Обяснение на атаките с пълнене на идентификационни данни (и някои скорошни примери)
Атаките с пълнене на идентификационни данни стават все по-често срещани, което представлява значителна заплаха за сигурността в интернет. При тези атаки,хакерите вземат набори от идентификационни данни, които са изтекли чрез пробиви на данниили други средства, след това се опитайте да използвате тези идентификационни данни, за да влезете в други акаунти на потребителя.
Атаките с пълнене на идентификационни данни са автоматизирани и се извършват в мащаб, което прави начинанието много по-изгодно, отколкото ако някой някога се е опитал да го направи ръчно.
Всеки път, когато чуете за голямо нарушение на данните, което включва потребителски пароли, жертвите може да се окажат тези изтекли идентификационни данни използвани срещу тях в атака с пълнене на идентификационни данни.Потребителските имена и техните съвпадащи пароли също могат да бъдат придобити чрез фишинг или при атаки 'човек по средата'.
Пълненето на идентификационни данни има сравнително висок процент на успех, тъй като потребителите често не осъзнават, че техните идентификационни данни са изтекли при пробив. Дори и да го направят, те често сменят паролите бавно или дори не си правят труда.
Когато добавите всеобхватния навик да използвате една и съща парола за множество акаунти, голям брой интернет потребители се оставят отворени за опустошителни и широкообхватни атаки. В най-крайния край на скалата,пълненето на идентификационни данни може да доведе до кражба на самоличности значителни финансови загуби, създаващи хаос в живота на жертвата.
Въпреки че пълнежът на идентификационни данни често се наблюдава при групови атаки срещу интернет потребители, това също е значителна заплаха, когато разкритите преди това идентификационни данни се използват за получаване на привилегирован достъп до системите на организацията. След като хакерите влязат вътре, те могат да откраднат данни или да започнат други престъпни кампании.
Колко голяма е заплахата от пълнене на идентификационни данни?
Пълненето на идентификационни данни се превърна в невероятно често срещана атака, с Умен записвайки 30 милиарда опита през 2018 г. Това е средно по 115 милиона опита всеки ден , въпреки че Akamai записа няколко дни, в които броят на атаките достигна връх от над 250 милиона.
В Shape Security Доклад за разливане на идентификационни данни за 2018 г , проценти на успех между 0,02 процента и почти един процент са докладвани за сложни групи за атака. Тези, които се опитват да пълнят идентификационни данни с по-ниски умения и по-стари идентификационни данни, имат много по-нисък процент на успех.
Въпреки привидно ниската степен на успех, самият мащаб на пълненето на идентификационни данни го прави невероятно ефективен за хакерите и опустошително скъп за потребителите и компаниите. Според а Доклад за 2017 г от Shape Security, атаките с пълнене на идентификационни данни струват на американския бизнес над 5 милиарда долара всяка година .
Първоначалните кражби на данни, които водят до пълнене на идентификационни данни може да засегне почти всяка организация, която съхранява потребителска информация цифрово . През последните няколко години нарушенията на данните засегнаха много от най-големите световни марки и безброй по-малки фирми.
След като идентификационните данни бъдат откраднати, атаките с пълнене на идентификационни данни се наблюдават в различни сектори, особено търговия на дребно, видео стрийминг, други развлечения, банкиране, хотели и авиокомпании.
А 2017 г доклад на Pokemon Institute установи, че от компаниите, участващи в проучването, атаките с пълнене на идентификационни данни са се случвали средно 12,7 пъти всеки месец. Установено е, че при всяка от тези атаки, хакерите са се насочили към средно 1252 потребителски акаунта .
Поради хилядите нарушения на данните, които се случиха през последните няколко десетилетия, милиарди уникални набори от потребителски идентификационни данни сега се носят из различни части на интернет. По всяка вероятност вероятно имате няколко комбинации от потребителски имена и пароли, достъпни за хакерите.
В началото на 2019 г. беше публикувана масивна колекция от идентификационни данни от предишни пробиви. Познат като Колекции #1-5 , първото издание съдържаше приблизително 773 милиона уникални имейла и 21 милиона пароли докато следващите четири колекции имаха 2,2 милиарда уникални имейла. Не е ясно дали има припокриване между двата изхвърляния на данни.
Въпреки че това е първият път, когато са събрани толкова много набори от потребителски имена и пароли, огромното мнозинство вече е изтекло преди това. Някои от тях бяха нови, с колекция №1, съдържаща около 10 милиона невиждани досега пароли.
Пълнене на идентификационни данни срещу грубо форсиране
Пълненето на идентификационни данни се очертава като много по-практичен начин за проникване в потребителски акаунти, отколкото чрез груба сила. При атака с груба сила хакерите просто преминават през всяка възможна комбинация от пароли, докато се натъкнат на правилната.
Въпреки че може да изглежда трудно, списъците с най-популярните пароли и речникови атаки правят процеса много по-бърз от чистата проба и грешка. Колкото по-сложна е потребителската парола обаче, толкова повече време ще отнеме и толкова повече ще струва нейното разбиване.
Потребителите бавно се вслушват в призива да направят своите пароли по-дълги и по-сложни. Докато много хора все още използват ужасни пароли , това бавно подобрение прави грубия форсинг по-труден. Повечето сайтове също така разполагат с мерки за откриване на подозрителна активност при влизане и или ограничават броя на предположенията, или блокират акаунти след множество неуспешни опити.
Но хакерите са проницателна група и вместо това все повече разчитат на пълнене на идентификационни данни. Това може да бъде много по-ефективен начин за изразходване на ресурси от грубото налагане, защото дори сравнително кратки пароли могат да отнемат стотици милиарди предположения, за да бъдат разбити, ако са създадени по подходящ начин.
Въпреки че процентът на успеваемост на пълненето на идентификационни данни (оценките варират, но Доклад за сигурност на Shape посочен процент на успеваемост от един процент за своите най-сложни нападатели) може да изглежда нисък, той е изключително ефективен в сравнение с бруталното форсиране.
Атаките с пълнене на идентификационни данни също са много по-трудни за откриване и блокиране защото те включват разпределени опити за влизане в голям брой различни акаунти, а не повтарящи се опити за влизане за един акаунт. Последният модел на активност прави атаките с груба сила лесни за разпознаване и лесни за блокиране.
Откъде атакуващите получават идентификационни данни?
Идентификационните данни могат да бъдат взети чрез фишинг, атаки 'човек по средата' и чрез други тактики, но най-добрият начин да ги придобиете групово е чрез проникване в системите на компанията и достъп до нейните бази данни .
Усъвършенствани киберпрестъпни групи обикалят различни организации, търсейки уязвимости, които могат да използват, за да получат достъп. Ако сигурността е изключително лоша, тогава децата на скриптове и по-малките хакери също може да успеят да си пробият път вътре. След това те търсят ценни бази данни и ексфилтрират данните.
Ако паролите са били съхранявани сигурно, те вероятно ще бъдат безполезни. Но когато хакерите се натъкнат на пароли, които са били съхранени като обикновен текст или са използвали лоши процеси на хеширане и осоляване, те са направили злато.
Откраднатите идентификационни данни си струват най-много, когато са свежи . На този етап потребителите не са имали възможност да променят паролите си. Колкото по-дълго хакерите могат да държат кражбата скрита от засегнатата компания, толкова по-дълго идентификационните данни ще запазят своята стойност. Ето защо сложните групи се опитват да действат скрито и да избегнат разкриването.
Според Shape Security , в случаите, когато датата на компрометиране може да бъде изведена (при една трета от нарушенията организацията не е могла да определи кога е настъпил компрометирането) половината от всички кражби на идентификационни данни са открити в рамките на четири месеца, но тъй като откриването отнема години в малка част от случаите , то удължава средното време до 15 месеца.
Когато паролите са първоначално откраднати, нападателите и техните близки сътрудници може да са първите, които ще се възползват от тях – в крайна сметка, това е етапът, когато пълномощията са най-печеливши . След като ги използват, те могат да се опитат да ги продадат, за да спечелят още повече пари от атаката. Като алтернатива, те могат да изберат да разтоварят идентификационните данни веднага, или към престъпни контакти, на пазари в тъмната мрежа или чрез хакерски форуми.
Цената на идентификационните данни ще варира в зависимост от редица фактори. Те включват:
- Възрастта на пълномощията .
- Дали нарушението е оповестено публично .
- Дали идентификационните данни са проверени .
- Дали идентификационните данни идват с гаранция – Да, точно така, някои опитни престъпни предприятия дори предлагат гаранция, че идентификационните данни ще работят. Ако не, те ще изпратят заместители на купувача.
- Репутацията на продавача – Ако продавачът е непознат, е по-малко вероятно да му се вярва, така че може да не успее да постигне висока цена.
- Където се продават акредитивите – частните продажби, хакерските форуми и пазарите в тъмната мрежа имат свои собствени тарифи.
- Броят на идентификационните данни в пакета .
- Типът акаунт, до който предоставят достъп .
- Размерът на наличните средства по сметка (ако е приложимо).
Ако идентификационните данни вече са проверени, те са готови за използване от нападателите (вижте Какво се случва, когато идентификационните данни са потвърдени раздел). Непроверените идентификационни данни трябва първо да бъдат проверени и ще се продават на много по-ниска цена.
Нова банкова сметка с много пари в нея ще се продаде на висока цена, ако е потвърдена от реномиран продавач, докато набор от непроверени идентификационни данни с ниска стойност може да струва под цент. В горния край, акредитивни писма се продават за $190 всеки или повече. В долния диапазон, a акаунт в Netflix който гарантирано ще продължи една седмица, може да се продава за около $0,25.
Един обемен пакет от 3,8 милиарда непроверени идентификационни данни се предлагаше за $2999, но не е известно колко са свежи или ценни. Като се има предвид сравнително ниската цена на идентификационни данни и големия брой, повечето вероятно са доста стари и биха имали нисък процент на успех.
С течение на времето наборите от идентификационни данни губят своята стойност . Компанията може да е открила пробива или е минало достатъчно време, за да са променили паролите си огромното мнозинство от потребителите. В крайна сметка данните може да излязат на повърхността и дори да бъдат достъпни безплатно, но на този етап степента на успех ще бъде значително по-ниска.
Какво се случва, когато нападател придобие непроверени идентификационни данни?
Нападателят може да е откраднал самите идентификационни данни, да ги е получил от хакерски сътрудник, да ги е купил в тъмната мрежа или дори да е придобил безплатно идентификационни данни от нисък клас. След като ги имат, следващата стъпка е да започнете атаката . Има няколко различни подхода, които една атака може да предприеме. Най-добрият вариант ще зависи от набора от умения, сложност, срок и ресурси на нападателя.
Изграждане или закупуване на софтуер за атака
След като идентификационните данни са на разположение, нападателите също се нуждаят от софтуер за автоматизиране на опитите за пълнене на идентификационни данни, както и проксита за стартиране на атаките от различни IP адреси. Най-напредналите нападатели ще напишат свои собствени скриптове за стартиране на атаката, докато други ще използват предварително съществуващ софтуер.
Предимството на създаването на нов скрипт е, че е по-трудно за целевите уебсайтове за откриване и блокиране, което прави атаката по-вероятно да бъде успешна. Добавя допълнителни усилия към атаката, но също така може да се отплати в дългосрочен план. Като алтернатива, търсещ акредитивен потребител може да закупи различни програми, които да свършат работата вместо него.
Инструментите варират изключително много. В единия край има пълнене на идентификационни данни като услуга, което функционира много като всеки друг цялостен софтуер като услуга. Тези услуги за проверка правят задачата лесна, като отварят пълнежа с идентификационни данни за тези без никакви значителни технически умения.
С услугата за проверка всичко, от което един нападател се нуждае, е списък с потребителски имена и пароли . Те го изпращат на услугата, след което плащат на оператора няколко цента за всяко успешно потвърдено удостоверение.
Тези услуги обикновено са специфични за даден сайт и съществуват само за организации, които имат големи потребителски бази – не е икономически изгодно да се създават тези проверки за по-малко популярни сайтове. Въпреки липсата на променливост, те правят пълненето на идентификационни данни възможно най-просто, защото тези услуги се грижат и за пълномощниците .
Ако наборът от умения на нападателя е някъде по средата, той може да закупи онлайн инструментариум, вместо да разработва софтуера сам. Тези инструменти имат свой собствен жизнен цикъл , а когато за първи път се разработват по-сложни инструменти, те често се продават на пазари от висок клас на по-висока цена. Когато даден инструмент е нов, е по-вероятно да избегне механизмите за откриване, които уебсайтовете използват, което оправдава по-високата цена.
С остаряването на инструментите цената им пада и те се представят на масовия пазар. Предлагат се много различни инструменти като: Black Bullet, Private Keeper, SENTRY, SNIPR, WOXY и STORM. Основните пакети могат диапазон в цената от около $5 на конфигурационен файл (Sentry MBA), до $50 за директно закупуване на софтуера (Black Bullet), въпреки че са налични и по-разширени опции.
Индивидуалните функции варират между програмите, но много от тях имат елегантни потребителски интерфейси, предлагат прилична поддръжка на клиенти, CAPTCHA байпас и Javascript анти-бот предизвикателства.
Наемане на пълномощници
Освен ако нападателят не използва услуга за проверка, те също ще имат нужда от проксита, за да започнат атаката . Ако нападател се опита да пълни идентификационни данни от един IP адрес, той бързо ще бъде открит и блокиран. Прокситата разпределят опитите за влизане, което помага да се излъжат защитните механизми, които сайтовете имат.
Безплатните проксита са опция, но те са бавни и е малко вероятно да работят. Платените прокси сървъри предлагат друга алтернатива, но най-добрият избор е да използвате ботнет. Ботнет мрежите обикновено се състоят от компютри, които са били заразени със зловреден софтуер, лошо защитени IoT устройства като рутери и охранителни камери или сървъри, които са били превзети. Опитите за влизане се случват през тези компрометирани устройства.
Тези ботнети са сравнително евтини за наемане , и те могат лесно да бъдат намерени в хакерски форуми и в тъмната мрежа. Цената ще зависи от това колко хоста са включени и къде са заредени, но малък ботнет може да бъде нает за по-малко от $50 .
Какво се случва, след като идентификационните данни бъдат потвърдени?
След като хакерите са получили своите идентификационни данни и са настроили процеса на проверка чрез услуга за проверка или софтуер и прокси ботнет, те по същество могат да седнат и да изчакат, докато програмата автоматично валидира акаунтите.
След като техният списък с идентификационни данни бъде прегледан, те ще получат много по-малък брой идентификационни данни, които все още дават достъп до акаунта. На този етап киберпрестъпниците имат няколко различни подхода, от които да избират, за да монетизират акаунтите.
Най-лесният вариант е просто да ги продадете на едро , или на техните престъпни съучастници, чрез хакерски форуми или на пазарите в тъмната мрежа. Това включва най-малко работа, но също така може да остави много пари на масата.
Продажната цена на потвърден акаунт в eBay ще варира, но те са били обявен за около $10 преди. Този акаунт може потенциално да донесе стотици или хиляди долари печалба, но го прави включва повече риск и усилия . Ако нападателят го прави, той може сам да се възползва от акаунтите си и да увеличи максимално печалбите си. Иначе възможността отива при този, който го купи.
С акаунтите може да се злоупотребява по няколко различни начина. Най-добрият вариант ще зависи от уникалната ситуация, уменията на нападателя и типа акаунт. Изборът включва:
- Кражба на пари, които може да има в сметката, или извършване на измамни покупки с нея.
- Използване на данните от акаунта за извършване на кражба на самоличност, като например застрахователна измама или регистрация за кредитни карти.
- Използване на достъп за проникване в системите на компанията и кражба на повече данни.
- Използване на лична информация за извършване на други престъпления.
Скорошни атаки с пълнене на идентификационни данни
Пълненето на идентификационни данни е често срещан тип атака, на която са уловени много популярни марки. Някои скорошни примери включват:
Суперлекарство
През 2018 г. британският търговец на козметика беше с които са се свързали хакери който твърди, че разполага с данните за сметките на 20 000 свои клиенти. Хакерите поискаха откуп от компанията, но когато предадоха данните за 386 клиенти, предварителното разследване накара компанията да повярва, че идентификационните данни са били придобити чрез пълнене на идентификационни данни, а не чрез нарушаване на данните .
Изглежда, че хакерите са взели данни от пробиви на други организации и са ги използвали, за да разкрият влизанията за малък брой клиенти на Superdrug. В изявлението на Superdrug се твърди, че независима оценка не е открила нарушение на техните системи и компанията е отказала да плати откуп на хакерите.
Superdrug информира засегнатите потребители и им препоръчва да сменят паролите си.
Uber
Лого на Uber от Uber Technologies Inc., лицензиран под CC0
Uber беше строго наказан след измамата си за нарушение на данните, което се случи през 2016 г. Компанията беше глобена с общо 1,2 милиона долара от отделни регулатори в Обединеното кралство и Холандия, въпреки че и двете наказания са резултат от един и същ инцидент.
Разследване от Службата на комисаря по информацията на Обединеното кралство (ICO) установи, че нападател получи достъп до хранилището на данни на Uber чрез пълнене на идентификационни данни . Те са използвали вече разкрити идентификационни данни на служител на Uber от други уебсайтове за достъп до техния акаунт в GitHub.
Веднъж влязъл в този акаунт, нападателят намери данни за вход в кофите Amazon Web Service S3, където се съхраняват данните на Uber. Това им позволи да откраднат данни за 57 милиона потребители на Uber, включително шофьори и ездачи.
След това нападателите се свързаха с Uber и поискаха плащане от 100 000 долара за информация как са успели да получат достъп до кофите S3. Uber плати, правейки плащането да изглежда като част от тяхната програма за награди за грешки, но не направи въпроса напълно публичен.
Компанията не разкрива подробностите за пробива до около година по-късно, в края на 2017 г. Хакерският инцидент и произтичащото от него прикриване доведоха до наказването на Uber по няколко различни причини – за лоши практики за сигурност, за късно уведомяване , и за това, че е измамен относно така наречената награда за грешки.
HSBC
През 2018 г. HSBC уведоми някои от клиентите си, че са жертви на нарушение на данните. Нападателите са откраднали имена, номера на сметки, телефонни номера, история на транзакциите, дати на раждане, салда по сметки, адреси, имейл адреси и др.
Според FastCompany , нарушението засегна по-малко от един процент от 1,4 милиона клиенти на банката в САЩ. На засегнатите страни беше предложена една година кредитен мониторинг и услуги за защита от кражба на самоличност.
Пробивът очевидно е станал между 4 и 14 октомври 2018 г. и пълненето на идентификационни данни беше приписано като начин на влизане . Вероятно ключови служители са използвали повторно потребителски имена и пароли от други акаунти, които преди това са изтекли.
Нападателите биха могли да използват тези подробности, за да получат привилегирован достъп до системите на HSBC, което на свой ред би направило възможно кражбата на данните.
В началото на 2019 г. Reddit блокира потребителите от техните акаунти, след като подозира атаки с пълнене на идентификационни данни. Екипът по сигурността на Reddit забеляза необичайна активност от „голяма група акаунти“, което предполагаше, че е така най-вероятно причинено от пълнене на идентификационни данни .
За да предотврати превземането на акаунтите, той блокира потребителите и ги принуди да нулират паролите, преди акаунтите да могат да бъдат възстановени. Някои от засегнатите потребители коментират, че са използвали уникални и силни пароли, както и двуфакторна автентификация.
Това доведе до някои спекулации, че сайтът може действително да е имал проблеми със сигурността от своя страна и е използвал пълненето на идентификационни данни като извинение да обвинява потребителите.
Алтернативно обяснение е, че Reddit може да е решил да заключи и нулира паролите за всеки акаунт, който е претърпял подозрителен опит за влизане, а не само за онези акаунти, където опитите за влизане са били успешни. Ако случаят е такъв, приемането на двуфакторно удостоверяване или силни и уникални пароли би било без значение.
Ежедневно движение
Няколко седмици след инцидента със сигурността на Reddit, потребителите на DailyMotion също станаха жертви на пълнене на удостоверения . Платформата за видео стрийминг изпрати имейл на група потребители, за да ги информира за това нападателите може да са използвали пълнене на идентификационни данни за достъп до своите акаунти .
Неговият екип по сигурността излезе от потребителите, които може да са били засегнати, и им изпрати връзка, за да могат да нулират паролите си. DailyMotion също съобщи за нарушението на френските власти (сайтът е базиран във Франция), както се изисква съгласно наскоро приетия в Европа Общ регламент за защита на данните (GDPR).
Deliveroo
Клиенти, които използват Deliveroo, услугата за доставка на храна, са станали жертва на пълнеж на идентификационни данни от години. Много от тези атаки са изпаднали извън контрола на Deliveroo, но поради някои недоразумения компанията е получила несправедлива критика, както се вижда в статия, публикувана от Нов държавник .
Статията и заобикалящата я полемика изглежда са изградени около нея погрешни схващания относно пълненето на идентификационни данни . Изглежда, че обвинява Deliveroo за атаки, които всъщност са причинени от изтекли данни от другаде.
От публично достъпната информация изглежда, че авторът на статията в New Statesman е станал жертва на пълнене на идентификационни данни в резултат на повторно използване на паролата им от други акаунти. Няма доказателства, че Deliveroo е претърпял нарушение, което е довело до измамни покупки на автора или на друга страна.
Дори ако една компания следва всички най-добри практики за сигурност, тя не може да направи много, за да попречи на клиентите си да използват повторно едни и същи пароли. Те могат да препоръчат уникални пароли, каквито пожелаят, но е невъзможно да принудят потребителите да приемат парола, която е уникална за този акаунт.
Въпреки че статията цитира адвокат, който казва, че Deliveroo може да бъде наказан съгласно GDPR, тези твърдения изглежда се основават на неправилни предположения за естеството на атаката. Към момента на писане Deliveroo не изглежда да е под публично разследване във връзка с атаките с пълнене на идентификационни данни.
Базов лагер
Basecamp, на услуга за управление на проекти , също се сблъска с голям брой атаки с пълнене на идентификационни данни в началото на годината . Неговият екип по сигурността забеляза огромен скок в опитите за влизане, след което се опита да блокира подозрителните IP адреси в опит да предотврати атаката.
Той също така даде възможност на CAPTCHA да спре потока, но все още има успешен достъп до 124 акаунта. Платформата излезе от тези потребители и нулира паролите, като изпрати имейл на засегнатите, за да ги уведоми, заедно с инструкции как могат да активират отново своите акаунти.
По-мощна атака удари на следващия ден, но този път успя да получи достъп само до 89 акаунта. Basecamp отговори по същия начин, за да защити своите потребители. Изглежда, че тези атаки са били само опити за валидиране на потребителските идентификационни данни и нападателите не изглежда да са причинили никакви щети на акаунтите.
Ако Basecamp не беше реагирал толкова бързо, атаките можеха да засегнат много по-голям брой акаунти, с по-сериозни последици от обикновена промяна на паролата за потребителите.
TurboTax
Притежателите на сметки в TurboTax също бяха въвлечени в a атака с пълнене на идентификационни данни в началото на 2019 г. Не е известно колко потребители на TurboTax са били засегнати, но тези атаки бяха особено тревожни поради голямото количество лични и финансови данни, които се съдържаха в документацията на компанията.
Компанията-майка временно деактивира засегнатите акаунти, изисквайки от тези потребители да се обадят или да изпратят имейл до отдела за обслужване на клиенти и да потвърдят самоличността си, преди да могат да активират отново своите акаунти. Компанията майка е предлагайки на жертвите една година кредитен мониторинг, защита от кражба на самоличност и услуги за възстановяване на самоличността за защита на потребителите.
Няма индикации, че тези атаки са резултат от нарушение на данните. Изглежда, че засегнатите клиенти са били уязвими на атаката само защото са използвали повторно своите пароли в множество акаунти. По всичко изглежда, че TurboTax надхвърля предлагането на безплатни услуги за защита, като се има предвид, че атаките не са причинени от собствените му пропуски в сигурността.
Дънкин Донътс
Кутия Dunkin’ Donuts от Hao dream-case, лицензиран под CC0
Пълненето на идентификационни данни е измъчващо Дънкин Донътс притежатели на сметки наскоро. Компанията съобщи атаки с пълнене на идентификационни данни срещу своите клиенти два пъти за три месеца . Първият инцидент се случи в края на 2018 г., а вторият беше през януари 2019 г. Всеки инцидент беше публично докладван около месец след атаката.
Атаките бяха инициирани с идентификационни данни, взети от предишни пробиви, а изявление от Dunkin’ Donuts разкри, че 1200 от 10-те милиона потребители са били засегнати. На жертвите са изпратени известия, нулирани са паролите им и са им преиздадени карти Dunkin’. Компанията твърди, че нейните системи не са били пробити и че е била предупредена за атаките с пълнене на идентификационни данни от своя доставчик на сигурност.
Въпреки че акаунт в Dunkin’ Donuts може да не изглежда като най-ценното притежание в подземния свят на хакерството, тези акаунти всъщност се продават онлайн. Престъпниците могат да осигурят приходи от тях, като вземат личната информация или злоупотребяват със схемата за възнаграждение на Dunkin’ Donuts.
Как да сведете до минимум рисковете от атаки с пълнене на идентификационни данни
Атаките с пълнене на идентификационни данни представляват значителна заплаха както за обикновените интернет потребители, така и за организациите. Нормалните хора рискуват личните им данни да бъдат откраднати, да се поддадат на кражба на самоличност, сметките им да бъдат натрупани с измамни покупки или дори всичките им пари да бъдат изтеглени.
Компаниите трябва да внимават с хакери, които използват пълнене на идентификационни данни, за да получат привилегирован достъп, което може да доведе до пробиви на данни или други атаки . Те също трябва да направят всичко възможно, за да защитят своите клиенти. Както се видя в примера с Deliveroo по-горе, пълнежът на идентификационни данни може да изглежда много зле за организациите, дори ако атаките всъщност не са по тяхна вина.
Хората са толкова свикнали с нарушенията на данните, причинени от лоша организационна сигурност, и повечето не разбират техническите подробности за пълненето на идентификационни данни. Това ги улеснява да се заблуждават и да обвиняват собствените си лоши практики за парола върху компанията. Независимо чия е грешката, фирмите трябва да бъдат изключително внимателни с начина, по който подхождат към тези ситуации.
Минимизиране на рисковете от пълнене на идентификационни данни за физически лица
Нарушенията на данните няма да изчезнат скоро, а дори и да изчезнат, милиарди идентификационни данни вече са изтекли онлайн. За щастие има няколко различни мерки, които можете да предприемете, за да намалите значително рисковете, пред които сте изправени:
Използвайте уникални пароли за всеки акаунт
Най-важната стъпка, която потребителите могат да предприемат, за да се защитят, е да зададат уникални и силни пароли за всеки от своите акаунти.
Под уникален имаме предвид нещо повече от една промяна на буква, цифра или символ. „Hunter1“, „Hunter2“, „Hunter3“ и т.н. просто няма да го отрежат. За да се предпазите от тези и други атаки, вашите пароли трябва да са значително различни за всеки от вашите акаунти, ако не и напълно оригинални.
Има няколко различни техники за решаване на този и други проблеми, свързани с паролата. Един от най-лесните е да използвате мениджър на пароли като KeePass или LastPass. С мениджър на пароли, всичко, което трябва да запомните, е една главна парола . Това се използва за отключване на приложението, което може да се използва както за генериране, така и за съхраняване на уникални и сигурни пароли за всеки от вашите акаунти.
Настройването на мениджър на пароли и промяната на всички ваши пароли може да отнеме известно усилие в началото, но след като всичко е готово, това осигурява отлична защита срещу препълване на идентификационни данни и други атаки.
Ако настоявате да използвате еднакви или подобни пароли за всеки от вашите акаунти въпреки предупреждението, считайте, че е само въпрос на време да станете жертва на една от тези атаки.
Бъдете наясно кога вашите данни са били нарушени
Трябва също така да сте в крак с най-новите пробиви на данни и да промените паролите за всеки акаунт, който е бил засегнат, както и за всички други акаунти, които използват същата парола (отново, не правете това). Проследяването на последните новини за нарушаване на данните е добро начало, но е още по-добре да посетите убит ли съм . Това е база данни, създадена от Трой Хънт, изследовател по сигурността, който е събрал информация от публично известни пробиви.
Базата данни ви позволява потърсете с вашия имейл или парола, за да видите дали е участвал в нарушение . Можете също така да се регистрирате, за да получите предупреждение по имейл, ако вашите данни са замесени в новооткрито нарушение. Ако дадете възможност на функцията за търсене на уебсайта, шансовете са вашите данни да се появят поне веднъж. Ако го направят, трябва незабавно да промените паролата за акаунта.
Ако сте използвали тази парола за множество акаунти, тогава тя трябва да бъде променена във всички тях, за да се предпази от препълване на идентификационни данни. Както споменахме по-горе, най-лесният начин да администрирате това е с мениджър на пароли.
Ако сте били жертва на нарушение на сигурността на данните, може да помислите абониране за кредитен мониторинг и услуги за защита от кражба на самоличност . Услуга за наблюдение ще ви уведоми за всяка подозрителна дейност, докато защитата от кражба на самоличност ще ви застрахова срещу загуби.
Нарушените компании често предлагат една година от тези услуги на своите засегнати клиенти безплатно. Ако сте жертва и отговорната компания предлага една от тези програми, обикновено първо трябва да се регистрирате. Това ще ви осигури допълнителна защита, но не забравяйте да прочетете дребния шрифт, за да проверите за какво всъщност сте защитени.
В противен случай можете сами да се абонирате за една от тези услуги, въпреки че те могат да ви върнат $20 или $30 всеки месец. Като алтернатива можете да наблюдавате собствените си кредитни отчети за подозрителна дейност.
Двуфакторна автентификация
Друга ключова мярка за защита е да използвайте двуфакторно удостоверяване където е възможно. Когато са въведени двуфакторни механизми, хакерите ще имат нужда от повече от вашето потребителско име и парола, за да превземат акаунта ви. Те ще трябва да преминат и втората мярка за удостоверяване.
Те могат да включват мобилни приложения като Google Authenticator, токени за физическа сигурност и биометрични входове . SMS и имейл удостоверяването също са популярни типове двуфакторно удостоверяване, но те са много по-малко сигурни от алтернативите и трябва да се избират само ако другите опции не са налични.
Двуфакторното удостоверяване не е безупречно. Нападателите могат да откраднат вашия токен за сигурност или да прихванат SMS съобщенията, но това е много по-трудно от достъпа до акаунт, който не е защитен с тези мерки.
В преобладаващата част от случаите хакерите няма да си направят труда да се опитват да превземат акаунта ви, ако се сблъскат с двуфакторно удостоверяване. Те просто ще преминат към друга цел с по-слаба защита.
Минимизиране на рисковете от пълнене на идентификационни данни за организациите
Организациите са изправени пред две директни заплахи от пълнеж на идентификационни данни. Първият е, че може да се използва получават достъп до техните системи и предприемат допълнителни атаки . Те включват нарушения на данните, както в някои от примерите по-горе, както и атаки с ransomware или кражба на интелектуална собственост
Другата голяма заплаха е, че клиентите са засегнати от пълнене на идентификационни данни може да обвини организация , дори ако истинската причина е нарушение на данните на трета страна и клиентът следва лоши практики за сигурност на паролата.
Въпреки че това може да не изглежда като отговорност на дадена организация, потенциалните отрицателни последствия правят важно компаниите да направят всичко възможно, за да се опитат да защитят клиентите в тази ситуация.
Информираност и образование
Широко разпространеният навик за повторно използване на пароли прави атаките с пълнене на идентификационни данни толкова ефективни. За да попречите на потребителите да използват една и съща парола отново и отново, организациите трябва да пробият опасностите от повторното използване на пароли и напълването на идентификационни данни в главите на своите служители .
Не е достатъчно просто да кажете на служителите, че имат нужда от силни и уникални пароли. Хората имат склонност да не слушат, ако не разбират защо нещо е важно. Кажете на служителите си до какво може да доведе повторното използване на парола и им дайте примери от реалния свят, които показват пагубните последици.
Вашата организация също трябва обучава своите служители на алтернативни техники за парола . Инструктирането на хората да не правят нещо, без да им се предоставят други възможности, неминуемо ще завърши зле. Вместо това вашата компания трябва да обучи служителите си как да използват мениджъри на пароли или как да следват други ефективни практики за администриране на пароли.
Особено важно е да се подчертаят тези рискове за служителите, които имат привилегирован достъп. Администраторите и други ключови хора имат достъп до по-широк набор от системи на вашата компания. Ако техните акаунти бъдат превзети от хакери, това може да причини дори повече щети, отколкото ако други акаунти бъдат достъпни от хакери. Ето защо тези потребители излагат компанията на още по-голям риск, ако използват повторно пароли.
Контрол на достъпа
Пълното елиминиране на повторното използване на парола е трудно, тъй като компанията не може да знае дали служител е използвал същата парола другаде. Въпреки че образованието ще извърви дълъг път към минимизиране на рисковете от пълнене на идентификационни данни, също така е важно да ограничават всякакви потенциални щети това може да дойде от упорити служители.
Организациите трябва следват принципа на най-малките привилегии . Това означава, че персоналът получава достъп само до системите и ресурсите, от които се нуждае, за да завърши работата си ефективно, нищо повече. Ако ролята на служител се промени, тогава трябва да се променят и неговите привилегии за достъп. Трябва да им се даде достъп до всички нови ресурси, от които се нуждаят, и да се ограничи до тези, които вече не им трябват.
Ако една компания следва внимателно този принцип, това ще помогне да се ограничат всички потенциални щети, които нападателят може да причини. Ако нападател влезе, той ще има значително намален достъп в сравнение с компания, която не следва принципа. Преграждането на нападателя може или да предотврати пробиви на данни, или да ги направи много по-малко вредни.
Двуфакторна автентификация
Прилагането на двуфакторно удостоверяване прави значително по-трудно за нападателите да поемат акаунт. Обърнете се към Двуфакторна автентификация раздел горе, под Минимизиране на рисковете от пълнене на идентификационни данни за физически лица за повече подробности.
Мониторинг и бързо действие
Компаниите трябва да направят повече от това просто да защитят вътрешните си акаунти от превземане от пълнене на идентификационни данни. Те също трябва да направят всичко възможно, за да защита и подкрепа на потребители, които стават жертва на препълване на идентификационни данни , дори ако атаката не е по вина на организацията. Тези недоразумения все още могат да доведат до лоша преса, така че компаниите трябва да управляват тези ситуации възможно най-внимателно.
Предприятията се нуждаят от системи за наблюдение, които да помогнат за откриването на широкомащабни атаки с пълнене на идентификационни данни. Ако видят внезапни пикове в опитите за влизане или други необичайни дейности, те трябва да се опитат да блокират всички подозрителни IP адреси, които могат. Внедряването на CAPTCHA също може да помогне за ограничаване на тези атаки.
Ако дадена организация открие неоторизиран достъп, тя трябва да го направи временно заключете акаунтите и нулирайте паролите . Важно е внимателно да обясните проблема на засегнатите и да ги улесните да зададат нова парола и да активират отново акаунта си.
Ако проблемът не е обяснен ясно и просто, потребителите може да повярват, че компанията е претърпяла нарушение или че не е защитила акаунта им по подходящ начин.
Откриването на дребномащабни атаки с пълнене на идентификационни данни може да бъде много по-трудно, тъй като те не причиняват същите пикове в активността на акаунта. Ако дадена организация разполага с ефективни механизми за наблюдение, но не е успяла да спре атака с пълнене на идентификационни данни, тогава тя трябва да внимава как се справя със ситуацията.
Въпреки че атаката може да е била причинена от повторната употреба на собствената парола на клиента и компанията може да не е предприела разумни действия, за да я предотврати, за клиента е лесно да разбере ситуацията погрешно и да обвини организацията.
Ако една компания иска да излезе невредима от ситуацията, може би е най-добре да предложите безплатен кредитен мониторинг и защита от кражба на самоличност на тези, които са били засегнати, както направи TurboTax в горния пример. В противен случай те могат да се окажат изправени пред несправедлива негативна преса, точно като Deliveroo.
Организациите се нуждаят от цялостна сигурност
В допълнение към заплахите, споменати по-горе, организациите също са уязвими към нарушенията на данните, които на първо място правят възможни атаките с пълнене на идентификационни данни. Както за собствените си интереси (нарушенията на данните могат да бъдат изключително скъпи), така и за глобалната сигурност, компаниите трябва да следват най-добрите практики за сигурност, за да сведат до минимум шансовете да претърпят голямо нарушение.
В допълнение към практиките за сигурност, обсъдени по-горе, организациите трябва също така:
- Подходящи хеш и сол пароли – Ако дадена компания съхранява пароли като обикновен текст, всеки, който има достъп до базата данни, ще може да поеме акаунтите или да използва паролите при атаки с пълнене на идентификационни данни срещу други платформи. Сигурната алтернатива е да съхранявате само паролата хеш за проверка. Предварително трябва да се добави сол (по същество произволно число), за да се предпази от атаки на масата на дъгата. Внимателното спазване на тези практики може значително да ограничи разходите за нарушение на сигурността на данните – ако откраднатите пароли са хеширани, може да не се наложи компаниите да уведомяват засегнатите или властите.
- Обучавайте служители – Служителите са едно от най-слабите звена, когато става въпрос за организационна киберсигурност. Поради невежество или човешка грешка, те са отговорни за значителен процент от атаките. Компаниите трябва да предоставят на служителите си цялостно обучение по киберсигурност, което е съобразено с рисковете, които те могат да въведат в компанията. Антифишинг обучение е един от най-важните елементи.
- Актуализирайте софтуера възможно най-скоро – Актуализирането не само въвежда нови функции. Разработчиците също го използват, за да коригират всички уязвимости, които са били открити. Организациите, които използват по-стари версии на софтуера, по същество оставят вратите си отворени и канят хакери да влязат. Най-лесното решение е да активирате автоматичните актуализации, когато е възможно, така че най-новите версии да се инсталират без никакви проблеми.
Ако една организация открие пробив, тогава е важно да реагирате бързо и внимателно. Първата стъпка е да се ограничи нарушението, след което да се анализира разберете кой и какво е бил засегнат, както и тежестта .
В зависимост от обстоятелствата компаниите може или не трябва да докладват за нарушението. Ако го направят, важно е да действате отговорно и да го направите възможно най-скоро. Забавянето на известието може да доведе до правни санкции, точно като тези, които Uber получи в примера по-горе.
Опитът да се прикрие пробив също е в полза на нападателите . Това им позволява да злоупотребяват с идентификационните данни и да максимизират печалбите си, преди потребителите дори да са наясно, че техните данни са участвали в пробив.
Ако една компания има сериозно отношение към защитата на своите потребители и ограничаването на ефектите от пробив, тогава тя трябва да ги уведоми възможно най-скоро и да им каже да променят паролите си. Предлагането на кредитен мониторинг и защита от кражба на самоличност също може да помогне за изглаждане на нещата.
Също така е важно да ги предупредите за опасностите от пълнеж на идентификационни данни, така че да знаят да променят паролите за други акаунти, ако е необходимо.
Ако атакуваните потребители и фирми, които са подложени на атаки, започнат да приемат насериозно пълненето на идентификационни данни, те могат да помогнат за минимизиране на заплахата, както и огромните загуби, които тя в крайна сметка причинява всяка година.
Вижте също: