Hogyan védekezhetünk az ellopott felhasználóazonosítókkal szemben?

Az online biztonság mindenki számára kiemelten fontos téma. Azonban sokan nem veszik komolyan a kockázatot amit mi sem tükröz jobban, minthogy ugyanazt a jelszót használják minden online fiókjukhoz.

Egy 2021-es kutatás szerint a válaszadó dolgozók 44%-a ugyanazt a bejelentkezési azonosítót használja mind a személyes, mind a munkával kapcsolatos fiókokhoz.

Ez komoly veszélyt jelenthet a szervezetek számára, amelyek egyszerű felhasználónév/jelszó kombinációval védenek rendszereket és adatokat.

Az ilyen típusú egyszerű védelem könnyebbé és gyorsabbá teszi az esetleges behatolást azok számára, akik megpróbálnak betörni.

Emellett azok a felhasználók, akik nem követik a megfelelő, jelszavakra vonatkozó szabályokat – például olyan jelszavak használata, amelyek megtalálhatók egy szótárban, vagy nem változtatják meg a támadások során kikerült jelszavakat stb. – nagyobb kockázatnak vannak kitéve a támadásokra.

Az egyik leggyakoribb módszer, amellyel védett rendszerekbe és fiókokba törnek be, az azonosítókkal való feltöltés, avagy credential stuffing attack.

Mi az a credential stuffing attack?

Ezeknek a támadásoknak az a lényege, hogy a támadók kompromittált azonosítókkal (felhasználónevek és jelszavak, amelyek más szervezeteknél történt adatsértések során kerültek nyilvánosságra) árasztják el a bejelentkezési végpontokat, majd további rosszindulatú tevékenységeket végeznek, miután már sikerült hozzáférést szerezniük.

Gyakran előfordul, hogy az ellopott azonosítók listáit megvásárolják és értékesítik a sötét weben, és ezekkel próbálnak meg betörni több szervezethez.

Bár a sikeres támadások aránya alacsony ezen ellopott adatok felhasználásával, a siker esélyét növeli, hogy a támadók rengeteg azonosítóhoz férnek hozzá. Valamint az is, hogy a felhasználók általában elmulasztják megváltoztatni a belépési adataikat – még egy adatszivárgás után is.

A Cloudflare komoly brute force támadások során megfigyelte, hogy a kiszivárgott azonosítókat használó HTTP kérésekből percek alatt 12 000-nél is többet regisztráltak. Még akkor is, ha csak egy töredékük volt is sikeres, komoly károkat okozhatott volna egy-egy szervezetnek, ha egy támadóknak sikerül áttörnie a védelmi rendszert.

A credential stuffing támadások gyakori és nagy mennyiségben történő kísérletei miatt proaktív és többrétegű biztonsági stratégiát kell alkalmazni az ezekkel szembeni védekezésre. Ez magában foglalhatja a hamis bejelentkezési kérelmek blokkolását, erős hitelesítési követelmények érvényesítését és a támadás esetén a vírus/károkozó terjedésének minimalizálását.

Miért működik még mindig a credential stuffing?

A sikeres credential stuffing eredményeként a támadók teljes ellenőrzést szerezhetnek egy felhasználó fiókjáról, és így ellophatnak bizalmas adatokat, kompromittálhatják a belső rendszereket vagy nagyobb támadásokat hajtanak végre.

Vegyük példaként a DraftKings nevű sportfogadási céget, amely súlyos credential stuffing támadást szenvedett el.

Ennek során ellopták a felhasználói azonosítókat és hozzáférést szereztek rendszereikhez – ezáltal veszélyeztetve több mint 67 000 felhasználó személyes adatait.

Ezek az adatok magukba foglalták a címeket, e-mail címeket, telefonszámokat, számlaegyenleg információkat, részleges bankkártya adatokat és más érzékeny információkat is.

A támadóknak így sikerült körülbelül 300 000 dollárt kivenniük több felhasználói fiókból.

Az ilyen támadások után néhány felhasználó gyorsan megváltoztatja jelszavát a feltört fiókján.

Azonban sokan továbbra is használják a kiszivárgott jelszavaikat több rendszerben is, vagy egyszerűen kevésbé biztonságos jelszavakra cserélik le azokat.

Ezt a Carnegie Mellon Egyetem kutatása is alátámasztja: csak háromból egy ember változtatta meg jelszavát egy ismert adatszivárgás után.

És mivel az ismert adatszivárgással járó esetek száma magas – csak 2022-ben több mint 700 millió lopott azonosítót eredményezett – az ellopott felhasználói azonosítók megszerzése nagyon könnyű feladat azoknak a támadóknak, akik rendelkeznek megfelelő erőforrásokkal.

Miután egy támadónak sikerült feltörnie egy hiteles felhasználói fiókot, ezeknek az adatoknak a kombinációit felhasználhatja más szervezetek is célba vehet.

Például ha egy alkalmazott munkahelyi belépési adatait feltörték és eladták a dark weben, akkor a támadók ezeket az adatokat használhatják banki alkalmazások vagy más értékes célpontok megtámadására is, amely további veszteségeket okozhat, ha az áldozat ugyanazt a jelszót használja több platformhoz is.

Hiszen a felhasználók nagy része ezt teszi…

A biztonsággal járó kényelmetlenségek

Amikor az azonosítók visszaélésével kapcsolatos fenyegetésekről beszélünk, az mind az egyéni felhasználókra, mind pedig a szervezetekre vonatkozik.

Fontos jó jelszókészítési gyakorlatokat alkalmazni, de ez önmagában nem elegendő ahhoz, hogy védekezzünk az ilyen típusú támadásokkal szemben.

Például olyan szervezeteknél, amelyek csak egyfaktoros hitelesítést alkalmaznak (például csak felhasználónév/jelszó párost igényelnek), indirekt módon nagyobb kockázatnak teszik ki felhasználóikat, mivel a támadóknak csak egyféle támadást kell végrehajtaniuk ahhoz, hogy feltörjék a védett fiókokat és rendszereket.

Ezzel szemben olyan szervezeteknél, amelyek többféle hitelesítést követelnek meg (például egy felhasználónév/jelszó kombinációt és egyedi fizikai tokent), megkövetelik a jelszavak rendszeres frissítését és bevezetik a Zero Trust biztonsági intézkedéseket, sokkal nagyobb eséllyel tudnak védekezni a credential stuffing támadásokkal szemben.

Védekező intézkedések

Azonban számos tényező bonyolíthatja egy szervezet kísérleteit a credential stuffing megelőzésére.

Mivel ezek a támadások más cégektől ellopott vagy sötét weben vásárolt adatokra támaszkodnak, előfordulhat, hogy az intézmény nem tud róla, hogy felhasználói kompromittált hitelesítő adatokat használnak újra.

Emellett a támadók gyakran automatizált módon próbálkoznak a bejelentkezési végpontokkal, rosszindulatú botok segítségével.

Ennek ellenére vannak olyan stratégiák és intézkedések, amelyeket egy szervezet alkalmazhat annak érdekében, hogy megvédje felhasználóit és adatait:

Kétlépcsős hitelesítés alkalmazása

Az egyik legfontosabb védelmi intézkedés a kétlépcsős hitelesítés (MFA) bevezetése. Ez azt jelenti, hogy a felhasználóknak nemcsak egy felhasználónév és jelszó párost kell megadniuk a bejelentkezéshez, hanem további azonosítási módszereket is fel kell használniuk, például egyedi fizikai tokent vagy egy SMS-ben kapott egyedi kódot.

Ez megnehezíti a támadóknak a fiókok feltörését még akkor is, ha az ellopott azonosítókkal próbálkoznak.

Az ellopott azonosítókkal rendelkező kérések blokkolása

A szervezetek konfigurálhatják a webalkalmazás tűzfalának szabályait (WAF), hogy az ellenőrizze a bejelentkezési kéréseket a nyilvánosan elérhető lopott azonosítók adatbázisával.

Amikor egyezést talál, a felhasználót interaktív kihívással szembesíthetik (captcha), vagy automatikusan visszautasíthatják a kérést.

Ez segít megakadályozni a credential stuffing támadásokat, mert az ellopott azonosítókkal rendelkező kérések nem juthatnak át a védelmi rendszeren.

Zero Trust biztonság alkalmazása

A Zero Trust biztonsági modell egy modern megközelítés a biztonság terén.

Ez azt feltételezi, hogy a fenyegetések mind belülről, mind kívülről érkezhetnek egy szervezet hálózatába.

A Zero Trust folyamatosan ellenőriz minden felhasználót, eszközt és kérést.

Ez többet jelent, mint a kétlépcsős hitelesítés, mert minimálisra csökkenti a felhasználók kitettségét a érzékeny adatoknak, ellenőrzi az eszközazonosságot és engedélyeket, és ismételten ellenőrzi a felhasználó azonosságát.

Ezek az intézkedések segítenek megakadályozni az illetéktelen behatolást, csökkentik a vírus terjedés lehetőségét és enyhítik egy sikeres támadás hatását.

Ezek a védelmi intézkedések segítenek csökkenteni a credential stuffing támadások sikeres végrehajtását és minimalizálják a kockázatot.

Az ilyen típusú védelmi stratégiák alkalmazása kulcsfontosságú a felhasználók és az adatok biztonságának megőrzése érdekében.

Hogyan előzhető meg a credential stuffing támadás a Cloudflare Zero Trust alkalmazásával?

A Cloudflare Zero Trust egy hatékony megoldás a credential stuffing elleni védekezésre.

1. Rate limiting (Gyakorisági korlátozás): A Cloudflare lehetővé teszi a felhasználók számára, hogy korlátozzák a sikertelen bejelentkezési kísérletek számát egy adott időszak alatt. Ez megakadályozza, hogy az ellopott azonosítókkal rendelkező támadók végtelen mennyiségű próbálkozást tegyenek. A rate limiting beállítása segít csökkenteni a sikertelen bejelentkezési kísérletek számát, és ezáltal nehezebbé teszi a támadók számára a belépést.
2. Bad bot blocking (Rossz botok blokkolása): A credential stuffing támadások gyakran automatizált botok segítségével történnek. A Cloudflare lehetőséget biztosít arra, hogy blokkoljuk a rosszindulatú botokat, amelyek nagy mennyiségű bejelentkezési kísérletet hajtanak végre. Ezáltal megakadályozható, hogy a támadók túlterheljék a rendszert és sikeresen feltörjék az azonosítókat.
3. Custom firewall rules (Egyéni tűzfal szabályok): A Cloudflare lehetőséget nyújt az egyéni tűzfal szabályok beállítására. Ez azt jelenti, hogy a szervezetek különböző szabályokat állíthatnak be a bejelentkezési kérések ellenőrzésére. Például az ellopott azonosítókkal rendelkező kéréseket lehet blokkolni vagy további ellenőrzésnek alávetni. Az egyéni tűzfal szabályok testre szabhatók annak érdekében, hogy hatékonyan védekezzünk a credential stuffing támadások ellen.

A Cloudflare Zero Trust alkalmazása segít megvédeni a rendszereket és az adatokat a credential stuffing támadásokkal szemben. Az eszköz hatékonyan blokkolja a rosszindulatú tevékenységeket, korlátozza a sikertelen bejelentkezési kísérleteket és lehetőséget nyújt az egyedi védelmi intézkedések beállítására. Ezáltal növeli a biztonságot és minimalizálja a credential stuffing támadások kockázatát.

Forrás: cloudflare.com