Всього 500 мільйонів облікових записів Zoom для продажу в темній мережі завдяки «заповненню посвідчень». Для злочинців це поширений спосіб зламати акаунти в Інтернеті. Ось що насправді означає цей термін і як ви можете захистити себе.
Починається з витоку баз паролів
Атаки на онлайн-сервіси поширені. Злочинці часто використовують недоліки безпеки в системах, щоб отримати бази даних імен користувачів і паролів. Бази даних вкрадених облікових даних часто продаються в Інтернеті в темній мережі, при цьому злочинці платять біткойнами за привілей доступу до бази даних.
Припустимо, у вас був обліковий запис на форумі Avast, який був порушено ще в 2014 році. Цей обліковий запис зламано, і злочинці можуть отримати ваше ім’я користувача та пароль на форумі Avast. Avast зв’язався з вами і попросив змінити пароль на форумі, то в чому проблема?
На жаль, проблема в тому, що багато людей повторно використовують ті самі паролі на різних веб-сайтах. Скажімо, ваші дані для входу на форум Avast були «[email protected]» і «Дивовижний пароль». Якщо ви увійшли на інші веб-сайти з тим самим ім’ям користувача (вашою адресою електронної пошти) і паролем, будь-який злочинець, який отримає ваші паролі, що витоку, може отримати доступ до цих інших облікових записів.
Наповнення посвідчення в дії
«Наповнення облікових даних» передбачає використання цих баз даних з витоком даних для входу та спробу ввійти з ними в інші онлайн-сервіси.
Злочинці беруть великі бази даних з витоками комбінацій імен користувача та паролів — часто мільйони облікових даних для входу — і намагаються ввійти з ними на інших веб-сайтах. Деякі люди повторно використовують той самий пароль на кількох веб-сайтах, тому деякі збігаються. Зазвичай це можна автоматизувати за допомогою програмного забезпечення, швидко спробуючи багато комбінацій для входу.
Для чогось настільки небезпечного, що звучить настільки технічно, ось і все — спробувати вже витоку облікових даних в інших службах і побачити, що працює. Іншими словами, «хакери» заповнюють усі ці облікові дані у форму входу і дивляться, що станеться. Деякі з них обов’язково спрацюють.
Сьогодні це один із найпоширеніших способів «злому» онлайн-рахунків. Тільки в 2018 році мережа доставки контенту Акамай зареєстрував майже 30 мільярдів атак із заповненням облікових даних.
Як захистити себе
Захистити себе від заповнення облікових даних досить просто і передбачає дотримання тих самих методів захисту паролів, які експерти з безпеки рекомендували роками. Немає ніякого чарівного рішення — лише гарна гігієна пароля. Ось порада:
Уникайте повторного використання паролів: використовуйте унікальний пароль для кожного облікового запису, який ви використовуєте в Інтернеті. Таким чином, навіть якщо ваш пароль витікає, його не можна буде використовувати для входу на інші веб-сайти. Зловмисники можуть спробувати заповнити ваші облікові дані в інші форми входу, але вони не спрацюють.
Використовуйте диспетчер паролів. Запам’ятати надійні унікальні паролі – майже неможливе завдання, якщо у вас є облікові записи на багатьох веб-сайтах, і майже у всіх є. Ми рекомендуємо використовувати менеджер паролів, наприклад 1Пароль (оплачено) або Bitwarden (безкоштовно з відкритим вихідним кодом), щоб запам’ятати ваші паролі. Він навіть може генерувати ці надійні паролі з нуля.
Увімкнути двофакторну автентифікацію: при двоетапній автентифікації ви повинні надати щось інше, наприклад код, згенерований програмою або надісланий вам через SMS, щоразу, коли ви входите на веб-сайт. Навіть якщо зловмисник має ваше ім’я користувача та пароль, він не зможе увійти у ваш обліковий запис, якщо у нього немає цього коду.
Отримуйте сповіщення про витоку пароля: за допомогою такої служби Мене обдурили?, ви можете отримати сповіщення, коли ваші облікові дані з’являться у витоку.
Як служби можуть захистити від заповнення облікових даних
Хоча окремі особи повинні взяти на себе відповідальність за безпеку своїх облікових записів, онлайн-сервіси можуть захищатися від атак із заповненням облікових даних.
Скануйте витоку бази даних на наявність паролів користувачів: Facebook і Netflix відскановано витоку баз даних для паролів, перехресних посилань на них з обліковими даними для входу у власні служби. Якщо є збіг, Facebook або Netflix можуть запропонувати власному користувачеві змінити свій пароль. Це спосіб перебити повноважень.
Пропонуйте двофакторну автентифікацію: користувачі повинні мати можливість увімкнути двофакторну автентифікацію, щоб захистити свої облікові записи в Інтернеті. Особливо чутливі служби можуть зробити це обов’язковим. Вони також можуть попросити користувача натиснути посилання для підтвердження входу в електронному листі, щоб підтвердити запит на вхід.
Вимагати CAPTCHA: якщо спроба входу виглядає дивною, служба може вимагати введення коду CAPTCHA, що відображається на зображенні, або натискання іншої форми, щоб підтвердити, що людина, а не бот, намагається ввійти.
Обмежте повторні спроби входу: служби повинні намагатися заблокувати ботів від великої кількості спроб входу за короткий період часу. Сучасні складні боти можуть намагатися ввійти з кількох IP-адрес одночасно, щоб замаскувати свої спроби наповнення облікових даних.
Погані методи паролів — і, чесно кажучи, погано захищені онлайн-системи, які часто надто легко скомпрометувати — роблять введення облікових даних серйозною небезпекою для безпеки облікового запису в Інтернеті. Не дивно, що багато компаній у галузі технологій хочуть побудувати більш безпечний світ без паролів.