Słabe hasło, duże ryzyko – jak przestępcy wykorzystują dane logowania w cyberatakach

Firmy i ich klienci tracą miliardy dolarów rocznie przez cyberataki z użyciem tzw. wypychania danych uwierzytelniających (credential stuffing). Przestępcy praktykujący tę metodę wykorzystują skradzione informacje, które dają im dostęp do konta ofiary w jednym serwisie, celem uzyskania dostępu do jej profili również na innych stronach. Główną przyczyną ciągłego powodzenia tej techniki jest wykorzystywanie przez internautów tych samych danych logowania na różnych platformach.

Wypychanie danych uwierzytelniających to jedna z najpopularniejszych i najbardziej skutecznych metod przeprowadzania cyberataków. Wskaźnik ich powodzenia może wynosić od 0,1 do 4 proc.

– Skutki ataków typu credential stuffing mogą być bardzo dotkliwe. Ich ofiarami padają zarówno prywatni użytkownicy, jak i duże firmy. Przejęte w wyniku wypychania danych informacje i konta mogą posłużyć cyberprzestępcom do prowadzania innych rodzajów cyberataków, na przykład z wykorzystaniem phishingu. Posiadając nieograniczony dostęp do skrzynki e-mail swojej ofiary hakerzy zyskują wówczas możliwość bardzo wiarygodnego podszywania się pod nią w celu wyłudzania pieniędzy albo zebrania nowych danych osobowych – mówi Jolanta Malak, dyrektorka Fortinet w Polsce.

Łatwy dostęp do danych i niskie koszty ataków

Podstawowym błędem wielu użytkowników internetu jest stosowanie tych samych danych do logowania na różnych platformach. Według badań TechReport, aż 65 proc. internautów powiela swoje hasła w wielu serwisach online. To duże ryzyko w kontekście cyfrowego bezpieczeństwa. Nawyk ten jest bowiem podstawową przyczyną powodzenia wykorzystywania techniki credential stuffing przez cyberprzestępców.

Utrzymywanie się popularności tego typu ataków związane jest również z tym, że są one stosunkowo proste do zrealizowania. Oprogramowanie i sprzęt potrzebny do ich przeprowadzenia są powszechnie dostępne, nie wymagają więc dużych inwestycji – przeznaczane na nie środki zazwyczaj zamykają się w ok. 100 dolarach, wydawanych jedynie na pozyskanie zestawów danych uwierzytelniających. W internecie istnieje bowiem wiele baz zawierających zebrane nielegalnie hasła, adresy e-mail oraz nazwy użytkowników. Jedna z nich – Collection 1-5 – zawiera ich ponad 22 miliardy.

Celem ataków z użyciem wypychania danych uwierzytelniających stali się w 2020 roku użytkownicy popularnego serwisu streamingowego. Hakerzy wykorzystali wówczas 380 milionów rekordów, pozyskanych wcześniej z nielegalnych źródeł, do prób przejęcia istniejących w jego obrębie profili internautów. W ten sam sposób w 2022 roku cyberprzestępcy uzyskali dostęp do prawie 195 tysięcy kont klientów znanej firmy odzieżowej. Oba ataki były możliwe do przeprowadzenia głównie za sprawą powtarzalności danych uwierzytelniających używanych przez internautów. Łatwy dostęp do nich oraz prostota realizacji tej metody sprawiają, że jest ona chętnie wykorzystywana przez cyberprzestępców.

Podobne techniki

Cyberprzestępcy stosują też inne, zbliżone do credential stuffingu metody, takie jak ataki brute force oraz rozpylanie haseł. W przypadku pierwszej metody hakerzy podejmują próby uzyskania dostępu do konta ofiary wykorzystując generatory powszechnie stosowanych nazw użytkowników i haseł. Stworzone w ten sposób dane są wpisywane do panelu logowania do momentu, aż atak nie zakończy się powodzeniem.

Przy rozpylaniu haseł cyberprzestępcy próbują dopasować hasło do zebranych i zweryfikowanych wcześniej adresów e-mail. Najczęściej wpisują stosowane przez użytkowników kombinacje kodów zabezpieczających, aż uda im się osiągnąć sukces.

– Zarówno w przypadku ataków typu brute force, jak i rozpylania haseł, hakerzy próbują odgadnąć dane uwierzytelniające użytkownika bazując na znajomości powszechnie stosowanych haseł i loginów. W przypadku rozpylania haseł, cyberprzestępcy mają już tak naprawdę połowę informacji, których potrzebują. Dlatego warto mieć na uwadze, że bezpieczne systemy nigdy nie powinny zezwalać na używanie adresów poczty elektronicznej jako nazw użytkowników. Wykrycie próby ataku brute froce lub rozpylania haseł jest stosunkowo proste. Uwagę użytkownika na pewno powinien wzbudzić komunikat o nietypowej liczbie prób uzyskania dostępu do jego konta. Trudniejsze do zidentyfikowania są jednak ataki typu credential stuffing, gdy podejmowana jest tylko jedna próba logowania. Dlatego zamiast walczyć ze skutkami takich incydentów, lepiej podjąć działania zapobiegające nieautoryzowanemu dostępowi do kont internetowych – mówi Jolanta Malak.

Jak zapobiegać atakom?

Ze względu na charakter działań cyberprzestępców, ataki z użyciem wypychania danych uwierzytelniających są trudne do wykrycia. Na szczęście internauci mogą skutecznie im zapobiegać. Podstawowym działaniem w tym zakresie jest tworzenie silnych, unikalnych i złożonych haseł.

Kolejnym istotnym krokiem jest włączenie wieloskładnikowego uwierzytelniania, które może obejmować m.in. skanowanie odcisków palców, wprowadzenie kodu bezpieczeństwa wysłanego na numer telefonu lub e-mailowe potwierdzenie logowania. Dzięki temu uzyskanie nieautoryzowanego dostępu do kont internauty staje się bardziej skomplikowane, a zdobyte z innego źródła informacje, które mogłyby zostać wykorzystane podczas prób przejęcia konta, stają się niewystarczające. Warto też wdrożyć bardziej specjalistyczne rozwiązania, w tym narzędzia monitorująceh sieć pod kątem złośliwych aktywności, takich jak logowanie z nieautoryzowanego adresu IP. 

What Is Credential Stuffing?:
www.fortinet.com/resources/cyberglossary/credential-stuffing