Łącznie 500 milionów kont Zoom jest na sprzedaż w ciemnej sieci dzięki „nadziewaniu poświadczeń”. Przestępcy często włamują się na konta internetowe. Oto, co właściwie oznacza ten termin i jak możesz się chronić.
Zaczyna się od ujawnionych baz danych haseł
Ataki na usługi online są powszechne. Przestępcy często wykorzystują luki w zabezpieczeniach systemów, aby zdobyć bazy danych zawierające nazwy użytkowników i hasła. Bazy danych skradzionych danych logowania są często sprzedawane online w ciemnej sieci, a przestępcy płacą w Bitcoin za przywilej dostępu do bazy danych.
Załóżmy, że masz konto na forum Avast, które było naruszone z powrotem w 2014 roku. To konto zostało naruszone, a przestępcy mogą mieć Twoją nazwę użytkownika i hasło na forum Avast. Avast skontaktował się z Tobą i poprosił o zmianę hasła do forum, więc w czym problem?
Niestety problem polega na tym, że wiele osób ponownie używa tych samych haseł na różnych stronach internetowych. Załóżmy, że Twoje dane logowania na forum Avast to „[email protected]” i „AmazingPassword”. Jeśli zalogowałeś się na innych stronach internetowych przy użyciu tej samej nazwy użytkownika (twój adres e-mail) i hasła, każdy przestępca, który zdobędzie Twoje ujawnione hasła, może uzyskać dostęp do tych innych kont.
Wypełnianie poświadczeń w akcji
„Upychanie poświadczeń” polega na korzystaniu z tych baz danych zawierających dane logowania, które wyciekły, i próbie zalogowania się za ich pomocą w innych usługach online.
Przestępcy biorą duże bazy danych zawierające kombinacje nazw użytkowników i haseł, które wyciekły — często miliony danych logowania — i próbują logować się za ich pomocą na innych stronach internetowych. Niektóre osoby ponownie używają tego samego hasła w wielu witrynach, więc niektóre będą pasować. Można to ogólnie zautomatyzować za pomocą oprogramowania, szybko wypróbowując wiele kombinacji logowania.
W przypadku czegoś tak niebezpiecznego, co brzmi tak technicznie, to wszystko — wypróbować już ujawnione dane uwierzytelniające w innych usługach i sprawdzić, co działa. Innymi słowy, „hakerzy” umieszczają wszystkie te dane logowania w formularzu logowania i sprawdzają, co się stanie. Niektóre z nich na pewno zadziałają.
Jest to obecnie jeden z najczęstszych sposobów „hackowania” kont internetowych przez atakujących. Tylko w 2018 r. sieć dostarczania treści Akamai zarejestrował prawie 30 miliardów ataków polegających na wypychaniu danych uwierzytelniających.
Jak się chronić
Ochrona przed upychaniem poświadczeń jest dość prosta i polega na przestrzeganiu tych samych praktyk dotyczących bezpieczeństwa haseł, które eksperci ds. bezpieczeństwa zalecają od lat. . Nie ma magicznego rozwiązania — po prostu dobra higiena haseł. Oto rada:
- Unikaj ponownego używania haseł: Użyj unikalnego hasła dla każdego konta, z którego korzystasz online. W ten sposób, nawet jeśli Twoje hasło wycieknie, nie będzie można go używać do logowania się na innych stronach internetowych. Atakujący mogą próbować wepchnąć Twoje dane uwierzytelniające do innych formularzy logowania, ale to nie zadziała.
- Użyj menedżera haseł: Zapamiętywanie silnych, unikalnych haseł jest prawie niewykonalnym zadaniem, jeśli masz konta w wielu witrynach, a prawie wszyscy to robią. Zalecamy korzystanie z menedżera haseł, takiego jak 1Hasło(płatne) lub Bitwarden(bezpłatny i open-source), aby zapamiętać Twoje hasła. Może nawet generować te silne hasła od podstaw.
- Włącz uwierzytelnianie dwuskładnikowe: W przypadku uwierzytelniania dwuetapowego musisz podać coś innego — na przykład kod wygenerowany przez aplikację lub wysłany do Ciebie SMS-em — za każdym razem, gdy logujesz się do witryny. Nawet jeśli osoba atakująca zna Twoją nazwę użytkownika i hasło, nie będzie mogła zalogować się na Twoje konto, jeśli nie będzie miała tego kodu.
- Otrzymuj powiadomienia o wycieku hasła: Z usługą taką jak Czy zostałem pokonany?, możesz otrzymać powiadomienie, gdy Twoje dane logowania pojawią się w wycieku.
Jak usługi mogą chronić przed wypełnianiem poświadczeń?
Chociaż poszczególne osoby muszą wziąć odpowiedzialność za zabezpieczenie swoich kont, istnieje wiele sposobów ochrony usług online przed atakami polegającymi na wypychaniu poświadczeń.
- Skanuj wyciekające bazy danych w poszukiwaniu haseł użytkowników: Facebook i Netflix zeskanowałem wyciekły bazy danych haseł, porównując je z danymi uwierzytelniającymi logowanie w ich własnych usługach. Jeśli istnieje dopasowanie, Facebook lub Netflix mogą poprosić własnego użytkownika o zmianę hasła. Jest to sposób na pokonanie nadziewaczy poświadczeń.
- Oferuj uwierzytelnianie dwuetapowe: Użytkownicy powinni mieć możliwość włączenia uwierzytelniania dwuskładnikowego w celu zabezpieczenia swoich kont internetowych. Szczególnie wrażliwe usługi mogą sprawić, że będzie to obowiązkowe. Mogą również poprosić użytkownika o kliknięcie łącza weryfikacji logowania w wiadomości e-mail, aby potwierdzić prośbę o zalogowanie.
- Wymagaj CAPTCHA: Jeśli próba logowania wygląda dziwnie, usługa może wymagać wprowadzenia kodu CAPTCHA wyświetlanego na obrazie lub kliknięcia innego formularza w celu zweryfikowania, że człowiek – a nie bot – próbuje się zalogować.
- Ogranicz wielokrotne próby logowania: usługi powinny próbować blokować botom podejmowanie dużej liczby prób logowania w krótkim czasie. Nowoczesne, wyrafinowane boty mogą próbować logować się z wielu adresów IP jednocześnie, aby ukryć próby wypychania poświadczeń.
Złe praktyki dotyczące haseł — i, szczerze mówiąc, słabo zabezpieczone systemy internetowe, które często są zbyt łatwe do złamania — sprawiają, że upychanie poświadczeń stanowi poważne zagrożenie dla bezpieczeństwa konta internetowego. Nic dziwnego, że wiele firm z branży technologicznej chce budować bezpieczniejszy świat bez haseł.