בסוף שנת 2022, משתמשים בתוכנת האבטחה נורטון קיבלו התראות לפיהן האקרים פרצו לתוכנה באמצעות מתקפת Credential Stuffing. בנורטון נעלו למעלה מ-900 אלף חשבונות לאחר שזיהו כמות עצומה של נסיונות התחברות (לוגין) ממשתמשי Norton Password Manager.
לאחר שהנושא נבדק, התגלה שהאקרים השיגו גישה לאלפי חשבונות, מה שסיכן את המידע האישי של המשתמשים.
בינואר 2023, כ-35 אלף חשבונות של פייפאל נפרצו בשיטה דומה, אולם לדברי החברה הם הצליחו למנוע שימוש לרעה בחשבונות.
מתקפות מסוג credential stuffing מהוות כ-34% מנסיונות הפריצה באמצעות לוגין (הנתון נכון לשנת 2022). בשנת 2020 אותרו כ-193 מיליארד מתקפות כאלה ברחבי העולם, כששירותים פיננסיים ספגו כ-3.4 מיליארד מתקפות. ב-2022 זוהו 300 מיליון מתקפות כאלה ביום. התקפה כזו מנצלת את העובדה שאנשים רבים משתמשים באותה סיסמא לחשבונות רבים (למשל, סיסמא זהה למייל, חשבונות מדיה חברתית ואפילו חשבון הבנק). הנתונים מצביעים על כך שכ-65% מהאנשים משתמשים בסיסמא זהה בחשבונות שונים. ברגע שיש לתוקפים סיסמאות ממקור אחד, הם ינסו להשתמש בסיסמאות האלה במקומות אחרים, ולהשיג כך גישה למספר פלטפורמות וחשבונות.
איך עובדת שיטת Credential Stuffing?
תוקפים יכולים לנקוט מספר שיטות על מנת להשיג גישה ראשונית למידע של שמות משתמש וסיסמאות. למשל, הם יכולים לקנות מאגר מידע שנפרץ בדארקנט. לאחר שיש ברשותם את המידע, הם ישתמשו בכלים אוטומטיים (בוטים) כדי לנסות לפרוץ לחשבונות אחרים של המשתמש באמצעות אותה סיסמא. הבוטים יחליפו כתובות IP כדי שיהיה יותר קשה לאתר אותם. כאשר הבוטים מצליחים להיכנס לחשבון כלשהו, התוקפים יכולים לגנוב מידע אישי או פיננסי.
מדובר בשיטה דומה למתקפת brute force (מתקפת "כוח גס"), אולם כאן התוקפים נסמכים כבר על מידע קיים, ולא מנסים לנחש סיסמא "מאפס". מתקפת credential stuffing יכולה להיות מאוד רווחית להאקרים, עם סיכויי פריצה גבוהים יותר מתקיפת כוח גס. משערים כי למתקפות stuffing יש כ-2% הצלחה, זה אולי נשמע מעט, אבל במספרים גדולים, הנזק משמעותי – על כל מיליון חשבונות גנובים, התוקפים יכולים לפרוץ ל-20 אלף חשבונות נוספים.
הסיכונים ב-Credential Stuffing
הסיכון הברור מכולם הוא דליפת מידע. פריצה לחשבונות מעניקה להאקרים גישה למידע פיננסי ואישי, שאותו הם יכולים למכור.
התוקפים יכולים גם להשתמש בחשבונות כדי להתחזות לאותם אנשים, ליצור קשר עם החברים שלהם ולהמשיך בשרשרת גניבת המידע באמצעות שיטות הנדסה חברתית ופישינג שונות.
נסיונות חוזרים ונשנים לכניסה לחשבון עם סיסמה שגויה, יכולים לגרום לכך שחשבון המשתמש יינעל. אמנם, התוקפים לא מקבלים אליו גישה, אבל זה בהחלט לא נעים לאבד גישה, אפילו באופן זמני, לחשבון בנק או דואר אלקטרוני.
מתקפות credential stuffing יכולות לשמש גם לשתילת וירוס כופר בארגונים, ובכלל ליצור בעיות אבטחה שונות ברשתות של חברות ועסקים, כמו גם לפגוע במוניטין שלהם.
מניעת Credential Stuffing
אחת הדרכים היעילות למניעת מתקפה כזו, היא שימוש באימות רב-שלבי (MFA), אם באמצעות קוד לסלולרי, מפתח פיזי כלשהו או מידע ביומטרי. שימוש במנהל סיסמאות מוצפן יכול לעזור אף הוא – מנהל סיסמאות יוצר סיסמא ייחודית לכל סוג שירות וחשבון, וכך מקטינים את הסיכוי שמישהו ישתמש ב-credential stuffing כדי לפרוץ לחשבון. ארגונים ועסקים צריכים גם לנקוט באמצעי אבטחת סייבר ראויים, ולנטר נסיונות לוגין חשודים, עלייה חשודה בטראפיק וכן הלאה. שימוש ב-rate limiting (הגבלת תעבורת רשת) יכול גם כן לסייע, ולעצור את שטף הפעולות של הבוטים. מומחי סייבר יכולים גם לסייע לנטר את הדארקנט ולדעת מראש אם יש דליפות של מאגרי מידע משמעותיים ורלוונטיים, ולנקוט בצעדי הגנה מתאימים.
