Un număr impresionant de 1,1 milioane de conturi au fost afectate de atacuri de tip Credential-Stuffing, potrivit procurorului general al statului New York.
Atacurile Credential-Stuffing țintesc foarte sus
O investigație a statului New York a dezvăluit că infractorii cibernetici au atacat 17 companii importante cu atacuri de tip Credential-Stuffing, prin care au fost compromise peste 1,1 milioane de conturi.
Acest tip de atac utilizează scripturi automatizate pentru a încerca volume masive de combinații de credențiale împotriva conturilor online, în încercarea de a le sparge și de a le prelua. Infractorii pot folosi apoi conturile pentru diverse motive rău intenționate – pentru a se infiltra mai adânc în sistemul compromis, pentru a fura bani sau pentru a substitui victima în alte atacuri asupra contactelor sale.
Aceste atacuri reușesc de multe ori pentru că de obicei oamenii neglijează regulile de bază privind securitatea parolelor, reguli care ar putea să îi scutească de toate problemele cauzate de o breșă de securitate. Refolosesc parolele sau folosesc parole ridicol de comune, cum ar fi „12345” sau ziua lor de naștere.
Și nu sunt deloc ieftine: Raportul „Cost of Credential-Stuffing” al Institutului Ponemon a descoperit că firmele pierd, în medie, 6 milioane de dolari pe an din cauza atacurilor de tip Credential-Stuffing”.
„Cu peste 8,4 miliarde de parole libere și peste 3,5 miliarde de parole legate de adrese de e-mail reale, acestea oferă un punct de plecare și un vector de atac ușor pentru infractorii cibernetici pentru a viza diverse site-uri online care utilizează conturi pentru clienții lor”, a declarat prin e-mail James McQuiggan, avocat specializat în conștientizarea securității la KnowBe4. „Aceste tipuri de atacuri oferă acces la informații personale despre utilizator, informații fiscale și, bineînțeles, la numerele de securitate socială ale acestuia și, eventual, ale familiei sale apropiate. În plus, infractorii cibernetici recunosc faptul că multe organizații sau utilizatori nu vor pune în aplicare măsuri de securitate suplimentare și vor folosi aceeași parolă în diverse conturi de pe site-uri web.”
OAG (Office of the AG) a efectuat o investigație de câteva luni privind activitatea pe forumurile de criminalitate informatică dedicate credential stuffing-ului pentru a determina amploarea problemei.
„OAG a găsit mii de postări care conțineau datele de autentificare ale clienților pe care atacatorii le-au testat într-un atac de tip Credential Stuffing” și au confirmat că puteau fi folosite pentru a accesa conturile clienților pe site-uri web sau în aplicații”, potrivit unei declarații de presă de miercuri.
Cele 17 organizații vizate sunt „cunoscuți distribuitori online, lanțuri de restaurante și servicii de livrare de alimente”, a scris biroul.
„În acest moment, peste 15 miliarde de credențiale furate circulă pe internet, iar informațiile personale ale utilizatorilor sunt în pericol”, a declarat procurorul general al New York-ului, Letitia James. „Companiile au responsabilitatea de a lua măsuri adecvate pentru a proteja conturile online ale clienților lor, iar acest ghid prezintă măsurile de protecție esențiale pe care companiile le pot folosi în lupta împotriva credential stuffing-ului. Trebuie să facem tot ce ne stă în putință pentru a proteja informațiile personale ale consumatorilor și viața privată a acestora.”
Utilizatorii ar trebui, de asemenea, să fie atenți la atacurile ulterioare, au adăugat experții.
„La fel ca multe persoane din ziua de azi, am o aplicație de supraveghere a cartierului care mă alertează cu privire la lucrurile care se întâmplă în comunitatea mea”, a declarat Ron Bradley, vicepreședinte al Shared Assessments, prin e-mail. „Deseori, oamenii postează videoclipuri cu persoane amenințătoare care verifică încuietorile mașinilor și ușile caselor… această testare a perimetrului cu „clanțe” este similară cu anunțul recent al OAG din New York. Adevărul este că există miliarde de credențiale compromise ușor de găsit pe internet. Infractorii periculoși vor utiliza în mod constant aceste resurse în încercarea de a sparge activele digitale.”
Sfaturi pentru a evita atacurile de tip Credential-Stuffing
„În acest caz, importanța gestionării identității și accesului (IAM) nu poate fi supraestimată. Companiile trebuie neapărat să aplice mai multe niveluri de protecție, mai ales atunci când este vorba despre accesarea datelor sensibile. Ecuația pentru a combate această problemă este simplă”, a declarat Bradley.
El a recomandat aplicarea următoarelor practici de securitate:
- Parolele puternice sunt bune, dar frazele de acces sunt chiar mai bune
- Accesul privilegiat trebuie să fie întotdeauna însoțit de o autentificare multifactor.
- Restricționați aplicațiile legate de internet pentru a preveni încercările de autentificare prin forță brută
- Mecanismele de detecție și răspuns trebuie să fie implementate și validate în mod regulat.
„Acestea sunt doar câteva dintre controalele fundamentale necesare pentru a vă proteja datele”, a conchis Bradley. „Este important să vă amintiți că limita activelor digitale este similară cu apăsarea unui balon. Puteți apăsa într-o parte, dar cealaltă parte se extinde. Provocarea constă în găsirea acelui punct de mijloc. Atunci când sunt implicate terțe părți, sarcina devine din ce în ce mai dificilă, întrucât trebuie să vă asigurați că acestea urmează cel puțin controalele pe care le-ați specificat.”
Angajații dvs. tratează cu seriozitate parolele legate de locul de muncă? Puteți să îi testați chiar astăzi și să aflați cum va reacționa compania dvs. în cazul unui atac de phishing! Trainingul nostru gratuit de conștientizare în domeniul securității cibernetice este o ocazie excelentă de a pune în discuție seriozitatea cu care angajații dvs. privesc securitatea parolelor.
Surse:
Threatpost 1,1 milioane de conturi compromise găsite în 17 companii importante
