Зловмисники виставили на продаж у даркнеті понад 500 мільйонів облікових записів Zoom, використовуючи метод, відомий як “заповнення облікових даних”. Це поширена тактика, за допомогою якої кіберзлочинці намагаються зламати онлайн-акаунти. Розберемося, що ж саме означає цей термін і як убезпечити себе від подібних атак.
Звідки беруться витоки даних?
Кібератаки на різноманітні онлайн-сервіси стали буденністю. Зловмисники постійно шукають вразливості в системах безпеки, щоб отримати доступ до баз даних, що містять імена користувачів та їхні паролі. Ці викрадені бази даних нерідко з’являються на продаж у даркнеті, де за їхній доступ платять криптовалютою.
Уявімо ситуацію: ви мали обліковий запис на форумі Avast, який був скомпрометований ще у 2014 році. Зловмисники, отримавши доступ до бази даних, заволоділи вашим іменем користувача та паролем на цьому форумі. Avast сповістив вас про інцидент та попросив змінити пароль. У чому ж тоді проблема?
Проблема в тому, що багато хто з нас використовує одні й ті ж паролі на різних сайтах. Припустимо, що ваші дані для входу на форум Avast були “[email protected]” та “СуперПароль”. Якщо ви використовували ту ж комбінацію імені користувача (вашої електронної адреси) та пароля на інших веб-сайтах, будь-який злочинець, який отримав доступ до цих даних, зможе увійти і в ваші інші облікові записи.
Як працює “заповнення облікових даних”?
“Заповнення облікових даних” – це використання викрадених баз даних для спроби входу в інші онлайн-сервіси.
Кіберзлочинці беруть великі бази даних, що містять мільйони скомпрометованих логінів та паролів, і намагаються за допомогою них увійти на інші сайти. Оскільки багато користувачів повторно використовують одні й ті ж паролі, деякі спроби виявляються вдалими. Цей процес зазвичай автоматизований за допомогою спеціального програмного забезпечення, що дозволяє швидко перевіряти велику кількість комбінацій.
Попри те, що звучить технічно складно, насправді все просто: зловмисники беруть викрадені дані та вводять їх у різні форми входу, спостерігаючи, що спрацює. І, як показує практика, часто спрацьовує.
Сьогодні це один з найпоширеніших способів злому облікових записів в інтернеті. Лише у 2018 році компанія Akamai зафіксувала майже 30 мільярдів атак із застосуванням “заповнення облікових даних”.
Як захистити себе?
Захист від “заповнення облікових даних” є відносно простим і базується на тих же методах захисту паролів, які експерти з безпеки рекомендують вже багато років. Не існує магічного рішення – лише правильна “гігієна” паролів. Ось кілька порад:
Не повторюйте паролі: використовуйте унікальний пароль для кожного онлайн-сервісу. У такому випадку, навіть якщо один з ваших паролів буде скомпрометовано, зловмисники не зможуть використати його для доступу до інших ваших облікових записів.
Використовуйте менеджер паролів: Запам’ятати велику кількість складних і унікальних паролів – завдання майже неможливе. Рекомендується використовувати менеджери паролів, наприклад, 1Password (платний) або Bitwarden (безкоштовний з відкритим кодом), які можуть не тільки зберігати, але й генерувати надійні паролі.
Увімкніть двофакторну аутентифікацію: Двоетапна аутентифікація вимагає додаткового підтвердження при вході, наприклад, коду, згенерованого застосунком або надісланого через SMS. Навіть якщо зловмисник отримає доступ до вашого імені користувача та пароля, він не зможе увійти без цього коду.
Стежте за витоками паролів: За допомогою таких сервісів, як Have I Been Pwned?, ви можете отримувати повідомлення, якщо ваші облікові дані з’явилися у витоку.
Як сервіси можуть захистити від “заповнення облікових даних”?
Окрім особистої відповідальності за безпеку своїх акаунтів, онлайн-сервіси також повинні вживати заходів для захисту від атак із “заповненням облікових даних”.
Сканування баз даних на наявність скомпрометованих паролів: Такі компанії, як Facebook і Netflix перевіряють наявність паролів своїх користувачів у викрадених базах даних. Якщо виявляється збіг, користувача сповіщають про необхідність змінити свій пароль.
Пропонуйте двофакторну аутентифікацію: Користувачі повинні мати можливість вмикати двофакторну аутентифікацію для додаткового захисту своїх акаунтів. Для особливо чутливих сервісів її ввімкнення може бути обов’язковим. Також можна запровадити підтвердження входу через посилання в електронному листі.
Використовуйте CAPTCHA: Якщо спроба входу виглядає підозрілою, система може вимагати від користувача ввести CAPTCHA або виконати іншу дію, щоб підтвердити, що запит надходить від людини, а не від автоматизованого бота.
Обмежуйте кількість спроб входу: Сервіси повинні блокувати ботів, які намагаються виконати велику кількість входів за короткий проміжок часу. Сучасні боти можуть змінювати IP-адреси, щоб маскувати свої спроби “заповнення облікових даних”.
Слабкі паролі та, відверто кажучи, погано захищені онлайн-системи, які занадто легко зламати, роблять “заповнення облікових даних” серйозною загрозою для безпеки облікових записів в інтернеті. Не дивно, що багато технологічних компаній прагнуть побудувати більш безпечний світ без паролів.