Egyetlen kiszivárgott jelszó ma már nem csak egy fiókot veszélyeztet – akár az összes többihez is hozzáférést biztosíthat a támadóknak – figyelmeztetnek az ESET kiberbiztonsági szakértői.
Forrás: Forensic Focus
Az úgynevezett credential stuffing támadások során a bűnözők korábbi adatlopásokból származó belépési adatokat próbálnak ki más online fiókoknál. A támadási módszer hatékonyságát jól mutatja, hogy egy friss felmérés szerint az amerikaiak 62%-a be is vallja, hogy „gyakran” vagy „mindig” ugyanazokat a jelszavakat használja. Ilyen környezetben egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak vagy akár banki hozzáférések is veszélybe kerülhetnek.
Sajnos tapasztalatból tudjuk, hogy bizony széleskörűen hiányos az átgondolt, szabályozott jelszókezelés, így az ESET figyelemfelhívó cikkét az alábbiakban mi is leközöljük, kiemelten is a szakma figyelmébe ajánlva. A szerk.
Nem feltörik, hanem egyszerűen belépnek
A credential stuffing támadások különösen veszélyesek, mert nem jelszót törnek fel, hanem már meglévő, érvényes belépési adatokat használnak. A támadók botokkal és automatizált szkriptekkel próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál.
Cikkünk írásakor a haveibeenpwned.com weboldalon több mint 17 milliárd ellopott vagy kiszivárgott belépési adat található, így bárki ellenőrizheti, hogy érintett volt-e egy korábbi incidensben.
A probléma súlyát jól szemléltetik az elmúlt évek esetei is.
- 2022-ben a PayPal közel 35 ezer felhasználói fiók kompromittálását jelentette, kizárólag korábbi adatlopásokból származó jelszavak újrafelhasználása miatt.
- 2024-ben a Snowflake-ügyfeleket érintő támadáshullám során mintegy 165 szervezet fiókjához fértek hozzá támadók, akik infostealer kártevőkkel megszerzett belépési adatokat használtak a szolgáltatás rendszereinek feltörése nélkül.
Az automatizáció és az AI tovább növeli a kockázatot
A credential stuffing technika terjedését az is gyorsítja, hogy az adatlopó kártevők, vagyis az infostealerek mennyisége robbanásszerűen nő. Eközben a támadók egyre gyakrabban használnak AI-támogatott szkripteket, amelyek képesek megkerülni az alapvető botok elleni védelmi megoldásokat.
„A credential stuffing támadások azért különösen veszélyesek, mert a támadók sok esetben nem feltörik a rendszereket, hanem egyszerűen belépnek azokba. Ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is visszaköszönhetnek” – mondta Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője.
Egy kattintásos kényelem vagy rejtett kockázat?
Manapság egyre több weboldalon találkozunk azzal az ismerős kérdéssel: „Belépsz Google-lel vagy Apple-lel?” Ezek az úgynevezett többplatformos bejelentkezések kényelmes alternatívát kínálnak a hagyományos regisztráció helyett, aminek egyik legnagyobb előnye, hogy a felhasználó nem adja át jelszavát az adott szolgáltatónak. Ez elsőre megnyugtatónak hangzik, és sok esetben valóban az.
Miben rejlik a kockázat?
A többplatformos bejelentkezés gyors, kényelmes és sok esetben biztonságos megoldás, de tudatos döntést igényel, hogy hol és mikor élünk vele. Ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook-azonosítónkhoz, akkor elméletben minden olyan szolgáltatáshoz is hozzáférhet, amely ehhez a fiókhoz kapcsolódik.
Mikor jó választás?
- otthoni, hétköznapi felhasználásra szánt szolgáltatások esetén
- alacsony kockázatú szolgáltatások igénybevételekor
- olyan platformokon, ahol nem kezelünk érzékeny adatokat
- ahol a kétfaktoros hitelesítés kötelezően be van kapcsolva
Mi az a jelkulcs?
Jelkulccsal a hagyományos jelszavak helyett az adott eszköz beépített hitelesítési megoldásait tudjuk használni. Ennek köszönhetően akár Gmail-, PayPal- vagy iCloud-fiókba is beléphetünk anélkül, hogy egyetlen jelszót be kellene gépelnünk.
Fontos azonban, hogy ehhez nem elég csupán a készülék oldaláról a támogatás, magának a szolgáltatásnak is kompatibilisnek kell lennie a jelkulcsos belépéssel. Amennyiben ez a feltétel teljesül, a bejelentkezés nemcsak kényelmesebbé, hanem jelentősen biztonságosabbá is válik.
Hogyan védekezhetünk a támadások ellen?
Az ESET szakértői szerint a kockázat jelentősen csökkenthető néhány alapvető biztonsági lépéssel.
- Hosszú, egyedi, erős jelszavakat hozzunk létre minden felületen.
- Ha van rá lehetőség, használjunk jelkulcsot a belépéshez, ezek egyediek és biztonságosabbak, nem igénylik jelszó megadását és kevésbé vannak kitéve adathalász csalásoknak.
- Soha ne használjuk ugyanazt a jelszót több szolgáltatásnál. Egy jelszókezelő segít erős, egyedi jelszavak létrehozásában, előhívásában és biztonságos tárolásában.
- Kapcsoljuk be a kétfaktoros hitelesítést mindenhol, ahol elérhető, így a jelszó önmagában már nem elég az illetéktelen belépéshez.
- Ellenőrizzük az érintettséget, hogy e-mail-címünk vagy jelszavaink szerepeltek-e korábbi adatlopásokban, és érintettség esetén azonnal cseréljünk jelszót.
„A jelszavak újrafelhasználása ma már az egyik legnagyobb biztonsági kockázat. A tudatos jelszóhasználat, a többfaktoros hitelesítés és a jelszómentes megoldások bevezetése nem extra védelem, hanem alapelvárás kell, hogy legyen, mind magánszemélyeknél, mind vállalati környezetben” – tette hozzá Csizmazia-Darab István.
Emellett kerülni kell a jelszavak böngészőben való mentését, és gyanakvóan kell kezelni minden olyan kéretlen megkeresést, amely jelszavak megerősítésére vagy megváltoztatására szólít fel.
A vállalatok számára üzleti kockázattá vált a jelszóhasználat
A credential stuffing ma már nem csupán egyéni felhasználókat érintő probléma, hanem az egyik leggyakoribb belépési pont a vállalati fiókok kompromittálásához, amely súlyos üzleti következményekkel járhat.
A támadások célpontjai között egyaránt megtalálhatók a kiskereskedelmi, pénzügyi, egészségügyi és SaaS-szektor szereplői, ahol egyetlen feltört felhasználói fiók adatlopáshoz, pénzügyi visszaélésekhez vagy akár zsarolóvírus-támadásokhoz vezethet.
Sok szervezet még mindig kizárólag jelszavas hitelesítésre támaszkodik, vagy nem teszi kötelezővé a többfaktoros hitelesítést, még akkor sem, ha az technikailag már rendelkezésre áll. Ez ideális környezetet teremt a credential stuffing támadások számára, különösen akkor, ha a dolgozók munkahelyi és magáncélú fiókjaikhoz is ugyanazokat a jelszavakat használják.
Az ESET szakértői szerint a vállalatoknak érdemes korlátozniuk a sikertelen belépési kísérletek számát, figyelniük a szokatlan bejelentkezési mintákat – például földrajzilag eltérő vagy automatizált próbálkozásokat –, valamint botvédelmi és CAPTCHA-megoldásokat alkalmazni az automatizált visszaélések kiszűrésére.
Kiemelten fontos a végpontvédelem és az infostealer kártevők elleni védekezés is, mivel gyakran ezek az illetéktelen belépési adatok elsődleges forrásai.
A credential stuffing azért különösen hatékony támadási módszer, mert nem technológiai gyengeségeket, hanem az emberi tudatosság hiányát használja ki. A jelszavak újrafelhasználása, a ritka jelszócsere és a többfaktoros hitelesítés hiánya lehetővé teszi, hogy egy akár évekkel ezelőtti adatlopás később is komoly károkat okozzon.
Forrás: eset.hu, biztonsagportal.hu
