Каждый год миллионы аккаунтов компрометируют атакой с подстановкой учетных данных. Этот метод стал настолько массовым, что еще в 2022 году, по данным одного из провайдеров аутентификации, в среднем на два легитимных входа в аккаунты приходилась одна попытка подстановки учетных данных. И за прошедшие пару лет ситуация, скорее всего, не изменилась к лучшему. В этом посте поговорим подробнее о том, как работает подстановка учетных данных, что за данные злоумышленники используют и как защитить ресурсы организации от подобных атак.
Как работают атаки с подстановкой учетных данных
Подстановка учетных данных (credential stuffing) — это один из самых эффективных вариантов атаки на учетные записи. Для таких атак используются огромные базы данных с заранее добытыми логинами и паролями от аккаунтов на тех или иных платформах. Далее злоумышленники массово подставляют эти логины и пароли в другие онлайн-сервисы в расчете на то, что какие-то из них подойдут.
В основе атаки лежит тот печальный факт, что многие люди используют один и тот же пароль в нескольких сервисах — а то и вовсе пользуются везде одним-единственным паролем. Так что ожидания злоумышленников неизбежно оправдываются, и они успешно угоняют аккаунты с помощью паролей, установленных жертвами на других платформах.
Откуда берутся подобные базы данных? Основных источника три:
пароли, украденные с помощью массовых фишинговых рассылок и фишинговых сайтов;
пароли, перехваченные зловредами, специально созданными для того, чтобы воровать пароли, — так называемыми стилерами;
пароли, утекшие в результате взломов онлайн-сервисов.
Последний вариант позволяет киберпреступникам добывать наиболее внушительное количество паролей. Рекорд тут принадлежит произошедшему в 2013 году взлому Yahoo! — в результате этой атаки утекло целых 3 миллиарда записей.
Правда, тут следует сделать одну оговорку: обычно сервисы не хранят пароли в открытом виде, а используют вместо этого так называемые хеши. Так что после успешного взлома эти самые хеши надо еще расшифровать. Чем проще комбинация символов, тем меньше требуется ресурсов и времени, чтобы это сделать. Поэтому в результате утечек в первую очередь рискуют пользователи с недостаточно надежными паролями.
Тем не менее если злоумышленникам действительно понадобится ваш пароль, то даже самая надежная в мире комбинация будет рано (в случае утечки хеша, скорее всего, рано) или поздно расшифрована. Поэтому каким бы надежным ни был пароль, не стоит использовать его в нескольких сервисах.
Как несложно догадаться, базы украденных паролей постоянно растут, пополняясь новыми данными. В итоге получаются совершенно монструозные архивы, количество записей в которых в разы превышает население Земли. В январе 2024 года была обнаружена самая крупная база паролей из известных на сегодняшний день — в ней содержится 26 миллиардов записей.
Как защититься от атак с подстановкой учетных данных
Чтобы защитить ресурсы организации от атаки с помощью подстановки учетных данных, мы рекомендуем использовать следующие защитные меры.
Повышайте осведомленность сотрудников о кибербезопасности, чтобы среди прочего донести до них опасность переиспользования паролей.
Разработайте и внедрите разумную парольную политику.
Внедряйте использование менеджеров паролей для генерации и хранения надежных и уникальных комбинаций символов. Также приложение поможет следить за утечками и порекомендует сменить пароль в том случае, если он уже попал в известные базы.
Наконец, обязательно настаивайте на включении двухфакторной аутентификации везде, где возможно, — это самый эффективный способ защиты не только от подстановки ранее украденных учетных данных, но и любых других атак на учетные записи.
Также для заблаговременного смягчения последствий успешной атаки с подстановкой учетных данных следует применять принцип минимальных привилегий и, конечно же, использовать надежную защиту на всех корпоративных устройствах.
Блог Касперского