Подстановка учетных данных — это метод кибератаки, при котором злоумышленники используют автоматизированные сценарии для проверки комбинаций имен пользователей и паролей на различных веб-сайтах. Злоумышленник часто получает эти пары имени пользователя и пароля в результате предыдущих утечек данных и использует их в попытке получить несанкционированный доступ к учетным записям пользователей на разных платформах.
История вброса учетных данных и его первые упоминания
Термин «подтасовка учетных данных» впервые появился в конце 2000-х годов, после значительного увеличения масштабных утечек данных, в результате которых были раскрыты миллионы учетных данных пользователей. По сути, это эволюция метода атаки методом перебора, но вместо попыток случайных комбинаций имени пользователя и пароля при атаках с подстановкой учетных данных используются комбинации, которые уже использовались отдельными людьми.
Первый зарегистрированный случай подделки учетных данных относится к 2014 году, когда злоумышленники воспользовались утечкой данных Adobe, в результате которой произошла утечка около 153 миллионов учетных записей. Они протестировали эти утекшие пары учетных данных на разных веб-сайтах и сумели получить несанкционированный доступ к многочисленным учетным записям.
Углубленный взгляд на наполнение учетными данными
Подмена учетных данных представляет собой серьезную угрозу кибербезопасности, прежде всего потому, что многие люди используют одни и те же пароли на нескольких веб-сайтах. Если в результате утечки данных произойдет утечка этих паролей, злоумышленник может получить доступ к нескольким учетным записям, принадлежащим одному и тому же лицу.
Атаки с подбросом учетных данных обычно автоматизируются с использованием ботов для систематического ввода пар учетных данных на целевые веб-сайты. Если на веб-сайте нет эффективных мер безопасности для обнаружения и предотвращения таких атак, злоумышленник может протестировать тысячи пар учетных данных за короткий период.
Масштаб этих атак и их потенциальное воздействие огромны. Например, в 2018 году охранная фирма Shape Security подсчитала, что 90% всех попыток входа на веб-сайты электронной коммерции были атаками с подстановкой учетных данных.
Внутренняя структура заполнения учетных данных
Внутренняя структура атаки с подстановкой учетных данных включает в себя три основных компонента:
-
Утечка базы данных учетных данных: Это базы данных, содержащие комбинации имени пользователя и пароля, полученные в результате утечки данных. Эти базы данных часто доступны в даркнете.
-
Инструменты автоматизации: Эти инструменты, также известные как «подстановщики учетных данных», используются для автоматизации атаки. Они вводят пары имя пользователя и пароль в поля входа на целевые веб-сайты.
-
Прокси-сеть: Злоумышленники используют прокси-сети, чтобы замаскировать свои IP-адреса и избежать обнаружения.
Процесс относительно прост: автоматизированный инструмент выбирает пару учетных данных из базы данных, вводит ее на веб-сайт через прокси-сервер, а затем записывает, была ли попытка входа успешной или нет.
Ключевые особенности вставки учетных данных
Некоторые из ключевых особенностей атак с подстановкой учетных данных включают в себя:
- Автоматизация: Атаки с подстановкой учетных данных автоматизированы, что позволяет злоумышленникам проверить тысячи учетных данных за короткое время.
- Использует утечки данных: Эти атаки основаны на ранее утекших данных в результате утечек данных.
- Трудно обнаружить: Из-за использования законных пар имя-пароль и прокси-серверов атаки с подстановкой учетных данных может быть трудно обнаружить.
- Широкое воздействие: Поскольку люди часто повторно используют пароли на нескольких веб-сайтах, успешная атака может поставить под угрозу несколько учетных записей, принадлежащих одному и тому же пользователю.
Типы вставки учетных данных
Существует два основных типа вброса учетных данных:
-
Традиционный вброс учетных данных: В этом случае злоумышленник использует простой скрипт или бот, чтобы проверить утекшие учетные данные на целевом веб-сайте.
-
Расширенное постоянное заполнение учетных данных: В этом типе злоумышленник использует более сложные инструменты и методы, часто меняя IP-адреса и имитируя человеческое поведение, чтобы избежать обнаружения.
| Тип заполнения учетных данных | Используемые инструменты | Уровень сложности |
|---|---|---|
| Традиционный | Простые боты или скрипты | Низкий |
| Расширенный постоянный | Продвинутые боты, ротация IP-адресов, имитация человеческого поведения | Высокий |
Способы использования учетных данных, проблемы и решения
Атаки с подтасовкой учетных данных представляют значительную угрозу безопасности как для предприятий, так и для частных лиц. Эти атаки могут привести к несанкционированному доступу, краже данных, финансовым потерям и другим серьезным последствиям.
Однако есть несколько способов минимизировать эти риски:
- Многофакторная аутентификация (MFA): MFA требует от пользователей предоставления дополнительных документов, удостоверяющих личность, что может эффективно предотвратить атаки с подстановкой учетных данных.
- Использование CAPTCHA: CAPTCHA может помочь отличить пользователей-людей от ботов, снижая вероятность успеха автоматических атак.
- Мониторинг учетных данных: Регулярный мониторинг и защита ваших учетных данных может помочь обнаружить и устранить потенциальные угрозы.
- Ограничение скорости IP: Этот метод ограничивает количество попыток входа в систему, которые можно сделать с одного IP-адреса, что затрудняет выполнение злоумышленниками своих операций.
Наполнение учетными данными и аналогичные термины
| Срок | Описание |
|---|---|
| Вброс учетных данных | Метод атаки, при котором злоумышленники используют ранее утекшие учетные данные для получения несанкционированного доступа к учетным записям пользователей. |
| Атака грубой силы | Метод атаки, при котором злоумышленники пробуют все возможные комбинации имен пользователей и паролей, чтобы получить доступ. |
| Распыление пароля | Метод атаки, при котором злоумышленники пробуют несколько часто используемых паролей для многих учетных записей, прежде чем перейти к попытке другого пароля, чтобы избежать блокировки учетных записей. |
Перспективы и будущие технологии, связанные с подтасовкой учетных данных
По мере развития цифрового мира меняются и методы, используемые злоумышленниками. Advanced Persistent Credential Stuffing — яркий тому пример. Однако технологии противодействия таким угрозам также развиваются. Для борьбы с подтасовкой учетных данных используются такие методы, как поведенческая биометрия, которая изучает поведение пользователей для выявления аномалий. Машинное обучение и искусственный интеллект также используются для обнаружения и предотвращения этих атак.
В будущем мы можем ожидать увидеть более продвинутые меры безопасности, включая более сложные технологии CAPTCHA, более широкое использование MFA и более широкое использование искусственного интеллекта и машинного обучения для обнаружения и устранения угроз.
Прокси-серверы и вставка учетных данных
Прокси-серверы играют важную роль в атаках с подстановкой учетных данных. Злоумышленники часто используют их, чтобы скрыть свои IP-адреса и избежать обнаружения. Однако прокси-серверы также могут быть частью решения. Некоторые прокси-серверы оснащены инструментами для обнаружения и блокировки подозрительных действий, что помогает снизить риски, связанные с подтасовкой учетных данных.
Более того, предприятия могут использовать прокси-серверы для добавления дополнительного уровня безопасности. Направляя весь трафик через прокси-сервер, организации могут отслеживать и контролировать передаваемые данные, тем самым помогая предотвратить несанкционированный доступ и защитить конфиденциальную информацию.
Ссылки по теме
- Открытый проект безопасности веб-приложений (OWASP)
- Национальный институт стандартов и технологий (NIST) – Рекомендации по цифровой идентификации
- Сообщение государственной службы ФБР о подтасовке учетных данных
Важно быть в курсе последней информации и разработок в области кибербезопасности, чтобы защитить себя и свой бизнес от атак с подтасовкой учетных данных.
