Používanie rovnakého hesla naprieč viacerými účtami je síce pohodlné, no poskytuje živnú pôdu pre problémy, ktoré môžu zasiahnuť celý váš digitálny svet. Tento (zlo)zvyk vytvára ideálne podmienky na credential stuffing – techniku, pri ktorej útočníci používajú zoznamy predtým uniknutých prihlasovacích údajov a systematicky zadávajú dvojice používateľského mena a hesla do prihlasovacích formulárov vybraných online služieb. Ak používate tie isté prihlasovacie údaje v rôznych účtoch, jediná takáto dvojica môže útočníkom poskytnúť prístup aj k službám, ktoré spolu nijako nesúvisia.
Credential stuffing je v digitálnom svete doslova ekvivalentom situácie, keď niekto objaví univerzálny kľúč, ktorý otvorí dom, kanceláriu aj trezor – všetko naraz. A nájsť takýto kľúč pritom vôbec nemusí byť ťažké – môže pochádzať z minulých únikov údajov či zo zločineckých fór, prípadne môžu útočníci nasadiť tzv. infostealer, ktorý z napadnutých zariadení a webových prehliadačov získava prihlasovacie údaje.
Objavte svet Bajtovcov, kde sa digitálny svet prelína s každodennými dobrodružstvami. Poučné epizódy, nečakané výzvy a stále viac záhad na obzore! Pozrite si všetky epizódy.
Čo robí credential stuffing takým nebezpečným a účinným?
Ako je už pravdepodobne zrejmé, táto technika sa útočníkom mimoriadne vypláca vzhľadom na našu tendenciu používať rovnaké heslá naprieč rôznymi účtami vrátane tých najhodnotnejších, ako sú účty v internetbankingu, e-mailových službách, na sociálnych sieťach či v e-shopoch. To, aký rozšírený je tento zlozvyk, ilustruje aj prieskum spoločnosti NordPass, podľa ktorého sa 62 % Američanov priznáva, že heslá „často“ alebo „vždy“ recyklujú.
Keď útočník získa prihlasovacie údaje z jedného miesta, môže ich skúšať prakticky všade inde. Pomocou botov alebo automatizovaných nástrojov môže tieto prihlasovacie údaje zadávať do prihlasovacích formulárov alebo rozhraní API, pričom strieda IP adresy a napodobňuje správanie legitímnych používateľov, aby zostal nepovšimnutý.
V porovnaní s útokmi hrubou silou, pri ktorých sa útočníci pokúšajú uhádnuť heslo pomocou náhodných alebo bežne používaných vzorov, je metóda credential stuffing jednoduchšia: využíva údaje, ktoré ľudia alebo nimi používané online služby v minulosti nechtiac prezradili – neraz ešte pred mnohými rokmi. A na rozdiel od útokov hrubou silou, pri ktorých môžu opakované neúspešné pokusy o prihlásenie spustiť poplach, sa pri metóde credential stuffing používajú platné prihlasovacie údaje, takže útoky často uniknú pozornosti.
Hoci credential stuffing nie je žiadnou novinkou, niekoľko trendov situáciu ešte viac zhoršilo. Množstvo infostealerov dramaticky narástlo – potichu získavajú prihlasovacie údaje priamo z webových prehliadačov a môžu predstavovať hrozbu dokonca aj pre správcov hesiel. Útočníci môžu zároveň využívať skripty (s podporou umelej inteligencie), ktoré simulujú bežné ľudské správanie a dokážu prekĺznuť cez základnú ochranu proti botom, pričom testujú kombinácie prihlasovacích údajov ešte nenápadnejšie a vo väčšom rozsahu.
Takto vyzerá rozsah, v akom môžu byť útoky typu credential stuffing vykonávané:
- V roku 2022 spoločnosť PayPal oznámila, že takmer 35 000 zákazníckych účtov bolo kompromitovaných metódou credential stuffing. Samotná finančno‑technologická spoločnosť nebola napadnutá – útočníci jednoducho využili prihlasovacie údaje zo starších únikov dát a získali prístup k účtom používateľov, ktorí používali tie isté heslá naprieč viacerými službami.
- Vlna útokov v roku 2024, ktorá zasiahla zákazníkov spoločnosti Snowflake, ukázala ďalší rozmer problému. Samotná služba na ukladanie a spracovanie dát nebola kompromitovaná, incident sa však dotkol približne 165 organizácií, ktoré boli jej zákazníkmi. Stalo sa tak po tom, čo útočníci použili prihlasovacie údaje, predtým odcudzené pomocou infostealeru, na prístup k účtom týchto firiem na platforme Snowflake, pričom niektoré obete neskôr dostali žiadosti o výkupné za ukradnuté údaje.
Ako sa chrániť
Tu je niekoľko praktických krokov, ktoré môžete podniknúť, aby ste zostali v bezpečí. Najmä prvý krok je (až odzbrojujúco) jednoduchý:
- Nikdy nepoužívajte rovnaké heslo na viacerých stránkach alebo službách. Správca hesiel vám to výrazne uľahčí, pretože dokáže generovať a ukladať silné a jedinečné heslá pre každý účet.
- Zapnite si dvojfaktorovú autentifikáciu všade tam, kde je to možné. Aj keď útočníci poznajú vaše heslo, bez druhého faktora sa do vášho účtu nedostanú.
- Buďte v strehu a používajte aj služby ako haveibeenpwned.com, ktoré vám umožnia skontrolovať, či váš e‑mail alebo prihlasovacie údaje neboli odhalené pri predchádzajúcich únikoch dát alebo bezpečnostných incidentoch. Ak áno, okamžite konajte a zmeňte svoje heslá, najmä v prípade účtov, ktoré uchovávajú citlivé údaje.
Príručka digitálnej bezpečnosti pre všetky generácie
Či už ide o ochranu osobných údajov, bezpečné heslá, alebo prevenciu pred podvodmi, naša príručka obsahuje tie najdôležitejšie tipy, ktoré vaši blízki potrebujú vedieť, aby mohli technológie využívať bez obáv.
Ako chrániť svoju organizáciu
V súčasnosti je credential stuffing hlavným vektorom prevzatia kontroly nad účtami, podvodov a rozsiahlych krádeží údajov v rôznych odvetviach vrátane maloobchodu, finančníctva, SaaS (softvér ako služba) či zdravotníctva. Mnohé organizácie sa pri overovaní stále spoliehajú iba na heslá, a aj tam, kde je dostupná dvojfaktorová autentifikácia, nebýva vždy štandardne zapnutá. Spoločnosti by tiež mali obmedziť počet pokusov o prihlásenie, používať zoznamy povolených sietí alebo IP adries, monitorovať neobvyklú prihlasovaciu aktivitu a zaviesť systémy na detekciu botov či mechanizmy CAPTCHA, aby zabránili automatizovanému zneužívaniu.
Dôležité je, že mnohé organizácie prechádzajú na overovanie bez hesla, napríklad prostredníctvom prístupových kľúčov, ktoré účinne znemožňujú credential stuffing. Adopcia týchto riešení je však stále nerovnomerná a staré zvyky sa odstraňujú len ťažko, takže niet divu, že credential stuffing naďalej prináša útočníkom vysoký zisk pri minimálnom úsilí.
Milióny uniknutých prihlasovacích údajov zároveň zostávajú platné aj dlho po úniku dát, najmä keď si používatelia svoje heslá nikdy nezmenia. Preto je credential stuffing lacný, mimoriadne škálovateľný a pre kyberzločincov stále veľmi efektívny.
Komplexná ochrana vášho digitálneho života
Komplexná ochrana vášho digitálneho života. Vyberte si úroveň podľa svojich potrieb.
Záver
Credential stuffing je prekvapivo jednoduchá, lacná a dobre škálovateľná útočná technika. Funguje preto, že využíva naše vlastné návyky proti nám a obchádza zastarané bezpečnostné opatrenia. Pokiaľ nechcete úplne prestať používať heslá, riziko prelomenia zabezpečenia účtu sa dá eliminovať premyslenými postupmi pri práci s heslami. Ich uplatňovanie by však nemalo byť voliteľné – musia sa stať štandardnou praxou.
Spracoval: tím ESET
Zdroj: Credential stuffing: What it is and how to protect yourself
