Credential Stuffing là gì ?
Credential stuffing (Nhồi thông tin danh tính) là một loại tấn công mạng trong đó thông tin tài khoản bị đánh cắp thường bao gồm danh sách tên người dùng và/hoặc địa chỉ email và mật khẩu tương ứng (thường là do vi phạm dữ liệu) được sử dụng để truy cập trái phép vào tài khoản người dùng thông qua các yêu cầu đăng nhập tự động quy mô lớn chống lại một ứng dụng web.
1. Credential Stuffing là gì ?
- Credential stuffing là một loại tấn công mạng cho phép hacker chạy một số lượng thông tin đăng nhập bị đánh cắp đối với một trang web cho phép truy cập bằng tài khoản online. Nói một cách đơn giản, credential stuffing là một số lượng lớn emails, usernames và password được nhập vào một trang web cho đến khi cuộc tấn công thành công với thông tin đăng nhập trùng khớp với một tài khoản tồn tại trong hệ thống.
- Credential stuffing là một kỹ thuật tấn công đáng sợ và nguy hiểm đã nhanh chóng trở thành phương thức tấn công số một được sử dụng bởi tội phạm mạng. Trên thực tế, theo báo cáo Verizon’s 2017 Data Breach Investigations Report cho biết 81% các tổ chức đã báo cáo các vi phạm liên quan đến hacker bởi một bên không được phép sử dụng mật khẩu bị đánh cắp hoặc mật khẩu yếu. Số lượng sự cố lạm dụng thông tin xác thực tăng lên 18% từ báo cáo của Verizon năm 2016, làm cho credential stuffing trở thành kỹ thuật tấn công phổ biến nhất. Với hơn ba tỷ hồ sơ bị rò rỉ vào web đen năm 2016, việc credential stuffing đã nhanh chóng vượt xa các phương thức tấn công khác và trở thành ưu tiên hang đầu của các chuyên gia an ninh mạng để bảo vệ.
2. Cách thức đánh cắp thông tin
- Có bốn cách phổ biến để hackers và tội phạm mạng có được một số lượng lớn thông tin và người dùng đăng nhập bị đánh cắp cho các cuộc tấn công credential stuffing.
- Stolen Databases: Đây là phương pháp phổ biến và dễ dàng nhất để truy cập vào một lượng lớn thông tin người dùng là lấy cơ sở dữ liệu bị đánh cắp username và password đã bị rò rỉ trên dark web (đây là một phần của Internet nơi diễn ra các hoạt động bất hợp pháp). Khi một cơ sở dữ liệu lớn ( ví dụ như Dropbox khoảng 70 triệu người dùng, Myspace có 164 triệu người dùng) thông tin đăng nhập bị đánh cắp và rò rỉ ở dark web, các hacker có thể mua bán hoặc trao đổi để truy cập trực tiếp vào hang triệu thông tin đăng nhập của người dùng sẵn sàng để sử dụng một trong thông tin đăng nhập để tấn công.
- Leaked Database: Cũng nguy hiểm không kém gì với stolen database. Leaker database xảy ra khi chuyển dữ liệu từ bên trong một tổ chức (hoặc cá nhân) đến một điểm bên ngoài chẳng hạn như data center. Mặc dù thường không có chủ ý, data leak cung cấp cho tội phạm mạng quyền truy cập công khai vào dữ liệu người dùng bao gồm username và password.
- Phising Attacks: Mặc dù với số lượng nhỏ, các hacker mang lại thông tin bị đánh cắp bằng cách nhắm mục tiêu người dùng với email spam bao gồm các liên kết lừa đảo. Mặc dù số lượng số lượng nhỏ hơn có vẻ ít nguy hiểm hơn, các cuộc tấn công phising cung cấp cho hacker plaintext password và username, rất dễ làm cho cuộc tấn công đăng nhập trái phép thành công.
- Botnets: Cuối cùng, tội phạm mạng sử dụng Botnet và trình duyệt để đánh cắp thông tin đăng nhập. Botnet được sử dụng để thu thập thông tin người dùng đăng nhập khi người dùng đăng nhập thông tin của họ vào các field online. Phần mềm botnet tồn tại trên một trình duyệt bị nhiễm và bắt lấy thông tin được chia sẻ bởi nhiều người dùng. Kỹ thuật này rất khó phát hiện và bảo vệ chống lại. Đặc biệt là nếu trình duyệt bị ảnh hưởng không chú ý đến phần mềm botnet.
- Bây giờ chúng ta sẽ giải thích một chút về sơ đồ cuộc tấn công Credential Stuffing
- Một tổ chức bị tấn công và thông tin đăng nhập của nhân viên bị đánh cắp.
- Tiếp theo dữ liệu bị đánh cắp sẽ bị rỏ rì ở dark web cho các mối đe dọa khác để cùng khai thác
- Tiếp đó là một số lượng lớn nhóm và hacker có được dữ liệu nhân viên bị đánh cắp.
- Sau đó các hacker hoặc tội phạm mạng sẽ sử dụng dữ liệu đó để đăng nhập, và chiếm quyền truy cập đến các tài khoản khác.
- Cuối cùng hacker sẽ chiếm quyền truy cập hệ thống của công ty, và hacker sẽ bắt đầu lặp lại tiến trình tương tự như vậy đối với các tổ chức khác.
3. Biện pháp phòng tránh Credential Stuffing
- Bạn có thể xem credential stuffing là một mối đe dọa chỉ ảnh hưởng đến các cá nhân. Tuy nhiên, nhiều thông tin đăng nhập được tìm thấy trong mỗi cơ sở dữ liệu bị đánh cắp được liên kết trực tiếp với nhân viên bằng cách sử dụng chính xác hoặc tương tự thông tin đăng nhập cho tài khoản cá nhân công việc. Mặc dù bạn có thể có các chính sách nghiêm ngặt của công ty cấm nhân viên sử dụng email công việc hoặc thông tin đăng nhập của họ để đăng ký dịch vụ trực tuyến, nhưng điều đó không nhất thiết ngăn cản họ làm như vậy. Và, nếu email công việc hoặc thông tin đăng nhập của họ bị hack, điều đó sẽ khiến thông tin độc quyền, danh sách khách hang thậm chí các tài liệu tài chính của công ty bạn có nguy cơ bị xâm phạm cao hơn.
- Các công ty lớn bao gồm Sony, Amazon, Ebay và nhiều công ty khác đã trỏ thành nạn nhân của nhiều tội phạm mạng thông qua truy cập hệ thống trái phép. Hacker đã thành công trong việc khai thác thông tin liên lạc, danh sách và mạng riêng bằng cách tận dụng thông tin đăng nhập của nhân viên bị đánh cắp để vượt qua mọi bức tường bảo mật máy tính.
4. Cách mà Credential Stuffing tác động đến công ty bạn
- Có một vài thay đổi nhanh chóng mà bất cứ ai cũng có thể làm để bảo vệ chống lại các cuộc tấn công credential stuffing.
- Create Unique Password: Đây là bước quan trọng nhất cần thực hiện khi tăng cường bảo mật của bạn là sử dụng mật khẩu mạnh hoặc một mật khẩu phức tạp cho mỗi trang web, đảm bảo rằng mật khẩu được sử dụng trước đó từ các trang web khác sẽ không được sao chép ở nơi khác.
- Enable Two-Factor Authencation: Tính năng bảo mật đơn giản và thường bị bỏ qua này cung cấp cho người dùng một lớp bảo mật bổ sung yêu cầu một thứ mà chỉ một người dùng cụ thể có trên chúng, tức là mã bảo mật được gửi đến thiết bị để truy cập vào tài khoàn (ví dụ điện thoại, tablet, …)
- Use a Password Manager: bằng cách sử dụng trình quản lí mật khẩu như LastPass hoặc PassPack, các cá nhân có thể tạo mật khẩu mạnh và duy nhất cho tài khoản trực tuyến của mình trong kho mật khẩu trưc tuyến được bảo mật mà không cần phải ghi nhớ mật khẩu hoặc mật mã.