ke dalam tapak web melalui pelayan proksi, kemudian merekodkan sama ada percubaan log masuk berjaya atau tidak.
Ciri Utama Pengisian Kredensial
Beberapa ciri utama serangan pemadat kelayakan termasuk:
- Automasi: Serangan pemadat bukti adalah automatik, membolehkan penyerang menguji beribu bukti kelayakan dalam masa yang singkat.
- Memanfaatkan Pelanggaran Data: Serangan ini bergantung pada data yang bocor sebelum ini daripada pelanggaran data.
- Sukar untuk Dikesan: Disebabkan penggunaan pasangan nama pengguna-kata laluan dan pelayan proksi yang sah, serangan pemadat bukti boleh menjadi sukar untuk dikesan.
- Kesan meluas: Memandangkan orang ramai sering menggunakan semula kata laluan merentas berbilang tapak web, serangan yang berjaya boleh menjejaskan berbilang akaun yang dimiliki oleh pengguna yang sama.
Jenis Pengisian Kredensial
Terdapat dua jenis pemadat kelayakan utama:
-
Pengisian Tauliah Tradisional: Dalam kes ini, penyerang menggunakan skrip atau bot mudah untuk mencuba bukti kelayakan yang bocor pada tapak web sasaran.
-
Pengisian Kredensial Berterusan Lanjutan: Dalam jenis ini, penyerang menggunakan alat dan kaedah yang lebih canggih, selalunya memutarkan alamat IP dan meniru tingkah laku seperti manusia untuk mengelak pengesanan.
| Jenis Pengisian Kredensial | Alatan Digunakan | Tahap Kecanggihan |
|---|---|---|
| Tradisional | Bot atau skrip mudah | rendah |
| Lanjutan Gigih | Bot lanjutan, alamat IP berputar, peniruan tingkah laku manusia | tinggi |
Cara Menggunakan Pengisian Kredensial, Masalah dan Penyelesaian
Serangan pemadat kelayakan menimbulkan risiko keselamatan yang ketara kepada kedua-dua perniagaan dan individu. Serangan ini boleh membawa kepada akses tanpa kebenaran, kecurian data, kerugian kewangan dan akibat serius yang lain.
Walau bagaimanapun, terdapat beberapa cara untuk mengurangkan risiko ini:
- Pengesahan Berbilang Faktor (MFA): MFA memerlukan pengguna untuk menyediakan bukti identiti tambahan, yang boleh menghalang serangan pemadat bukti kelayakan dengan berkesan.
- Penggunaan CAPTCHA: CAPTCHA boleh membantu membezakan antara pengguna manusia dan bot, mengurangkan kadar kejayaan serangan automatik.
- Pemantauan Tauliah: Memantau dan memastikan kelayakan anda secara berkala boleh membantu mengesan dan mengurangkan potensi ancaman.
- Pengehadan Kadar IP: Teknik ini mengehadkan bilangan percubaan log masuk yang boleh dibuat daripada satu alamat IP, menjadikannya lebih sukar bagi penyerang untuk menjalankan operasi mereka.
Pengisian Kredensial lwn. Istilah Serupa
| Penggal | Penerangan |
|---|---|
| Pengisian Kredensial | Kaedah serangan di mana penyerang menggunakan bukti kelayakan yang dibocorkan sebelum ini untuk mendapatkan akses tanpa kebenaran kepada akaun pengguna. |
| Serangan Brute Force | Kaedah serangan di mana penyerang mencuba semua kemungkinan kombinasi nama pengguna dan kata laluan untuk mendapatkan akses. |
| Menyembur Kata Laluan | Kaedah serangan di mana penyerang mencuba beberapa kata laluan yang biasa digunakan terhadap banyak akaun sebelum meneruskan untuk mencuba kata laluan lain, untuk mengelakkan penguncian akaun. |
Perspektif dan Teknologi Masa Depan yang Berkaitan dengan Pengisian Kredensial
Apabila dunia digital berkembang, begitu juga kaedah yang digunakan oleh penyerang. Pengisian Kredensial Gigih Lanjutan ialah contoh yang jelas tentang ini. Walau bagaimanapun, teknologi untuk menentang ancaman tersebut juga berkembang. Teknik seperti biometrik tingkah laku, yang mengkaji tingkah laku pengguna untuk mengenal pasti anomali, sedang digunakan untuk melawan pemadat bukti kelayakan. Pembelajaran mesin dan AI juga digunakan untuk mengesan dan mencegah serangan ini.
Pada masa hadapan, kami boleh mengharapkan untuk melihat langkah keselamatan yang lebih maju, termasuk teknologi CAPTCHA yang lebih canggih, penggunaan MFA yang lebih lazim dan peningkatan penggunaan AI dan pembelajaran mesin untuk pengesanan dan pengurangan ancaman.
Pelayan Proksi dan Pengisian Kredensial
Pelayan proksi memainkan peranan penting dalam serangan pemadat kelayakan. Penyerang sering menggunakannya untuk menyembunyikan alamat IP mereka dan mengelakkan pengesanan. Walau bagaimanapun, pelayan proksi juga boleh menjadi sebahagian daripada penyelesaian. Pelayan proksi tertentu dilengkapi dengan alat untuk mengesan dan menyekat aktiviti yang mencurigakan, sekali gus membantu mengurangkan risiko yang berkaitan dengan pemadat bukti kelayakan.
Selain itu, perniagaan boleh menggunakan pelayan proksi untuk menambah lapisan keselamatan tambahan. Dengan menyalurkan semua trafik melalui pelayan proksi, organisasi boleh memantau dan mengawal data yang sedang dipindahkan, sekali gus membantu menghalang capaian tanpa kebenaran dan melindungi maklumat sensitif.
Pautan Berkaitan
- Buka Projek Keselamatan Aplikasi Web (OWASP)
- Institut Piawaian dan Teknologi Kebangsaan (NIST) – Garis Panduan Identiti Digital
- Pengumuman Perkhidmatan Awam FBI mengenai Pengisian Kredensial
Adalah penting untuk memastikan maklumat terkini dan perkembangan terkini dalam keselamatan siber untuk melindungi diri anda dan perniagaan anda daripada serangan pemadat bukti kelayakan.
