Что такое атака с подстановкой учетных данных

Атака с подстановкой учетных данных — один из самых эффективных способов захвата аккаунтов. Рассказываем, как это работает и что следует делать для защиты.

Что такое подстановка учетных данных (credential stuffing)

Каждый год миллионы аккаунтов компрометируют атакой с подстановкой учетных данных. Этот метод стал настолько массовым, что еще в 2022 году, по данным одного из провайдеров аутентификации, в среднем на два легитимных входа в аккаунты приходилась одна попытка подстановки учетных данных. И за прошедшие пару лет ситуация, скорее всего, не изменилась к лучшему. В этом посте поговорим подробнее о том, как работает подстановка учетных данных, что за данные злоумышленники используют и как защитить ресурсы организации от подобных атак.

Как работают атаки с подстановкой учетных данных

Подстановка учетных данных (credential stuffing) — это один из самых эффективных вариантов атаки на учетные записи. Для таких атак используются огромные базы данных с заранее добытыми логинами и паролями от аккаунтов на тех или иных платформах. Далее злоумышленники массово подставляют эти логины и пароли в другие онлайн-сервисы в расчете на то, что какие-то из них подойдут.

В основе атаки лежит тот печальный факт, что многие люди используют один и тот же пароль в нескольких сервисах — а то и вовсе пользуются везде одним-единственным паролем. Так что ожидания злоумышленников неизбежно оправдываются, и они успешно угоняют аккаунты с помощью паролей, установленных жертвами на других платформах.

Откуда берутся подобные базы данных? Основных источника три:

  • пароли, украденные с помощью массовых фишинговых рассылок и фишинговых сайтов;
  • пароли, перехваченные зловредами, специально созданными для того, чтобы воровать пароли, — так называемыми стилерами;
  • пароли, утекшие в результате взломов онлайн-сервисов.

Последний вариант позволяет киберпреступникам добывать наиболее внушительное количество паролей. Рекорд тут принадлежит произошедшему в 2013 году взлому Yahoo! — в результате этой атаки утекло целых 3 миллиарда записей.

Правда, тут следует сделать одну оговорку: обычно сервисы не хранят пароли в открытом виде, а используют вместо этого так называемые хеши. Так что после успешного взлома эти самые хеши надо еще расшифровать. Чем проще комбинация символов, тем меньше требуется ресурсов и времени, чтобы это сделать. Поэтому в результате утечек в первую очередь рискуют пользователи с недостаточно надежными паролями.

Тем не менее если злоумышленникам действительно понадобится ваш пароль, то даже самая надежная в мире комбинация будет рано (в случае утечки хеша, скорее всего, рано) или поздно расшифрована. Поэтому каким бы надежным ни был пароль, не стоит использовать его в нескольких сервисах.

Как несложно догадаться, базы украденных паролей постоянно растут, пополняясь новыми данными. В итоге получаются совершенно монструозные архивы, количество записей в которых в разы превышает население Земли. В январе 2024 года была обнаружена самая крупная база паролей из известных на сегодняшний день — в ней содержится 26 миллиардов записей.

Как защититься от атак с подстановкой учетных данных

Чтобы защитить ресурсы организации от атаки с помощью подстановки учетных данных, мы рекомендуем использовать следующие защитные меры.

  • Повышайте осведомленность сотрудников о кибербезопасности, чтобы среди прочего донести до них опасность переиспользования паролей.
  • Разработайте и внедрите разумную парольную политику.
  • Внедряйте использование менеджеров паролей для генерации и хранения надежных и уникальных комбинаций символов. Также приложение поможет следить за утечками и порекомендует сменить пароль в том случае, если он уже попал в известные базы.
  • Наконец, обязательно настаивайте на включении двухфакторной аутентификации везде, где возможно, — это самый эффективный способ защиты не только от подстановки ранее украденных учетных данных, но и любых других атак на учетные записи.

Также для заблаговременного смягчения последствий успешной атаки с подстановкой учетных данных следует применять принцип минимальных привилегий и, конечно же, использовать надежную защиту на всех корпоративных устройствах.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.