setakit.com
setakit.com

حمله سایبری Credential Stuffing

حمله Credential Stuffing  چیست؟

حمله سایبری Credential stuffing حمله ای است که از اطلاعات و دیتابیس های فاش شده طی فرایند نقض داده ها (data breach) جهت نفوذ به حساب های کاربری افراد در سایر سرویس ها و وب سایت های اینترنتی استفاده می شود.

حمله Credential Stuffing

به عنوان مثال، ممکن است یک مهاجم لیستی از نام های کاربری و پسوردها را از طریق نقض داده های یک فروشگاه بزرگ به دست آورد و با کمک آن ها سعی بر ورود به سیستم بانکی نماید. مهاجم امیدوار است برخی از مشتریان آن فروشگاه در آن بانک، حساب داشته باشند و از همان نام کاربری و رمز عبور استفاده کرده باشند.

قابل ذکر است حمله سایبری Credential stuffing با توجه به لیست هایی از اطلاعات کاربری و اعتباری فاش شده که در بازار سیاه به فروش می رسد، رونق گرفته است. گسترش این لیست ها به همراه ابزارهای پیشرفته ی credential stuffing باعث شده است این حمله سایبری از محبوبیت خاصی برخوردار گردد.

عوامل تاثیرگذار بر روی حمله سایبری Credential Stuffing

از نظر آماری، احتمال موفقیت حملات credential stuffing، بسیار پایین است. بر اساس تخمین ها می توان گفت میزان موفقیت آن ۰٫۱% است، به عبارت دیگر، از هر هزار حساب کاربری که مهاجم سعی بر دستیابی بر آن دارد، تنها به یک مورد آن دست پیدا می کند. حجم گسترده ی اطلاعات مربوط به حساب های کاربری و اعتباری که توسط مهاجمین معامله می شود، بر خلاف نرخ پایین موفقیت آن، منجر به ارزشمند و محبوب شدن آن می گردد.

این مجموعه اطلاعات حاوی میلیون ها و گاهی میلیاردها اطلاعات مربوط به ورود به سیستم (لاگین شدن) می باشد. چنانچه مهاجم اطلاعات مربوط به یک میلیون حساب کاربری را داشته باشد، یعنی می تواند حدودا به هزار حساب کاربری دسترسی پیدا کند. حتی اگر درصد کمی از حساب های کاربری، اطلاعات مفیدی ارائه دهند، باز هم این حمله ارزشمند است. در ضمن نکته منفی که وجود دارد این است که مهاجم می تواند با استفاده از اطلاعات کاربری که در اختیار دارد، آن ها را برای سرویس های مختلف امتحان کند.

پیشرفت در تکنولوژی ربات ها بر روی حملات credential stuffing تاثیر زیادی داشته است. ویژگی های امنیتی که در فرم های ورود به سیستم (لاگین) برنامه های تحت وب تعبیه شده است غالبا شامل تاخیر زمانی به صورت عمدی و همچنین ممنوعیت آدرس های آی پی است که چندین بار سعی بر ورود به سیستم داشته اند. حال نرم افزارهای مدرن و پیشرفته credential stuffing به کمک مهاجمین می آیند و با استفاده همزمان از ربات ها و تلاش در لاگین شدن چندین حساب کاربری که به نظر می رسد از دستگاه های متفاوت و همچنین با آیپی های مختلف هستند، این اقدامات امنیتی را دور می زنند. ربات مخرب همه تلاش خود را می کند تا ترافیک ایجاد شده توسط مهاجم از ترافیک  معمولی تشخیص متمایز نشود؛ و البته تلاش آن بسیار هم موثر است.

بنابراین می توان گفت تنها نشانه ای که شرکت های قربانی خواهند داشت، افزایش حجم کلی ترافیک در تلاش برای لاگین شدن می باشد. در این صورت تلاش قربانی برای متوقف ساختن ترافیک نتیجه ای نخواهد داشت.

اصلی ترین دلیل حملات credential stuffing این است که غالبا مردم از رمزهای عبور خود، استفاده مجدد می کنند. مطالعات نشان می دهد که اکثر کاربران، از اطلاعات اعتباری یکسانی برای سرویس های مختلف استفاده می کنند. لازم به ذکر است تا زمانی که چنین روندی ادامه داشته باشد، موفقیت حملات credential stuffing نیز حتمی می باشد.

تفاوت حملات credential stuffing و brute force

بر طبق دسته بندی OWASP، حمله ی credential stuffing در زیرمجموعه ی حملات brute force قرار دارد. اما با بیان دقیق تر می توان گفت حمله credential stuffing با حملات brute force تفاوت بسیاری دارد. حمله brute force در تلاش برای حدس پسورد بدون هیچ زمینه و سرنخی است و آن ها را کاملا به صورت تصادفی با هم ترکیب می کند. این در حالی است که حمله credential stuffing با استفاده از داده های به دست آمده این کار را انجام می هد.

یک دفاع خوب در برابر حملات brute force استفاده از رمزهای عبور بسیار قوی است که شامل چندین کارکتر از جمله حروف کوچک و بزرگ، اعداد و کارکترهای ویژه می باشد. اما حقیقت این است که حتی یک رمز عبور بسیار قوی باز هم نمی تواند در برابر حملات credential stuffing مقابله کند. از نظر حمله credential stuffing، این که یک رمز عبور چقدر قوی باشد، اهمیتی ندارد، و همین که در حساب های مختلف به اشتراک گذاشته شود، در معرض خطر credential stuffing قرار می گیرد.

راه های جلوگیری از حملات credential stuffing

کاربران چطور می توانند مانع از حملات credential stuffing گردند؟

از دید یک کاربر، دفاع در برابر حملات credential stuffing کار بسیار ساده ای است. بهتر است کاربران از رمزهای عبور منحصر به فرد برای هر سرویس استفاده کنند. در صورتی که یک کاربر از رمزهای عبور منحصر به فرد استفاده کند، حمله  credential stuffing در برابر حساب های وی خلع سلاح می شود. در ضمن برای افزایش امنیت در صورت امکان از احراز هویت دو عاملی استفاده شود.

سازمان ها چطور می توانند مانع از حملات credential stuffing گردند؟

متوقف ساختن حملات credential stuffing برای شرکت هایی که خدمات تایید اعتبار انجام می دهند، بسیار پیچیده تر می باشد. حمله credential stuffing در اثر نقض داده ها در شرکت های دیگر رخ می دهد. لزوما امنیت سازمانی که مورد حمله credential stuffing قرار گرفته است، به خطر نیفتاده است.

یک سازمان می تواند به کاربران پیشنهاد دهد از رمزهای عبور منحصر به فرد استفاده کنند اما نمی تواند به عنوان قانون آن را اجرا کند.

ارائه اقدامات امنیتی در رابطه با لاگین شدن کمک شایانی به کاهش حمله credential stuffing می کند. فعال کردن ویژگی هایی مانند احراز هویت دو عاملی و همچنین ملزم کردن کاربران به پر کردن فرم acptcha قبل از لاگین شدن دو عاملی هستند که ربات های مخرب را متوقف می کنند. شاید در ظاهر انجام این دو فعالیت برای کاربران ناخوشایند باشد، اما این اقدامات امنیتی در مواجهه با حملات بسیار مثمر ثمر خواهند بود.

می توان گفت قوی ترین سد دفاعی در برابر حملات credential stuffing ارائه خدمات مدیریت ربات می باشد. مدیریت ربات قادر است با استفاده از یک پایگاه داده IP Reputation، ربات های مخربی که در تلاش برای لاگین شدن هستند، متوقف سازد بدون این که تاثیری بر روی لاگین شدن های قانونی بگذارد.

 

 

 

سایر مطالب مرتبط

حملات اصلی به شبکه های کامپیوتری ستاک فناوری ویرا    حملات مهندسی اجتماعی ستاک فناوری ویرا    خدمات امنیت شبکه ستاک فناوری ویرا