Med så mange websteder og applikationer, der kræver unikke brugeroplysninger, det vil sige et brugernavn og en adgangskode, kan det blive fristende at bruge de samme legitimationsoplysninger på tværs af alle disse platforme.
Faktisk blev det ifølge 2022 Annual Identity Exposure Report fra SpyCloud, som analyserede mere end 15 milliarder kompromitterede legitimationsoplysninger tilgængelige på kriminelle underjordiske websteder, fundet, at 65 procent af overtrådte adgangskoder blev brugt til mindst to konti.
For brugere, der genbruger legitimationsoplysninger på forskellige platforme, kan det virke som en genial måde at undgå at glemme adgangskoder på, men i virkeligheden er det en katastrofe, der venter på at ske.
I tilfælde af, at et af systemerne er kompromitteret, og dine legitimationsoplysninger registreres, risikerer alle andre konti, der bruger de samme legitimationsoplysninger, at blive kompromitteret. Med tanke på, at kompromitterede legitimationsoplysninger sælges billigt på det mørke web, kan du nemt blive et offer for legitimationsfyld.
Credential stuffing er et cyberangreb, hvor ondsindede aktører bruger stjålne legitimationsoplysninger til en onlinekonto eller et onlinesystem til at forsøge at få adgang til andre ikke-relaterede onlinekonti eller systemer.
Et eksempel på dette er en ondsindet aktør, der får adgang til dit brugernavn og din adgangskode til din Twitter-konto og bruger disse kompromitterede legitimationsoplysninger til at forsøge at få adgang til en Paypal-konto.
I tilfælde af at du bruger de samme legitimationsoplysninger på Twitter og Paypal, vil din Paypal-konto blive overtaget på grund af et brud på dine Twitter-legitimationsoplysninger.
I tilfælde af at du bruger dine Twitter-legitimationsoplysninger på flere onlinekonti, kan disse onlinekonti også blive kompromitteret. Et sådant angreb er kendt som credential stuffing, og det udnytter det faktum, at mange brugere genbruger legitimationsoplysninger på flere onlinekonti.
Ondsindede aktører, der udfører legitimationsfyldningsangreb, bruger typisk bots til at automatisere og skalere processen. Dette giver dem mulighed for at bruge et stort antal kompromitterede legitimationsoplysninger og målrette mod flere online platforme. Med kompromitterede legitimationsoplysninger, der er blevet lækket fra databrud og også sælges på det mørke web, er angreb på legitimationsoplysninger blevet udbredt.
Hvordan Credential Stuffing fungerer
Et angreb, der fylder legitimationsoplysninger, starter med erhvervelsen af kompromitterede legitimationsoplysninger. Disse brugernavne og adgangskoder kan købes på det mørke web, tilgås fra adgangskodedump-websteder eller fås fra databrud og phishing-angreb.
Det næste trin involverer opsætning af bots til at teste de stjålne legitimationsoplysninger på forskellige websteder. Automatiserede bots er go-to-værktøjet i credential stuffing-angreb, da bots snigende kan udføre credential stuffing ved hjælp af et stort antal legitimationsoplysninger mod mange websteder ved høje hastigheder.
Udfordringen med, at en IP-adresse blokeres efter flere mislykkede loginforsøg, undgås også ved at bruge bots.
Når et legitimationsfyldningsangreb lanceres, lanceres også automatiserede processer til overvågning af succesfulde logins parallelt med credential-stuffing-angrebet. På denne måde opnår angribere nemt legitimationsoplysninger, der fungerer på bestemte onlinesider, og bruger dem til at overtage en konto på platformene.
Når først angribere har fået adgang til en konto, er det op til deres skøn, hvad de kan gøre med den. Angribere kan sælge legitimationsoplysningerne til andre angribere, stjæle følsomme oplysninger fra kontoen, begå identitet eller bruge kontoen til at foretage onlinekøb, hvis en bankkonto er kompromitteret.
Hvorfor credential stuffing-angreb er effektive
Credential Stuffing er et cyberangreb med meget lave succesrater. Faktisk er den gennemsnitlige succesrate for credential stuffing-angreb ifølge The Economy of Credential Stuffing Attacks Report af Insikt Group, som er Recorded Futures trusselsforskningsafdeling, mellem en til tre procent.
Så meget som dets succesrater er lave, bemærkede Akamai Technologies i sin 2021 State of the Internet / Security-rapport, at Akamai i 2020 oplevede 193 milliarder legitimationsangreb globalt.
Årsagen til det høje antal af credential stuffing-angreb, og hvorfor de bliver mere udbredte, er på grund af antallet af kompromitterede legitimationsoplysninger og adgang til avancerede bot-værktøjer, der gør credential stuffing-angreb mere effektive og næsten ikke kan skelnes fra menneskelige loginforsøg.
For eksempel, selv ved en lav succesrate på kun én procent, hvis en angriber har 1 million kompromitterede legitimationsoplysninger, kan de kompromittere omkring 10.000 konti. Store mængder af kompromitterede legitimationsoplysninger handles på det mørke web, og så store mængder af kompromitterede legitimationsoplysninger kan genbruges på flere platforme.
Disse høje mængder af kompromitterede loginoplysninger resulterer i en stigning i antallet af kompromitterede konti. Dette kombineret med det faktum, at folk fortsætter med at genbruge deres legitimationsoplysninger på flere onlinekonti, bliver legitimationsfyldningsangreb meget effektive.
Credential Stuffing vs. Brute Force angreb
Selvom credential stuffing og brute force-angreb begge er kontoovertagelsesangreb, og Open Web Application Security Project (OWASP) betragter credential stuffing som en undergruppe af brute force-angreb, er de to forskellige i, hvordan de udføres.
I et brute-force-angreb forsøger en ondsindet skuespiller at overtage en konto ved at gætte brugernavnet eller adgangskoden eller dem begge. Dette gøres typisk ved at prøve så mange mulige kombinationer af brugernavn og adgangskode uden kontekst eller anelse om, hvad de kan være.
En brute force kan bruge almindeligt anvendte adgangskodemønstre eller en ordbog med almindeligt anvendte adgangskodesætninger såsom Qwerty, adgangskode eller 12345. Et brute force-angreb kan lykkes, hvis brugeren bruger svage adgangskoder eller systemets standardadgangskoder.
Et angreb, der fylder legitimationsoplysninger, forsøger på den anden side at overtage en konto ved at bruge kompromitterede legitimationsoplysninger, der er hentet fra andre systemer eller onlinekonti. I et legitimationsfyldningsangreb gætter angrebet ikke legitimationsoplysningerne. Succesen med et legitimationsfyldningsangreb afhænger af, at en bruger genbruger deres legitimationsoplysninger på flere onlinekonti.
Typisk er succesraterne for brute force-angreb meget lavere end credential stuffing. Brute force angreb kan forhindres ved at bruge stærke adgangskoder. Brug af stærke adgangskoder kan dog ikke forhindre udfyldning af legitimationsoplysninger, hvis den stærke adgangskode deles på tværs af flere konti. Credential stuffing forhindres ved at bruge unikke legitimationsoplysninger på onlinekonti.
Sådan opdages credential stuffing-angreb
Credential stuffing trusselaktører bruger typisk bots, der efterligner menneskelige agenter, og det er ofte meget svært at skelne et loginforsøg fra et rigtigt menneske og et fra en bot. Der er dog stadig tegn, der kan signalere et igangværende angreb på legitimationsoplysninger.
For eksempel burde en pludselig stigning i webtrafik vække mistanke. I et sådant tilfælde skal du overvåge loginforsøg til webstedet, og i tilfælde af at der er en stigning i loginforsøg på flere konti fra flere IP-adresser eller en stigning i loginfejlfrekvensen, kan dette indikere et igangværende angreb på legitimationsoplysninger.
En anden indikator for et angreb på legitimationsoplysninger er brugere, der klager over at blive låst ude af deres konti eller modtage meddelelser om mislykkede loginforsøg, som ikke blev udført af dem.
Overvåg desuden brugeraktivitet, og hvis du bemærker usædvanlig brugeraktivitet, såsom at foretage ændringer i deres indstillinger, profiloplysninger, pengeoverførsler og onlinekøb, kan dette signalere et angreb på legitimationsoplysninger.
Sådan beskytter du dig mod fyldning af legitimationsoplysninger
Der er flere foranstaltninger, der kan træffes for at undgå at blive offer for angreb, der fylder legitimationsoplysninger. Dette omfatter:
#1. Undgå at genbruge de samme legitimationsoplysninger på tværs af flere konti
Opfyldning af legitimationsoplysninger er afhængig af, at en bruger deler legitimationsoplysninger på tværs af flere onlinekonti. Dette kan nemt undgås ved at bruge unikke legitimationsoplysninger på forskellige onlinekonti.
Med adgangskodeadministratorer såsom Google Password Manager kan brugere stadig bruge unikke og meget adgangskoder uden at bekymre sig om at glemme deres legitimationsoplysninger. Virksomheder kan også håndhæve dette ved at forhindre brugen af e-mails som brugernavne. På denne måde er det mere sandsynligt, at brugere bruger unikke legitimationsoplysninger på forskellige platforme.
#2. Brug multifaktorgodkendelse (MFA)
Multifaktorautentificering er brugen af flere metoder til at godkende identiteten på en bruger, der forsøger at logge ind. Dette kan implementeres ved at kombinere traditionelle autentificeringsmetoder for et brugernavn og en adgangskode, sammen med en hemmelig sikkerhedskode, der deles med brugere via e-mail eller sms for yderligere at bekræfte deres identitet. Dette er meget effektivt til at forhindre fyldning af legitimationsoplysninger, da det tilføjer et ekstra lag af sikkerhed.
Det kan endda fortælle dig, når nogen forsøger at kompromittere din konto, da du får en sikkerhedskode uden at anmode om en. MFA er så effektiv, at en Microsoft-undersøgelse har fastslået, at onlinekonti er 99,9 procent mindre tilbøjelige til at blive kompromitteret, hvis de bruger MFA.
#3. Enhedens fingeraftryk
Enhedsfingeraftryk kan bruges til at knytte adgang til en onlinekonto med en bestemt enhed. Enhedsfingeraftryk identificerer den enhed, der bruges til at få adgang til en konto ved hjælp af oplysninger såsom enhedsmodel og nummer, det anvendte operativsystem, sprog og land, blandt andre.
Dette skaber et unikt enhedsfingeraftryk, som derefter knyttes til en brugerkonto. Adgang til kontoen ved hjælp af en anden enhed er ikke tilladt uden tilladelse fra den enhed, der er knyttet til kontoen.
#4. Overvåg for lækkede adgangskoder
Når brugere forsøger at oprette brugernavne og adgangskoder til en online platform i stedet for blot at tjekke for styrken af adgangskoderne, kan legitimationsoplysningerne modtjekkes mod offentliggjorte lækkede adgangskoder. Dette hjælper med at forhindre brugen af legitimationsoplysninger, som senere kan udnyttes.
Organisationer kan implementere løsninger, der overvåger brugeroplysninger i forhold til lækkede legitimationsoplysninger på det mørke web og giver brugerne besked, når der er fundet et match. Brugere kan derefter blive bedt om at bekræfte deres identitet gennem en række forskellige metoder, ændre legitimationsoplysninger og også implementere MFA for yderligere at beskytte deres konto
#5. Oplysnings-hashing
Dette involverer scrambling af brugerlegitimationsoplysninger, før de gemmes i en database. Dette er med til at beskytte mod misbrug af legitimationsoplysninger i tilfælde af et databrud på systemerne, da legitimationsoplysningerne vil blive gemt i et format, der ikke kan bruges.
Selvom dette ikke er en idiotsikker metode, kan det give brugerne tid til at ændre deres adgangskoder i tilfælde af et databrud.
Eksempler på Credential Stuffing-angreb
Nogle bemærkelsesværdige eksempler på credential-stuffing-angreb inkluderer:
- Stjælingen af over 500.000 Zoom-legitimationsoplysninger i 2020. Dette legitimationsfyldningsangreb blev udført ved hjælp af brugernavne og adgangskoder hentet fra forskellige dark web-fora, med legitimationsoplysninger fra angreb, der går så langt tilbage som i 2013. De stjålne zoom-legitimationsoplysninger blev gjort tilgængelige på the dark web og sælges billigt til villige købere
- Gå på kompromis med tusindvis af Canada Revenue Agency (CRA) brugerkonti. I 2020 blev omkring 5500 CRA-konti kompromitteret i to separate legitimationsangreb, hvilket resulterede i, at brugere ikke kunne få adgang til tjenester, der tilbydes af CRA.
- Kompromis med 194.095 The North Face-brugerkonti. The North Face er et firma, der sælger sportstøj, og det blev ramt af et angreb på legitimationsoplysninger i juli 2022. Angrebet resulterede i læk af brugerens fulde navn, telefonnummer, køn, loyalitetspoint, fakturerings- og leveringsadresse, kontooprettelsesdato, og købshistorik.
- Reddit credential-stuffing-angreb i 2019. Adskillige Reddit-brugere blev låst ude af deres konti, efter at deres legitimationsoplysninger blev kompromitteret gennem credential-stuffing-angreb.
Disse angreb fremhæver vigtigheden af behovet for at beskytte dig selv mod lignende angreb.
Konklusion
Du er muligvis stødt på sælgere af legitimationsoplysninger til streamingsider som Netflix, Hulu og disney+ eller onlinetjenester som Grammarly, Zoom og Turnitin, blandt andre. Hvor tror du, sælgerne henter legitimationsoplysningerne?
Tja, sådanne legitimationsoplysninger er sandsynligvis opnået gennem legitimationsfyldte angreb. Hvis du bruger de samme legitimationsoplysninger på tværs af flere onlinekonti, er det på tide, du ændrer dem, før du bliver et offer.
For yderligere at beskytte dig selv skal du implementere multifaktorgodkendelse på alle dine onlinekonti og undgå at købe kompromitterede legitimationsoplysninger, da dette skaber et muliggørende miljø for angreb, der fylder legitimationsoplysninger.
