Оскільки сучасні веб-ресурси та програми часто вимагають від користувачів створення унікальних логінів, що включають ім’я користувача та пароль, виникає спокуса використовувати один і той же набір даних для авторизації на різних платформах.
Згідно з дослідженням SpyCloud, яке проаналізувало понад 15 мільярдів скомпрометованих даних авторизації, виявлених на підпільних ресурсах, 65% зламаних паролів застосовувались щонайменше для двох акаунтів.
Для користувачів, які схильні до повторного використання своїх ідентифікаційних даних на різних платформах, це може здаватися ефективним способом уникнення забуття паролів. Проте, насправді, це створює велику загрозу безпеці.
У випадку компрометації однієї з систем та витоку ідентифікаційних даних, усі інші облікові записи, що використовують ті самі дані, опиняються під загрозою злому. Варто пам’ятати, що скомпрометовані дані продаються за низькою ціною у даркнеті, що робить вас легкою мішенню для атак із використанням викрадених облікових даних.
Атаки з використанням вкрадених даних авторизації полягають у тому, що зловмисники застосовують отримані імена користувачів та паролі до різних облікових записів в Інтернеті, намагаючись отримати несанкціонований доступ.
Наприклад, якщо зловмисник отримав доступ до вашого логіну та паролю від облікового запису Twitter, він може використовувати їх для спроби входу до вашого рахунку PayPal.
Якщо ви використовуєте ідентичні дані для входу в Twitter та PayPal, то ваш рахунок у PayPal буде скомпрометовано через порушення безпеки вашого Twitter-акаунта.
У випадку, коли ви використовуєте свої дані авторизації з Twitter на кількох онлайн-ресурсах, усі ці облікові записи піддаються ризику компрометації. Подібні атаки відомі як атаки з використанням вкрадених даних, і вони базуються на тому, що багато користувачів використовують ідентичні дані для доступу до різних онлайн-платформ.
Зловмисники, які використовують такі атаки, зазвичай застосовують автоматизовані боти для масштабування процесу. Це дає їм змогу опрацьовувати велику кількість викрадених даних та націлюватись на різні онлайн-платформи. Оскільки скомпрометовані дані потрапляють у відкритий доступ через витоки та продаж у даркнеті, цей вид атак стає все більш поширеним.
Як працюють атаки з використанням вкрадених даних авторизації
Атака починається з отримання скомпрометованих даних авторизації. Ці імена користувачів і паролі можуть бути придбані у даркнеті, викрадені з баз даних менеджерів паролів, або отримані внаслідок витоку даних та фішингових атак.
Наступний етап – налаштування ботів для перевірки цих викрадених даних на різних веб-ресурсах. Автоматизовані боти є головним інструментом для таких атак, оскільки вони можуть швидко та непомітно перевіряти великі масиви даних на різних платформах.
За допомогою ботів зловмисники можуть уникнути блокування IP-адреси після численних невдалих спроб входу.
Під час таких атак паралельно із процесом перевірки даних авторизації запускаються автоматизовані процеси відстеження успішних входів. Таким чином, зловмисники легко отримують перелік даних, які працюють на певних ресурсах, та використовують їх для захоплення облікових записів.
Після отримання доступу до облікового запису, зловмисники можуть продати дані іншим кіберзлочинцям, викрасти особисту інформацію, вчинити крадіжку особистих даних, або використовувати обліковий запис для онлайн-покупок, якщо мова йде про банківський рахунок.
Чому атаки з використанням вкрадених даних є ефективними
Атаки з використанням викрадених даних вважаються не дуже успішними. Згідно зі звітом Insikt Group, середній рівень успішності таких атак становить від 1 до 3 відсотків.
Не дивлячись на це, компанія Akamai Technologies у своєму звіті за 2021 рік зазначила, що у 2020 році вони зафіксували 193 мільярди атак цього типу у всьому світі.
Причина великої кількості таких атак полягає у великій кількості скомпрометованих даних, доступних у відкритому доступі, та використанні розвинутих інструментів для ботів, які роблять ці атаки більш ефективними та складними для виявлення.
Наприклад, навіть якщо успішність атаки становить лише 1%, зловмисник, маючи 1 мільйон викрадених даних, може скомпрометувати до 10 000 облікових записів. Великі обсяги викрадених даних продаються у даркнеті, і їх можна використовувати для атак на різні платформи.
Саме ці великі обсяги скомпрометованих даних у поєднанні з тим, що люди продовжують використовувати одні і ті ж дані на багатьох онлайн-ресурсах, роблять такі атаки дуже ефективними.
Атаки з використанням вкрадених даних Vs. Атаки методом грубої сили
Хоча обидва типи атак спрямовані на захоплення облікового запису, вони відрізняються способом виконання. Open Web Application Security Project (OWASP) вважає, що атаки з використанням вкрадених даних є різновидом атак методом грубої сили.
Під час атаки методом грубої сили зловмисник намагається вгадати ім’я користувача та пароль. Зазвичай, це відбувається шляхом перебору якомога більшої кількості можливих комбінацій без попередньої інформації.
Для підбору паролів можуть використовуватися словники типових паролів або популярні комбінації, такі як Qwerty, password, або 12345. Атака грубою силою може бути успішною, якщо користувач використовує слабкий пароль або залишає стандартні системні паролі.
З іншого боку, атака з використанням вкрадених даних намагається отримати доступ до облікового запису, застосовуючи скомпрометовані дані, отримані з інших систем або акаунтів. Під час такої атаки дані не вгадуються. Успіх атаки залежить від того, чи використовує користувач одні й ті ж дані на різних онлайн-ресурсах.
Як правило, успішність атак грубою силою набагато нижча. Запобігти їм можна, використовуючи надійні паролі. Однак, використання надійних паролів не захистить від атак з використанням вкрадених даних, якщо один і той самий пароль використовується на кількох ресурсах. Унікальні ідентифікаційні дані для кожного облікового запису є запобіжником таких атак.
Як виявити атаки з використанням вкрадених даних
Зловмисники, які проводять атаки з використанням вкрадених даних, зазвичай використовують ботів, що імітують дії реальних людей. Часто буває важко відрізнити вхід, що здійснюється ботом, від дій справжнього користувача. Проте, існують ознаки, які можуть вказувати на наявність атаки.
Наприклад, раптове збільшення веб-трафіку повинно викликати підозру. У такому випадку, необхідно відслідковувати спроби входу на веб-сайт. Якщо ви помітите збільшення кількості спроб входу до різних акаунтів з багатьох IP-адрес або збільшення кількості невдалих спроб, це може бути ознакою атаки з використанням вкрадених даних.
Іншою ознакою є скарги користувачів про блокування їхніх облікових записів або отримання сповіщень про невдалі спроби входу, яких вони не здійснювали.
Крім того, необхідно відслідковувати діяльність користувачів. Якщо ви помітите нетипову активність, наприклад зміни у налаштуваннях, профілі, грошові перекази чи онлайн-покупки, це також може бути ознакою атаки з використанням вкрадених даних.
Як захиститися від атак з використанням вкрадених даних
Існує декілька методів, які допоможуть вам не стати жертвою атак з використанням вкрадених даних. Зокрема:
#1. Уникайте повторного використання одних і тих самих даних на різних ресурсах
Атаки з використанням вкрадених даних залежать від того, чи використовує користувач одні й ті ж дані для різних облікових записів. Цього можна уникнути, використовуючи унікальні дані для кожного облікового запису.
Використовуючи менеджери паролів, наприклад Google Password Manager, користувачі можуть створювати унікальні та надійні паролі, не турбуючись, що вони їх забудуть. Компанії також можуть сприяти цьому, забороняючи використання електронної пошти в якості імені користувача. Це спонукає користувачів використовувати різні ідентифікаційні дані на різних платформах.
#2. Використання багатофакторної аутентифікації (MFA)
Багатофакторна аутентифікація (MFA) передбачає використання декількох методів для підтвердження особи користувача під час спроби входу. Це можна реалізувати шляхом поєднання традиційних методів авторизації з використанням імені користувача та пароля разом із секретним кодом, який надсилається користувачам електронною поштою або SMS. Це дуже ефективно для запобігання атакам з використанням вкрадених даних, оскільки додає додатковий рівень захисту.
Ви можете отримати сповіщення про спробу зламу вашого облікового запису, навіть не надсилаючи відповідного запиту на вхід. Дослідження Microsoft показали, що використання MFA зменшує ймовірність компрометації облікового запису на 99,9 відсотків.
#3. Відбитки пристрою
Відбитки пристрою використовуються для прив’язки доступу до онлайн-облікового запису до конкретного пристрою. Вони ідентифікують пристрій за допомогою таких параметрів, як модель, номер пристрою, операційна система, мова, країна тощо.
Створюється унікальний відбиток пристрою, який потім пов’язується з обліковим записом користувача. Доступ до облікового запису з іншого пристрою буде неможливий без дозволу пристрою, прив’язаного до облікового запису.
#4. Моніторинг витоку паролів
Під час створення імені користувача та пароля на онлайн-платформі, дані можна порівняти з базами даних витоків паролів. Це допомагає запобігти використанню скомпрометованих даних.
Організації можуть використовувати рішення, що відстежують витоки даних користувачів у даркнеті та сповіщають користувачів про відповідні збіги. Користувачам може бути запропоновано підтвердити свою особу, змінити свої дані та увімкнути MFA для додаткового захисту своїх облікових записів.
#5. Хешування облікових даних
Передбачає шифрування даних користувача перед їх збереженням у базі даних. Це допомагає захистити дані від несанкціонованого використання у разі порушення безпеки систем, оскільки вони будуть зберігатися у форматі, який неможливо використовувати.
Хоча це не є абсолютно надійним методом, він може дати користувачам час для зміни паролів у разі витоку даних.
Приклади атак з використанням вкрадених даних
Нижче наведено декілька відомих прикладів атак із використанням вкрадених даних:
- Викрадення понад 500 000 облікових даних Zoom у 2020 році. Ця атака використовувала дані, отримані з різних форумів у даркнеті, які були викрадені ще у 2013 році. Викрадені дані від Zoom продавалися у даркнеті за низькою ціною.
- Компрометація тисяч облікових записів користувачів Канадського агентства доходів (CRA). У 2020 році близько 5500 облікових записів CRA було зламано внаслідок двох окремих атак. Користувачі втратили доступ до послуг, що надаються CRA.
- Злам 194 095 облікових записів користувачів The North Face. Компанія, що продає спортивний одяг, зазнала атаки у липні 2022 року. Внаслідок атаки були викрадені повні імена користувачів, номери телефонів, стать, бали лояльності, адреси для виставлення рахунків та доставки, дати створення облікових записів та історія покупок.
- Атака Reddit у 2019 році. Багато користувачів втратили доступ до своїх акаунтів через те, що їхні дані були скомпрометовані в результаті атаки з використанням вкрадених даних.
Ці випадки наголошують на важливості захисту від подібних атак.
Висновок
Можливо, ви зустрічали продавців облікових записів для потокових сервісів, таких як Netflix, Hulu та Disney+, або онлайн-сервісів, таких як Grammarly, Zoom та Turnitin. Як ви вважаєте, звідки продавці отримують дані для доступу?
Такі дані найчастіше отримують через атаки з використанням вкрадених даних. Якщо ви використовуєте одні і ті ж дані на різних онлайн-ресурсах, настав час змінити їх, щоб не стати жертвою злому.
Для додаткового захисту активуйте багатофакторну аутентифікацію для всіх своїх облікових записів в Інтернеті та уникайте купівлі скомпрометованих даних, оскільки це створює сприятливе середовище для атак з використанням вкрадених даних.