Tấn công Credential stuffing

Credential stuffing là việc tự động đưa các cặp tên người dùng và mật khẩu bị đánh cắp (“thông tin xác thực”) vào biểu mẫu đăng nhập trang web, để có được quyền truy cập vào tài khoản người dùng một cách gian lận.

Vì nhiều người dùng sẽ sử dụng lại cùng một mật khẩu và tên người dùng / email, nên khi những thông tin xác thực đó bị lộ (ví dụ: do vi phạm cơ sở dữ liệu hoặc tấn công lừa đảo), việc gửi những bộ thông tin đăng nhập bị đánh cắp đó vào hàng chục hoặc hàng trăm trang web khác có thể cho phép kẻ tấn công xâm nhập các tài khoản đó quá.

Các bài viết liên quan:

• Credential Stuffing là gì? Cách thức phòng chống tấn công
• Quản trị Password, bảo mật Password
• Kiểm tra chức năng thay đổi hoặc đặt lại mật khẩu yếu
• Testing lỗ hổng bảo mật Weak Password Policy
• Decision table technique trong black box testing

Credential Stuffing là một tập hợp con của thể loại tấn công vũ phu. Brute force sẽ cố gắng thử nhiều mật khẩu đối với một hoặc nhiều tài khoản; nói cách khác là đoán mật khẩu. Thông tin đăng nhập thường đề cập đến việc sử dụng cụ thể các cặp tên người dùng / mật khẩu đã biết (bị vi phạm) chống lại các trang web khác.

Khả năng xảy ra và mức độ nghiêm trọng

Credential stuffing là một trong những kỹ thuật phổ biến nhất được sử dụng để chiếm đoạt tài khoản người dùng.

Việc Credential stuffing là nguy hiểm cho cả người tiêu dùng và doanh nghiệp vì những tác động không đáng có của những vi phạm này. Để biết thêm thông tin về điều này, vui lòng tham khảo phần Ví dụ hiển thị chuỗi sự kiện được kết nối từ vi phạm này đến vi phạm khác thông qua Credential stuffing.

Anatomy of Attack

1. Kẻ tấn công có được tên người dùng và mật khẩu từ một trang web vi phạm, tấn công lừa đảo, trang web kết xuất mật khẩu.
2. Kẻ tấn công sử dụng các công cụ tự động để kiểm tra thông tin đăng nhập bị đánh cắp đối với nhiều trang web (ví dụ: các trang web truyền thông xã hội, thị trường trực tuyến hoặc ứng dụng web).
3. Nếu đăng nhập thành công, kẻ tấn công biết họ có một tập hợp các thông tin xác thực hợp lệ.

Bây giờ kẻ tấn công biết họ có quyền truy cập vào một tài khoản. Các bước tiếp theo có thể xảy ra bao gồm:

• Tiêu hủy các tài khoản bị đánh cắp có giá trị được lưu trữ hoặc mua hàng.
• Truy cập thông tin nhạy cảm như số thẻ tín dụng, tin nhắn riêng tư, hình ảnh hoặc tài liệu.
• Sử dụng tài khoản để gửi tin nhắn lừa đảo hoặc thư rác.
• Bán thông tin xác thực hợp lệ đã biết cho một hoặc nhiều trang web bị xâm nhập để những kẻ tấn công khác sử dụng.

Biểu đồ

Một sơ đồ cho thấy kẻ tấn công gửi cùng một bộ thông tin xác thực đến ba trang web riêng biệt, xác định thông tin xác thực nào hợp lệ trên các trang web nào

Trong sơ đồ trên, cơ sở dữ liệu của acme.com đã bị xâm phạm. Kẻ tấn công lấy cơ sở dữ liệu bị vi phạm và thử thông tin đăng nhập trên ba trang web khác, tìm kiếm thông tin đăng nhập thành công. Kẻ tấn công xác định được hai trang web mà người dùng “foambob” đang sử dụng lại mật khẩu của họ và một trang web mà người dùng “sally” đang sử dụng lại mật khẩu của họ. Bây giờ kẻ tấn công có thể truy cập vào ba tài khoản đó.

Phòng thủ

Các biện pháp bảo vệ chống lại việc Credential stuffing được mô tả trong Trang tính ngăn chặn việc Credential stuffing, Xác thực đa yếu tố là một biện pháp chống lại chính.

Các ví dụ

Dưới đây là phần trích dẫn từ các ấn phẩm phân tích các vụ vi phạm quy mô lớn. Bằng chứng hỗ trợ rằng những vi phạm này là kết quả của việc Credential stuffing.

• Vi phạm Sony, 2011: “Tôi muốn nhấn mạnh rằng 2/3 người dùng có dữ liệu nằm trong cả tập dữ liệu Sony và vi phạm Gawker đầu năm nay đều sử dụng cùng một mật khẩu cho mỗi hệ thống.”
• Vi phạm Yahoo, 2012: “Điều gì khiến Sony và Yahoo! có điểm chung? Mật khẩu! ”.
• Vi phạm Dropbox, 2012: “Tên người dùng và mật khẩu được tham chiếu trong các bài báo này đã bị đánh cắp từ các dịch vụ không liên quan, không phải Dropbox. Những kẻ tấn công sau đó đã sử dụng những thông tin đăng nhập bị đánh cắp này để cố gắng đăng nhập vào các trang web trên internet, bao gồm cả Dropbox ”.
• Vụ vi phạm JPMC, 2014: “chứa một số tổ hợp mật khẩu và địa chỉ email được sử dụng bởi những người tham gia cuộc đua đã đăng ký trên trang web Corporate Challenge, một nền tảng trực tuyến cho một loạt các cuộc đua từ thiện hàng năm mà JPMorgan tài trợ ở các thành phố lớn và điều đó được điều hành bởi một nhà cung cấp bên ngoài. Các cuộc đua dành cho nhân viên ngân hàng và nhân viên của các tập đoàn khác ”.

Chuỗi sự kiện được kết nối này từ Sony, Yahoo đến Dropbox không bao gồm JPMC. Vụ vi phạm JPMC đến từ một nguồn riêng biệt và không liên quan. Chúng tôi biết rằng vi phạm JPMC là do những kẻ tấn công nhắm mục tiêu vào một trang web chạy đua / chạy thể thao bên thứ ba không liên quan để lấy thông tin xác thực để sử dụng chống lại JPMC.