Blogg

Credential stuffing attacker förklaras (och några nya exempel)

Credential stuffing attacker förklaras (1)



Credential stuffing-attacker blir allt vanligare och utgör betydande hot mot internetsäkerheten. I dessa attacker,hackare tar uppsättningar av referenser som har läckt ut genom dataintrångeller på annat sätt, försök sedan använda dessa referenser för att logga in på en användares andra konton.

Credential stuffing-attacker automatiseras och utförs i skala, vilket gör strävan mycket mer lönsam än om någon någonsin försökt göra det manuellt.



Närhelst du hör om ett större dataintrång som inkluderar användarlösenord, kan offren få dessa läckta referenser som används mot dem i en autentiseringsattack.Användarnamn och deras matchande lösenord kan också förvärvas genom nätfiske eller i man-in-the-middle-attacker.

Autentiseringsuppgifter har en relativt hög framgångsfrekvens eftersom användare ofta inte inser att deras autentiseringsuppgifter har läckt ut i ett brott. Även om de gör det är de ofta långsamma med att byta lösenord eller bryr sig inte ens.



När du lägger till den genomgripande vanan att använda samma lösenord för flera konton, lämnar ett stort antal internetanvändare sig öppna för förödande och omfattande attacker. I den mest extrema änden av skalan,legitimationsfyllning kan resultera i identitetsstöldoch betydande ekonomiska förluster, vilket skapar förödelse i offrets liv.

Även om inloggningsuppgifter ofta ses i massattacker mot internetanvändare, är det också ett betydande hot när tidigare exponerade autentiseringsuppgifter används för att få privilegierad tillgång till en organisations system. När hackare väl har tagit sig in kan de stjäla data eller starta andra kriminella kampanjer.

Hur stort är hotet om legitimationsstoppning?

Credential stuffing har blivit en otroligt vanlig attack, med Smart spelade in 30 miljarder försök under 2018. Detta ligger i genomsnitt på 115 miljoner försök varje dag , även om Akamai spelade in flera dagar där attacksiffrorna nådde en topp på över 250 miljoner.

In Shape Security's 2018 Credential Spill Report , rapporterades framgångsfrekvenser på mellan 0,02 procent och nästan en procent för sofistikerade attackgrupper. De som försöker fylla på meriter med mindre kunskaper och äldre meriter har en mycket lägre framgångsfrekvens.

Trots den till synes låga framgångsgraden gör den stora omfattningen av inloggningsuppgifter det otroligt effektivt för hackare och förödande kostsamt för användare och företag. Enligt a 2017 års rapport från Shape Security, autentiseringsattacker kostar amerikanska företag över 5 miljarder dollar varje år .

De första datastölderna som leder till inloggningsfyllning kan påverka nästan alla organisationer som lagrar användarinformation digitalt . Under de senaste åren har dataintrång drabbat många av de största globala varumärkena och otaliga mindre företag.

När autentiseringsuppgifterna väl har stulits, ses attacker med inloggningsfyllning inom en mängd olika sektorer, särskilt detaljhandel, videostreaming, annan underhållning, bank, hotell och flygbolag.

A 2017 Pokémon institutets rapport upptäckte att bland de företag som var inblandade i undersökningen inträffade attacker med inloggningsuppgifter i genomsnitt 12,7 gånger varje månad. Den fann att i var och en av dessa attacker, hackare riktade sig mot i genomsnitt 1 252 användarkonton .

På grund av de tusentals dataintrång som har inträffat under de senaste decennierna, svävar nu miljarder unika uppsättningar av användaruppgifter runt olika delar av internet. Med all sannolikhet har du förmodligen flera kombinationer av användarnamn och lösenord tillgängliga för hackare.

I början av 2019 släpptes en massiv samling av referenser från tidigare intrång. Känd som Samlingar #1-5 , den första utgåvan innehöll en uppskattad 773 miljoner unika e-postmeddelanden och 21 miljoner lösenord medan de efterföljande fyra samlingarna hade 2,2 miljarder unika e-postmeddelanden. Det är inte klart om det finns en överlappning mellan de två datadumparna.

Även om detta är första gången som så många uppsättningar av användarnamn och lösenord har samlats, hade den överväldigande majoriteten redan läckt ut tidigare. En del av det var nytt, med samling #1 som innehöll cirka 10 miljoner tidigare osynliga lösenord.

Credential stuffing kontra brute forcering

Credential stuffing har dykt upp som ett mycket mer praktiskt sätt att bryta sig in på användarkonton än genom brute force. I en brute force-attack går hackare helt enkelt igenom alla möjliga lösenordskombinationer tills de snubblar på rätt.

Även om det kan verka jobbigt, gör listor över de mest populära lösenorden och ordboksattackerna processen mycket snabbare än ren trial and error. Ju mer sofistikerat en användares lösenord, desto längre tid tar det och desto mer kostar det att knäcka det.

Användare har långsamt lyssnat på uppmaningen att göra sina lösenord längre och mer komplexa. Medan många människor använder fortfarande hemska lösenord , denna långsamma förbättring gör brute-forcering svårare. De flesta webbplatser har också åtgärder för att upptäcka misstänkt inloggningsaktivitet och antingen begränsa antalet gissningar eller blockera konton efter flera misslyckade försök.

Men hackare är ett kunnigt gäng och har i allt högre grad förlitat sig på meriter i stället. Det kan vara ett mycket effektivare sätt att förbruka resurser än brute-forcing eftersom även relativt korta lösenord kan ta hundratals miljarder gissningar att knäcka om de skapades på rätt sätt.

Medan framgångsfrekvensen för meritförteckning (uppskattningar varierar, men Shape Security rapport listade en framgångsfrekvens på en procent för sina mest sofistikerade angripare) kan tyckas lågt, det är oerhört effektivt jämfört med brute forcering.

Credential stuffing-attacker är också mycket svårare att upptäcka och blockera eftersom de involverar distribuerade försök att logga in på ett stort antal olika konton, snarare än upprepade inloggningsförsök för ett enskilt konto. Det senare aktivitetsmönstret gör brute force-attacker lätta att känna igen och enkla att blockera.

Var får angripare referenser ifrån?

Inloggningsuppgifter kan tas genom nätfiske, man-in-the-middle-attacker och via andra taktiker, men det bästa sättet att skaffa dem i bulk är genom att penetrera ett företags system och komma åt dess databaser .

Sofistikerade cyberkriminella grupper strövar runt i olika organisationer och letar efter sårbarheter som de kan utnyttja för att få tillgång. Om säkerheten är exceptionellt dålig kan scriptkidies och mindre hackare kanske också arbeta sig in. De söker sedan upp värdefulla databaser och exfiltrerar data.

Om lösenord har lagrats säkert kommer de förmodligen att vara värdelösa. Men när hackare stöter på lösenord som lagrats som klartext eller använde dåliga hash- och saltningsprocesser, har de slagit guld.

Stulna referenser är mest värda när de är färska . I det här skedet har användare inte haft möjlighet att ändra sina lösenord. Ju längre hackare kan hålla stölden dold för det drabbade företaget, desto längre kommer inloggningsuppgifterna att behålla sitt värde. Det är därför sofistikerade grupper försöker agera smygande och undvika upptäckt.

Enligt Shape Security , i fall där kompromissdatum kunde härledas (i en tredjedel av överträdelserna kunde organisationen inte avgöra när kompromissen inträffade) upptäcktes hälften av alla legitimationsstölder inom fyra månader, men eftersom upptäckt tar år i en minoritet av fallen , det sträcker ut den genomsnittliga tiden till 15 månader.

När lösenord först stjäls kan angriparna och deras nära medarbetare vara de första som utnyttjar dem – trots allt, detta är det stadium då referenserna är mest lönsamma . När de väl har använt dem kan de sedan försöka sälja dem för att tjäna ännu mer pengar på attacken. Alternativt kan de välja att ladda ner referenserna direkt, antingen till kriminella kontakter, på mörka webbmarknader eller genom hackingforum.

Priset på inloggningsuppgifter kommer att variera beroende på ett antal faktorer. Dessa inkluderar:

  • Åldern på legitimationen .
  • Huruvida intrånget har offentliggjorts .
  • Om inloggningsuppgifterna har verifierats .
  • Om referenserna kommer med en garanti – Ja, det stämmer, vissa kunniga kriminella företag erbjuder till och med en garanti för att meriter kommer att fungera. Om inte kommer de att skicka ut ersättare till köparen.
  • Säljarens rykte – Om en säljare är okänd är det mindre troligt att de blir betrodda, så de kanske inte kan få ett högt pris.
  • Där inloggningsuppgifterna säljs – privat försäljning, hackingforum och mörka webbmarknader har var och en sina egna priser.
  • Antalet inloggningsuppgifter i paketet .
  • Typen av konto de ger åtkomst till .
  • Mängden tillgängliga medel på ett konto (om tillämpligt).

Om autentiseringsuppgifterna redan har verifierats är de redo för angripare att använda (se Vad händer när inloggningsuppgifterna har verifierats sektion). Overifierade referenser måste kontrolleras först, och kommer att säljas till en mycket lägre kostnad.

Ett nytt bankkonto med mycket pengar kommer att säljas för ett högt pris om det har verifierats av en ansedd säljare, medan en uppsättning av obekräftade uppgifter med lågt värde kan kosta under en cent. I den höga delen, referenser säljs för $190 styck eller mer. I det lägre intervallet, a Netflix-konto som garanterat håller i en vecka kan säljas för runt $0,25.

Ett bulkpaket av 3,8 miljarder overifierade referenser erbjöds för $2 999, men det är okänt hur färska eller värdefulla dessa är. Med tanke på det relativt låga priset per referens och det stora antalet är de flesta förmodligen ganska gamla och skulle ha en låg framgångsfrekvens.

Med tiden förlorar uppsättningar av referenser sitt värde . Företaget kan ha upptäckt intrånget, eller så har det gått så lång tid att den överväldigande majoriteten av användarna har ändrat sina lösenord. Så småningom kan data bubbla upp till ytan och till och med vara tillgänglig gratis, men i detta skede kommer framgångsfrekvensen att vara betydligt lägre.

Vad händer när en angripare skaffar sig overifierade referenser?

En angripare kan ha stulit autentiseringsuppgifterna själv, skaffat dem från en hackare, köpt dem på den mörka webben eller till och med skaffat billiga autentiseringsuppgifter gratis. När de väl har dem, nästa steg är att starta attacken . Det finns flera olika tillvägagångssätt som en attack kan ta. Det bästa alternativet beror på angriparens skicklighet, sofistikering, tidsgräns och resurser.

Bygga eller köpa attackprogramvara

När autentiseringsuppgifter finns till hands, behöver angripare också programvara för att automatisera försöken att fylla på autentiseringsuppgifter, samt proxyservrar för att starta attackerna från olika IP-adresser. De mest avancerade angriparna kommer att skriva sina egna skript för att starta attacken, medan andra kommer att använda redan existerande programvara.

Fördelen med att skapa ett nytt skript är att det är svårare för målwebbplatserna att upptäcka och blockera, vilket gör attacken mer sannolikt att lyckas. Det ger extra ansträngning till attacken, men det kan också löna sig i längden. Alternativt kan en wannabe-referens-förare köpa en mängd olika program för att göra jobbet åt dem.

Verktygen varierar enormt. I ena änden finns det autentiseringsfyllning-som-en-tjänst, som fungerar ungefär som vilken annan omfattande mjukvara-som-en-tjänst. Dessa checkertjänster gör uppgiften enkel och öppnar upp meritförteckningar för dem utan några betydande tekniska färdigheter.

Med en kontrolltjänst behöver en angripare bara en lista med användarnamn och lösenord . De skickar in det till tjänsten och betalar sedan operatören ett par cent för varje framgångsrikt validerad referens.

Dessa tjänster tenderar att vara platsspecifika och finns bara för organisationer som har stora användarbaser – det är inte ekonomiskt lönsamt att bygga dessa pjäser för mindre populära webbplatser. Trots deras brist på variabilitet gör de meritförteckningen så enkel som möjligt, eftersom dessa tjänster tar också hand om fullmakterna .

Om en angripares färdigheter hamnar någonstans däremellan kan de köpa en onlineverktygslåda istället för att utveckla programvaran själva. Dessa verktyg har sin egen livscykel , och när mer sofistikerade verktyg först utvecklas säljs de ofta på avancerade marknadsplatser till högre kostnader. När ett verktyg är nytt är det mer sannolikt att det undviker de upptäcktsmekanismer som webbplatser använder, vilket motiverar det högre priset.

När verktyg åldras sjunker deras pris och de introduceras på massmarknaden. Många olika verktyg erbjuds som: Black Bullet, Private Keeper, SENTRY, SNIPR, WOXY och STORM. Grundpaket kan intervall i pris från cirka $5 per konfigurationsfil (Sentry MBA), till $50 för att köpa programvaran direkt (Black Bullet), även om mer avancerade alternativ också finns tillgängliga.

De individuella funktionerna varierar mellan programmen, men många av dem har snygga användargränssnitt, erbjuder anständig kundsupport, CAPTCHA-bypass och Javascript-anti-bot-utmaningar.

Hyra fullmakter

Om inte en angripare använder en kontrolltjänst, de kommer också att behöva ombud för att starta attacken . Om en angripare skulle försöka fylla på autentiseringsuppgifter från en enda IP-adress, skulle de snabbt upptäckas och blockeras. Proxies distribuerar inloggningsförsöken, vilket hjälper till att lura de försvarsmekanismer som sajter har på plats.

Gratis proxyservrar är ett alternativ, men de är långsamma och det är osannolikt att de fungerar. Betalda proxyservrar erbjuder ett annat alternativ, men det bästa valet är att gå med ett botnät. Botnät består i allmänhet av datorer som har infekterats med skadlig programvara, dåligt säkrade IoT-enheter som routrar och säkerhetskameror eller servrar som har tagits över. Inloggningsförsök sker via dessa komprometterade enheter.

Dessa botnät är relativt billiga att hyra , och de kan lätt hittas på hackingforum och på den mörka webben. Priset beror på hur många värdar som ingår och var de är laddade, men ett litet botnät kan hyras för mindre än $50 .

Vad händer när användaruppgifterna har verifierats?

När hackare har fått sina referenser och ställt in verifieringsprocessen genom antingen en checkertjänst eller programvara och ett proxy-botnät, kan de i princip luta sig tillbaka och vänta medan programmet automatiskt validerar kontona.

Efter att deras autentiseringslista har körts igenom kommer de att sluta med ett mycket mindre antal autentiseringsuppgifter som fortfarande ger åtkomst till kontot. I det här skedet har cyberbrottslingar flera olika tillvägagångssätt att välja mellan för att tjäna pengar på kontona.

Det enklaste alternativet är att bara sälja dem i bulk , antingen till sina kriminella medarbetare, genom hackingforum eller på mörka webbmarknader. Detta innebär minsta möjliga arbete, men det kan också lämna mycket pengar på bordet.

Försäljningspriset för ett verifierat eBay-konto kommer att variera, men det har de varit listad för cirka $10 innan. Detta konto kan potentiellt ge hundratals eller tusentals dollar i vinst, men att göra det innebär mer risk och ansträngning . Om en angripare klarar av det kan de dra fördel av sina konton själva och maximera sin vinst. Annars går möjligheten till den som köper den.

Konton kan missbrukas på flera olika sätt. Det bästa alternativet beror på den unika situationen, angriparens färdigheter och kontotypen. Valen inkluderar:

  • Att stjäla alla pengar som kan finnas på kontot eller göra bedrägliga köp med det.
  • Använda kontodata för att begå identitetsstöld, såsom försäkringsbedrägerier eller registrera dig för kreditkort.
  • Utnyttja åtkomst för att infiltrera ett företags system och stjäla mer data.
  • Använda personlig information för att begå andra brott.

Senaste autentiseringsattacker

Credential stuffing är en vanlig typ av attack som många populära varumärken har fastnat för. Några exempel på senare tid inkluderar:

Superdrug

2018 var den brittiska kosmetikaåterförsäljaren kontaktade av hackare som påstod sig ha kontodata för 20 000 av sina kunder. Hackarna begärde lösensumma från företaget, men när de lämnade över uppgifterna om 386 kunder ledde förundersökningen företaget att tro att uppgifterna hade varit förvärvad genom inloggningsfyllning snarare än ett dataintrång .

Det verkar som att hackarna hade tagit data från intrång i andra organisationer och använt dem för att avslöja inloggningarna för ett litet antal Superdrug-kunder. Superdrugs uttalande hävdade att en oberoende bedömning inte fann något brott mot deras system, och företaget vägrade att betala en lösen till hackarna.

Superdrug informerade de berörda användarna och rekommenderade att de ändrade sina lösenord.

Uber

credential-stuffing-2

Uber-logotyp av Uber Technologies Inc. licensierad under CC0

Uber straffades hårt efter sitt bedrägeri över ett dataintrång som inträffade 2016. Företaget bötfälldes totalt med 1,2 miljoner dollar från separata tillsynsmyndigheter i Storbritannien och Nederländerna, även om båda påföljderna berodde på samma incident.

En utredning från Storbritanniens informationskommissionärs kontor (ICO) hittade det en angripare fick tillgång till Ubers datalagring genom inloggningsfyllning . De använde en Uber-anställds tidigare exponerade referenser från andra webbplatser för att komma åt deras GitHub-konto.

Väl inne på det här kontot hittade angriparen inloggningsuppgifter till Amazon Web Service S3-hinkar där Ubers data lagrades. Detta gjorde det möjligt för dem att stjäla data för 57 miljoner Uber-användare, inklusive både förare och förare.

Angriparna nådde sedan ut till Uber och krävde en betalning på 100 000 $ för information om hur de kunde komma åt S3-hinkarna. Uber betalade, vilket fick betalningen att verka som om den var en del av deras bug-bounty-program, men det gjorde inte saken helt offentlig.

Det slutade inte med att företaget avslöjade detaljerna om intrånget förrän ungefär ett år senare, i slutet av 2017. Hackincidenten och dess resulterande mörkläggning ledde till att Uber straffades av flera olika skäl – för dålig säkerhetspraxis, för sen anmälan , och för att ha varit vilseledande när det gäller den så kallade bugglönen.

HSBC

Under 2018 meddelade HSBC några av sina kunder att de var offer för ett dataintrång. Angriparna stal namn, kontonummer, telefonnummer, transaktionshistorik, födelsedatum, kontosaldon, adresser, e-postadresser och mer.

Enligt FastCompany , påverkade överträdelsen mindre än en procent av bankens 1,4 miljoner kunder i USA. De drabbade parterna erbjöds ett års kreditövervakning och skydd mot identitetsstöld.

Intrånget skedde tydligen mellan den 4:e och 14:e oktober 2018, och legitimationsfyllning tillskrevs som inträdessätt . Det är troligt att nyckelanställda återanvände användarnamn och lösenord från andra konton som tidigare hade läckt.

Angriparna kunde ha använt dessa detaljer för att få privilegierad tillgång till HSBC:s system, vilket i sin tur skulle ha gjort det möjligt att stjäla data.

Reddit

I början av 2019, Reddit låste ut användare från sina konton efter att de misstänkte attacker med inloggningsuppfyllning. Reddits säkerhetsteam märkte ovanlig aktivitet från 'en stor grupp av konton', vilket det antog var mest troligt orsakad av inloggningsfyllning .

För att förhindra att kontona togs över låstes användarna ute och tvingade dem att återställa lösenorden innan kontona kunde återställas. Några av de drabbade användarna kommenterade att de använde unika och starka lösenord, samt tvåfaktorsautentisering.

Detta ledde till vissa spekulationer om att webbplatsen faktiskt kan ha upplevt säkerhetsproblem på sin egen sida och använde inloggningsfyllning som en ursäkt för att skylla på användare.

En alternativ förklaring är att Reddit kan ha beslutat att låsa och återställa lösenorden för alla konton som upplevde ett misstänkt inloggningsförsök, snarare än bara för de konton där inloggningsförsöken lyckades. Om så är fallet skulle antagandet av tvåfaktorsautentisering eller starka och unika lösenord vara irrelevant.

Daglig rörelse

Flera veckor efter Reddits säkerhetsincident blev DailyMotion-användare också offer för legitimationsfyllning . Videostreamingplattformen mailade en grupp användare för att informera dem om det angripare kan ha använt inloggningsfyllning för att komma åt sina konton .

Dess säkerhetsteam loggade ut användare som kan ha drabbats och skickade en länk till dem så att de kunde återställa sina lösenord. DailyMotion rapporterade också intrånget till de franska myndigheterna (sajten är baserad i Frankrike), som krävs enligt Europas nyligen antagna General Data Protection Regulation (GDPR).

Deliveroo

Kunder som använder Deliveroo, matleveranstjänsten, har fallit offer för legitimationsfyllning i flera år. Många av dessa attacker har fallit utanför Deliveroos kontroll, men på grund av vissa missförstånd har företaget fått orättvis kritik, vilket framgår av en artikel publicerad av Ny statsman .

Artikeln och dess omgivande kontrovers verkar vara uppbyggd kring missuppfattningar om legitimationsfyllning . Det verkar skylla Deliveroo för attacker som faktiskt orsakades av data som läckt från någon annanstans.

Från den allmänt tillgängliga informationen verkar det som om författaren till New Statesman-artikeln föll offer för inloggningsfyllning som ett resultat av att han återanvänt sitt lösenord från andra konton. Det finns inga bevis för att Deliveroo drabbats av ett intrång som resulterade i författaren eller någon annan parts bedrägliga köp.

Även om ett företag följer alla de bästa säkerhetsrutinerna, finns det inte mycket de kan göra för att förhindra att deras kunder återanvänder samma lösenord. De kan rekommendera unika lösenord allt de vill, men det är omöjligt för dem att tvinga användare att anta ett lösenord som är unikt för det kontot.

Medan artikeln citerar en advokat som säger att Deliveroo kan få straff enligt GDPR, verkar dessa uttalanden vara baserade på felaktiga antaganden om attackens karaktär. I skrivande stund tycks Deliveroo inte vara under någon offentlig utredning i samband med attackerna med legitimationsuppstoppning.

Basläger

Basecamp, den projektledningstjänst , också möttes av ett stort antal attacker i början av året . Dess säkerhetsteam märkte en enorm ökning i inloggningsförsök och försökte sedan blockera de misstänkta IP-adresserna i ett försök att förhindra attacken.

Det gjorde det också möjligt för CAPTCHA att stoppa flödet, men 124 konton var fortfarande framgångsrika tillgängliga. Plattformen loggade ut dessa användare och återställde lösenorden, skickade e-post till de som påverkades för att meddela dem, tillsammans med instruktioner om hur de kunde återaktivera sina konton.

En kraftigare attack slog till dagen efter, men den här gången lyckades den bara komma åt 89 konton. Basecamp svarade på samma sätt för att skydda sina användare. Det verkar som att dessa attacker bara var försök att validera användaruppgifterna, och angriparna verkar inte ha orsakat någon skada på kontona.

Om Basecamp inte hade reagerat så snabbt hade attackerna kunnat påverka ett mycket större antal konton, med allvarligare konsekvenser än ett enkelt lösenordsbyte för användarna.

TurboTax

TurboTax-kontoinnehavare var också inblandade i en credential stuffing attack i början av 2019. Det är inte känt hur många TurboTax-användare som drabbades, men dessa attacker var särskilt oroande på grund av den stora mängden personliga och ekonomiska uppgifter som fanns i företagets register.

Moderbolaget inaktiverade de berörda kontona tillfälligt och krävde att dessa användare skulle ringa eller mejla sin kundtjänst och verifiera sina identiteter innan de kunde återaktivera sina konton. Moderbolaget är erbjuda offren ett års kreditövervakning, identitetsstöldskydd och identitetsåterställningstjänster för att skydda användarna.

Det finns inget som tyder på att dessa attacker är ett resultat av ett dataintrång. Det verkar som att de drabbade kunderna bara var sårbara för attacken eftersom de återanvände sina lösenord på flera konton. Av allt att döma verkar TurboTax gå utöver vad gäller att erbjuda gratis skyddstjänster, med tanke på att attackerna inte orsakades av dess egna säkerhetsbrister.

Dunkin’ Donuts

legitimationsfyllning-3

Dunkin’ Donuts box av Hao dream-case licensierad under CC0

Credential stuffing har plågat Dunkin’ Donuts kontoinnehavare nyligen. Företaget rapporterade credential stuffing attacker mot sina kunder två gånger på tre månader . Den första incidenten inträffade i slutet av 2018, medan den andra var i januari 2019. Varje incident rapporterades offentligt ungefär en månad efter attacken.

Attackerna initierades med referenser hämtade från tidigare intrång, och ett uttalande från Dunkin’ Donuts avslöjade att 1 200 av dess 10 miljoner användare var påverkade. Offren fick meddelanden, fick sina lösenord återställda och återutgavs Dunkin'-kort. Företaget hävdar att dess system inte bröts in och att det varnat för attackerna med inloggningsuppgifter från dess säkerhetsleverantör.

Även om ett Dunkin' Donuts-konto kanske inte verkar vara den mest värdefulla ägodelen i hackningsundervärlden, såldes dessa konton faktiskt online. Brottslingar kan tjäna pengar på dem genom att antingen ta personlig information eller genom att missbruka Dunkin’ Donuts belöningssystem.

Hur man minimerar riskerna för autentiseringsattacker

Credential stuffing-attacker utgör ett betydande hot mot både vanliga internetanvändare och organisationer. Normala människor riskerar att få sina personuppgifter stulna, ge efter för identitetsstöld, att få bedrägliga köp på sina konton eller till och med få alla sina pengar uttagna.

Företag måste vara försiktiga med hackare som använder inloggningsfyllning för att få privilegierad åtkomst, vilket kan resultera i dataintrång eller andra attacker . De måste också göra sitt bästa för att skydda sina kunder. Som sågs i Deliveroo-exemplet ovanifrån, kan inloggningsfyllning se väldigt dålig ut för organisationer, även om attackerna inte är deras fel.

Människor är så vana vid dataintrång som orsakas av dålig organisationssäkerhet, och de flesta förstår inte de tekniska detaljerna för inloggningsuppfyllning. Detta gör det lätt för dem att ta fel och skylla sina egna dåliga lösenordspraxis på företaget. Oavsett vems fel det var, måste företag vara otroligt försiktiga med hur de närmar sig dessa situationer.

Minimera riskerna för att fylla i meriter för individer

Dataintrång kommer inte att försvinna inom kort, och även om de gjorde det har miljarder inloggningsuppgifter redan läckt ut online. Lyckligtvis finns det flera olika åtgärder du kan vidta för att avsevärt minska riskerna du står inför:

Använd unika lösenord för varje konto

Det viktigaste steget som användare kan ta för att skydda sig är att ställa in unika och starka lösenord för vart och ett av deras konton.

Med unik menar vi mer än bara en enda ändring av en bokstav, siffra eller symbol. 'Hunter1', 'Hunter2', 'Hunter3', etc. kommer helt enkelt inte att klippa det. För att skydda mot dessa och andra attacker måste dina lösenord vara avsevärt olika för vart och ett av dina konton, om inte helt original.

Det finns några olika tekniker för att lösa detta och andra lösenordsrelaterade problem. En av de enklaste är att använda en lösenordshanterare som KeePass eller LastPass. Med en lösenordshanterare, allt du behöver komma ihåg är ett enda huvudlösenord . Detta används för att låsa upp applikationen, som kan användas för att både generera och lagra unika och säkra lösenord för vart och ett av dina konton.

Att ställa in en lösenordshanterare och ändra alla dina lösenord kan ta lite ansträngning i början, men när allt är klart ger det utmärkt säkerhet mot inloggningsfyllning och andra attacker.

Om du insisterar på att använda samma eller liknande lösenord för vart och ett av dina konton trots varningen, betrakta det bara som en tidsfråga innan du faller offer för en av dessa attacker.

Var medveten om när din data har brutits

Du bör också hålla dig uppdaterad om de senaste dataintrången och ändra lösenord för alla konton som har påverkats, såväl som alla andra konton som använder samma lösenord (återigen, gör inte detta). Att följa de senaste nyheterna om dataintrång är en bra början, men det är ännu bättre att besöka har jag blivit pwned . Detta är en databas som upprättats av Troy Hunt, en säkerhetsforskare som har samlat in information från allmänt kända intrång.

Databasen låter dig sök med din e-postadress eller ditt lösenord för att se om det har varit inblandat i ett intrång . Du kan också registrera dig för att få ett e-postmeddelande om din data är inblandad i ett nyligen upptäckt intrång. Om du provar webbplatsens sökfunktion är oddsen att dina uppgifter kommer upp minst en gång. Om de gör det bör du ändra lösenordet för kontot omedelbart.

Om du har använt det här lösenordet för flera konton måste det ändras för alla för att skydda mot inloggningsfyllning. Som vi nämnde ovan är det enklaste sättet att administrera detta med en lösenordshanterare.

Om du har blivit utsatt för ett dataintrång kan du överväga det prenumerera på kreditövervakning och skydd mot identitetsstöld . En övervakningstjänst kommer att meddela dig om misstänkt aktivitet, medan identitetsstöldskydd försäkrar dig mot förluster.

Företag som bryter mot dem erbjuder ofta ett år av dessa tjänster till sina drabbade kunder gratis. Om du är ett offer och det ansvariga företaget erbjuder ett av dessa program, måste du vanligtvis registrera dig först. Det kommer att ge dig extra skydd, men se till att läsa det finstilta för att kontrollera vad du faktiskt omfattas av.

Annars kan du prenumerera på en av dessa tjänster själv, även om de kan sätta tillbaka $20 eller $30 varje månad. Alternativt kan du övervaka dina egna kreditupplysningar för misstänkt aktivitet.

Tvåfaktorsautentisering

En annan viktig skyddsåtgärd är att använd tvåfaktorsautentisering där det är möjligt. När tvåfaktorsmekanismer är på plats kommer hackare att behöva mer än bara ditt användarnamn och lösenord för att ta över ditt konto. De måste också klara den andra autentiseringsåtgärden.

Dessa kan inkludera mobilappar som Google Authenticator, fysiska säkerhetstokens och biometriska ingångar . SMS- och e-postautentisering är också populära typer av tvåfaktorsautentisering, men de är mycket mindre säkra än alternativen och bör endast väljas om de andra alternativen inte är tillgängliga.

Tvåfaktorsautentisering är inte idiotsäker. Angripare kan stjäla din säkerhetstoken eller fånga upp SMS-meddelanden, men att göra det är mycket svårare än att komma åt ett konto som inte är skyddat av dessa åtgärder.

I den överväldigande majoriteten av fallen kommer hackare inte bry sig om att försöka ta över ditt konto om de stöter på tvåfaktorsautentisering. De kommer helt enkelt att gå vidare till ett annat mål med svagare försvar.

Minimera risker för att fylla på autentiseringsuppgifter för organisationer

Organisationer står inför två direkta hot från inloggningsfyllning. Den första är att den kan användas till få tillgång till sina system och starta ytterligare attacker . Dessa inkluderar dataintrång som i några av exemplen ovan, såväl som ransomware-attacker eller stöld av immateriella rättigheter

Det andra stora hotet är att kunder drabbas av inloggningsfyllning kan skylla på en organisation , även om den verkliga orsaken är ett dataintrång från en tredje part och kunden efter dåliga rutiner för lösenordssäkerhet.

Även om detta kanske inte verkar vara en organisations ansvar, gör det potentiella negativa nedfallet det viktigt för företag att göra allt de kan för att försöka skydda kunderna i den här situationen.

Medvetenhet och utbildning

Den genomgripande vanan att återanvända lösenord gör attacker med inloggningsuppgifter så effektiva. För att förhindra att användare använder samma lösenord om och om igen, organisationer måste borra i farorna med lösenordsåteranvändning och inloggning i sina anställdas huvuden .

Det räcker inte att bara berätta för anställda att de behöver starka och unika lösenord. Människor har en tendens att inte lyssna om de inte förstår varför något är viktigt. Berätta för dina anställda vad återanvändning av lösenord kan leda till och ge dem verkliga exempel som visar de skadliga följderna.

Din organisation bör också utbilda sina anställda om alternativa lösenordstekniker . Att instruera människor att inte göra något utan att ge dem andra alternativ kommer definitivt att sluta dåligt. Istället bör ditt företag utbilda sina anställda i hur man använder lösenordshanterare eller hur man följer andra effektiva rutiner för lösenordsadministration.

Det är särskilt viktigt att betona dessa risker för anställda som har privilegierad tillgång. Administratörer och andra nyckelpersoner har tillgång till ett bredare utbud av ditt företags system. Om deras konton tas över av hackare kan det orsaka ännu mer skada än om andra konton nås av hackare. Det är därför dessa användare utsätter företaget för ännu större risk om de återanvänder lösenord.

Åtkomstkontroll

Att helt eliminera återanvändning av lösenord är svårt, eftersom ett företag inte kan veta om en anställd har använt samma lösenord någon annanstans. Även om utbildning kommer att räcka långt för att minimera riskerna för meriter, är det också viktigt att begränsa eventuella skador som kan komma från envisa anställda.

Organisationer borde följa principen om minsta privilegium . Det innebär att personalen endast ges tillgång till de system och resurser som de behöver för att utföra sitt arbete effektivt, inget mer. Om en anställds roll ändras, så bör även deras åtkomstbehörigheter. De bör ges tillgång till alla nya resurser som de behöver och begränsas från dem som de inte längre behöver.

Om ett företag följer denna princip noggrant kommer det att bidra till att begränsa eventuell skada som en angripare kan orsaka. Om en angripare tar sig in kommer de att ha betydligt minskad åtkomst jämfört med ett företag som inte följer principen. Att mura in angriparen kan antingen förhindra dataintrång eller göra dem mycket mindre skadliga.

Tvåfaktorsautentisering

Att implementera tvåfaktorsautentisering gör det betydligt svårare för angripare att ta över ett konto. Referera till Tvåfaktorsautentisering avsnitt ovan, under Minimera riskerna för att fylla i meriter för individer för vidare detaljer.

Övervakning och snabba åtgärder

Företag måste göra mer än att bara skydda sina interna konton från att tas över av legitimationsfyllning. De måste också göra sitt bästa för att skydda och stödja användare som faller offer för legitimationsfyllning , även om attacken inte är organisationens fel. Dessa missförstånd kan fortfarande leda till dålig press, så företag måste hantera dessa situationer så noggrant som möjligt.

Företag behöver övervakningssystem på plats för att upptäcka storskaliga autentiseringsattacker. Om de ser plötsliga toppar i inloggningsförsök eller andra ovanliga aktiviteter måste de försöka blockera alla misstänkta IP-adresser som de kan. Att implementera CAPTCHA kan också hjälpa till att begränsa dessa attacker.

Om en organisation upptäcker obehörig åtkomst bör den göra det tillfälligt låsa konton och återställa lösenorden . Det är viktigt att noggrant förklara problemet för de som drabbades och göra det enkelt för dem att skapa ett nytt lösenord och återaktivera sitt konto.

Om problemet inte förklaras tydligt och enkelt kan användarna sluta tro att företaget drabbats av ett intrång eller att det inte säkrade deras konto på rätt sätt.

Att upptäcka småskaliga autentiseringsattacker kan vara mycket svårare eftersom de inte orsakar samma toppar i kontoaktivitet. Om en organisation har effektiva övervakningsmekanismer på plats men inte kunde stoppa en attack med meriter, måste den vara försiktig med hur den hanterar situationen.

Även om attacken kan ha orsakats av kundens eget lösenordsåteranvändning och företaget kanske inte hade några rimliga åtgärder för att förhindra det, är det lätt för kunden att missförstå situationen och skylla på organisationen.

Om ett företag vill komma ur situationen oskadd, Det kan vara bäst att erbjuda gratis kreditövervakning och skydd mot identitetsstöld till de som drabbades, som TurboTax gjorde i exemplet ovan. Annars kan de hamna i orättvis negativ press, precis som Deliveroo.

Organisationer behöver omfattande säkerhet

Utöver de hot som nämnts ovan är organisationer också sårbara för dataintrång som gör attacker med inloggningsuppgifter möjliga i första hand. För både sina egna intressen (dataintrång kan vara extremt dyra) och för global säkerhet, bör företag följa bästa säkerhetspraxis för att minimera risken att drabbas av ett större intrång.

Utöver säkerhetsrutinerna som diskuterats ovan bör organisationer också:

  • Hash och salt lösenord på lämpligt sätt – Om ett företag lagrar lösenord som klartext kommer alla som kan komma åt databasen att kunna ta över kontona eller använda lösenorden i autentiseringsattacker mot andra plattformar. Det säkra alternativet är att endast lagra lösenordet hash för verifikation. Ett salt (i huvudsak ett slumpmässigt tal) måste tillsättas i förväg för att skydda mot regnbågsbordsattacker. Att följa dessa rutiner noggrant kan begränsa kostnaderna för ett dataintrång avsevärt – om stulna lösenord hashas kanske företag inte behöver meddela de som drabbats eller myndigheterna.
  • Utbilda anställda – Medarbetarna är en av de svagaste länkarna när det kommer till organisatorisk cybersäkerhet. Antingen genom okunnighet eller mänskliga misstag är de ansvariga för en betydande andel av attackerna. Företag måste ge sina anställda en omfattande cybersäkerhetsutbildning som är anpassad till de risker som de kan införa i företaget. Anti-phishing utbildning är en av de viktigaste delarna.
  • Uppdatera programvaran så snart som möjligt – Uppdatering introducerar inte bara nya funktioner. Utvecklare använder det också för att korrigera eventuella sårbarheter som har upptäckts. Organisationer som använder äldre versioner av programvara lämnar i princip sina dörrar öppna och bjuder in hackare. Den enklaste lösningen är att aktivera automatiska uppdateringar där det är möjligt, så att de senaste versionerna installeras utan krångel.

Om en organisation upptäcker ett intrång är det viktigt att reagera snabbt och försiktigt. Det första steget är att begränsa intrånget och sedan analysera det få en förståelse för vem och vad som har drabbats, samt svårighetsgraden .

Beroende på omständigheterna kan företag eller kanske inte behöva rapportera överträdelsen. Om de gör det är det viktigt att agera ansvarsfullt och göra det så snart som möjligt. Att försena aviseringen kan leda till rättsliga påföljder, precis som de som Uber överlämnades i exemplet ovanifrån.

Att försöka dölja ett intrång spelar också angriparna i händerna . Det tillåter dem att missbruka referenserna och maximera sin vinst innan användarna ens är medvetna om att deras data var inblandade i ett intrång.

Om ett företag menar allvar med att skydda sina användare och begränsa effekterna av ett intrång, måste det meddela dem så snart som möjligt och säga åt dem att ändra sina lösenord. Att erbjuda kreditövervakning och skydd mot identitetsstöld kan också hjälpa till att jämna ut saker och ting.

Det är också viktigt att uppmärksamma dem om farorna med att fylla med inloggningsuppgifter, så att de vet att de ska ändra lösenorden för andra konton om det behövs.

Om användare och företag som är utsatta för angrepp börjar ta inloggningsuppgifter på allvar, kan de hjälpa till att minimera hotet, såväl som de enorma förluster som det orsakar varje år.

Se även:

Hur man förhindrar DOS- och DDOS-attack

Hur man undviker falska attacker

^