پر کردن اعتبارنامه

به دلیل معامله و فروش لیست های گسترده ای از اعتبارنامه های نقض شده (نام کاربری و رمز عبور) در دارک وب، حمله پر کردن اعتبارنامه ها حمله گسترده ای است. با استفاده از ابزارهای حملاتی که به آسانی در دسترس هستند ، مجرمان سایبری می توانند صدها هزار یا حتی میلیون ها اعتبارنامه را به طور همزمان در صفحات ورود یک یا چند وب سایت وارد کنند.

حمله پرکردن اعتبارنامه چست؟

پر کردن اعتبارنامه (Credential stuffing) نوعی حمله سایبری است که در آن مهاجمان از لیست اعتبارنامه کاربران در معرض خطر برای نفوذ به سیستم استفاده می کنند. این حمله از ربات ها برای خودکارسازی و مقیاس پذیری استفاده می کند و بر این فرض استوار است که بسیاری از کاربران از نام کاربری و رمزهای عبور مشابه در چندین سرویس استفاده می کنند. آمارها نشان می دهد که حدود 0.1 درصد از اعتبارهای نقض شده برای سرویس دیگری منجر به ورود موفق می شود.

به عبارت دیگر پر کردن اعتبارنامه نوعی حمله سایبری است که در آن یک مجرم سایبری از نام کاربری و گذرواژه های سرقت شده از یک سازمان (که از یک نقض داده به دست آمده یا از دارک وب خریداری شده اند) برای دسترسی به حساب های کاربری در یک سازمان دیگر استفاده می کند.

به عنوان مثال، مهاجم می تواند لیستی از نام کاربری و گذرواژه هایی را که از نقض داده یک فروشگاه بزرگ به دست آمده است گرفته و از همان اعتبارنامه ها (نام کاربری و رمز عبور) برای ورود به سایت یک بانک استفاده کند. در این حالت مهاجم امیدوار است بخشی از مشتریان فروشگاه های بزرگ در آن بانک نیز حساب داشته باشند و از نام کاربری و رمزهای عبور یکسانی برای هر دو سرویس استفاده کرده باشند.

چه چیزی پرکردن اعتبارنامه را موثر می‌سازد؟

از نظر آماری ، حملات پر کردن اعتبارنامه درصد بسیار پایینی از موفقیت را دارند. بسیاری از آمارها این نرخ را در حدود 0.1 براورد کرده اند، بدین معنی که به ازای هر هزار حساب که مهاجم سعی می کند کرک کند، تقریباً یک بار موفق می شود. حجم عظیم اعتبارنامه هایی که توسط مهاجمان معامله می شود، علیرغم میزان موفقیت کم، ارزشمند است.

این مجموعه ها شامل میلیون ها و در مواردی میلیاردها اعتبارنامه ورود به سیستم است. اگر یک مهاجم یک میلیون مجموعه اعتبارنامه داشته باشد، می تواند حدود 1000 حساب کرک شده با موفقیت ایجاد کند. اگر حتی درصد کمی از حساب های کرک شده  داده های سودآور (اغلب در قالب شماره کارت اعتباری یا داده های حساس که می تواند در حملات فیشینگ استفاده شود) به همراه داشته باشد، آن وقت این حمله ارزشمند است. علاوه بر این ، مهاجم می تواند با استفاده از مجموعه ای از اعتبارنامه ها در سرویس های مختلف، این روند را تکرار کند.

پیشرفت در فناوری ربات ها نیز باعث می شود که پرکردن اعتبارنامه به عنوان یک حمله قابل اجرا شناخته شود. ویژگی های امنیتی ساخته شده در فرم های ورود به برنامه های وب اغلب شامل تأخیرهای عمدی زمانی و ممنوعیت آدرس های IP کاربرانی است که بارها در ورود به سیستم شکست خورده اند. نرم افزارهای مدرن پر کردن اعتبارنامه با استفاده از ربات ها، این محافظت ها را دور می زند تا همزمان چندین ورود به سیستم را که ظاهراً از انواع مختلفی از دستگاه ها هستند و از آدرس های IP متفاوت نشأت گرفته اند، انجام دهد. هدف این ربات مخرب این است که تلاش های ورود مهاجم را از ترافیک ورود معمولی متمایز نکند و بسیار موثر است.

اغلب اوقات تنها نشانه ای که شرکت قربانی در مورد حمله دارد، افزایش حجم کلی تلاش های ورود به سیستم است. حتی در این صورت، شرکت قربانی در جلوگیری از این تلاش ها، برای ورود کاربران عادی به سرویس نیز با مشکل مواجه خواهد شد.

دلیل اصلی موثر بودن حملات پر کردن اعتبارنامه ، استفاده مجدد افراد از رمزهای عبور است. مطالعات نشان می دهد که اکثریت کاربران ، تا حدود 85 درصد، از اعتبار ورود به سیستم یکسان برای چندین سرویس استفاده می کنند. تا زمانی که این عمل ادامه یابد، حملات پرکردن اعتبارنامه باقی خواهند ماند.

حمله پرکردن اعتبارنامه چیست؟

تفاوت بین حملات پرکردن اعتبارنامه و حملات بروت فورس چیست؟

حمله پرکردن اعتبارنامه شبیه به حمله بروت فورس است، اما چندین تفاوت مهم میان آن ها وجود دارد:

  • حملات بروت فورس سعی می کنند اعتبارنامه ها را بدون هیچ زمینه ای، با استفاده از رشته های تصادفی، الگوهای رمز عبور معمولی یا دیکشنری عبارات رایج حدس بزنند.
  • اگر کاربران گذرواژه های ساده و قابل حدس را انتخاب کنند، حملات بروت فورس موفق می شوند.
  • حملات بروت فورس فاقد زمینه و داده های نقض های قبلی است، بنابراین میزان موفقیت آنها در ورود بسیار کمتر است.

OWASP پر کردن اعتبارنامه را به عنوان زیر مجموعه ای از حملات بروت فورس طبقه بندی می کند. اما به طور دقیق ، پر کردن اعتبارنامه با حملات بروت فورس سنتی متفاوت است. حملات بروت فورس سعی می کنند گذرواژه ها را بدون زمینه یا سر نخ حدس بزنند. برای پر کردن اعتبارنامه از داده های آشکار استفاده می شود و تعداد پاسخهای صحیح احتمالی  به میزان چشمگیری کاهش می یابد.

یک دفاع خوب در برابر حملات بروت فورس استفاده از یک رمز عبور قوی است که شامل چندین کاراکتر و حروف بزرگ ، اعداد و نویسه های خاص است. اما قدرت رمز عبور سامانه ها را در برابر پر کردن اعتبارنامه محافظت نمی کند. مهم نیست که رمز عبور چقدر قوی است زیرا اگر در حساب های مختلف به اشتراک گذاشته شود، حمله پرکردن اعتبارنامه می تواند آن را به خطر بیندازد.

حملات پرکردن اعتبارنامه چگونه کار می کنند؟

در اینجا یک فرایند معمولی که توسط یک مهاجم در یک حمله پر کردن اعتبارنامه در مقیاس بزرگ دنبال می شود را بررسی می کنیم.

  1. مهاجم یک ربات را تنظیم می کند که می تواند به طور خودکار به صورت همزمان وارد چندین حساب کاربری شود، در حالی که آدرس های IP مختلف را جعل می کند.
  2. سپس یک فرایند خودکار را برای بررسی اینکه آیا اطلاعات سرقت شده در بسیاری از وب سایت ها کار می کند یا نه ، اجرا می کند. با اجرای موازی فرآیند در چندین سایت، نیاز به ورود مکرر به یک سرویس کاهش می یابد.
  3. سپس برای ورود موفق به سیستم به طور مداوم نظارت کرده و اطلاعات شناسایی شخصی ، کارت های اعتباری یا سایر اطلاعات ارزشمند را از حساب های آسیب دیده دریافت می کند.
  4. در نهایت اطلاعات حساب را برای استفاده در آینده نگهداری می کند. به عنوان مثال ، حملات فیشینگ یا سایر تراکنش هایی که توسط سرویس آسیب دیده فعال شده است.

کاربران چگونه می توانند از حملات پرکردن اعتبارنامه جلوگیری کنند؟

  1. برای هر حساب کاربری از رمزهای عبور منحصر به فرد استفاده کنید. به راحتی می توان فهمید که چرا بسیاری از افراد از گذرواژه ها مجددا استفاده می کنند، اما اگر هیچ کدام از ما این کار را انجام نمی دادیم، حملات پر کردن اعتبارنامه وجود نداشت.  بهترین راه برای مقابله با این چالش استفاده از یک برنامه مدیریت رمز عبور است. این برنامه رمزهای عبور قوی و منحصر به فرد برای هر حساب ایجاد می کند و آنها را در یک والت رمز امن ،رمزگذاری و ذخیره می کند. هنگامی که آماده ورود به حساب هستید ، فقط به رمز عبور اصلی نیاز دارید. مدیر رمز عبور بقیه کارها را برای ورود به سیستم انجام می دهد.
  2. تغییر رمزهای عبور زمانی که رمز عبور شما نقض شده است. از آنجایی که بسیاری از سایت ها از آدرس ایمیل به عنوان نام کاربری استفاده می کنند، منبع خوبی برای بازدید دوره ای برای مشاهده زمان و مکان اعتبارات شما است. اگر ایمیل خود را در یک لیست پیدا کنید (که مطمئناً خواهید یافت) ، گذرواژه خود را در حساب نقض شده و دیگر حساب هایی که از اعتبارنامه یکسانی استفاده می کنند تغییر دهید.
  3. حسابهای غیر ضروری و بلااستفاده را حذف کنید. برای یافتن حسابهای قدیمی که فراموش کرده اید ممکن است کمی کار طول بکشد، اما ارزش تلاش برای کاهش خطر استفاده مهاجمان از اعتبار قدیمی و احتمالاً یکسان شما در حسابهای جاری را دارد.
  4. در صورت امکان از احراز هویت چند عاملی (MFA) استفاده کنید. احراز هویت چند عاملی مستلزم این است که کاربر دو یا چند عامل از انواع مختلف را ارائه دهد. به طور معمول ، این چیزی است که کاربر می داند (رمز عبور) و چیزی است که کاربر دارد. عامل دوم معمولاً کدی است که از طریق پیام متنی ، رمز سخت افزاری یا برنامه احراز هویت چند عاملی ارسال می شود. پس از وارد کردن نام کاربری و رمز عبور ، کاربر باید کد را برای تکمیل عملیات ورود وارد کند.

هر زمان که یک وب سایت یا برنامه تلفن همراه امکان احراز هویت چند عاملی را ارائه می دهد حتما آن را فعال کنید. این خدمت یک لایه دفاعی اضافی است که یک مانع دیگری را برای مهاجمان فراهم می کند و آنها را تشویق می کند تا به سمت اهداف آسانتر حرکت کنند. همچنین ، از اهرم خود به عنوان یک مصرف کننده با درخواست از سازمان ها برای تأیید هویت چند عاملی ، به ویژه برای وب سایت هایی که تراکنش های مالی یا کارت اعتباری شما را انجام می دهند، استفاده کنید. و اگر وب سایت یا برنامه مورد نظر آن را ارائه نمی دهد، در مورد افتتاح حساب جدید تجدید نظر کنید.

چگونه سازمان ها می توانند از حمله پر کردن اعتبارنامه جلوگیری کنند؟

توقف حملات پر کردن اعتبارنامه یک چالش پیچیده تر برای شرکت هایی است که خدمات احراز هویت را اجرا می کنند. پر کردن اعتبارنامه در نتیجه نقض داده ها در سایر شرکت ها رخ می دهد. شرکتی که در معرض حملات پرکردن اعتبارنامه قرار گرفته است لزوماً امنیت آن به خطر نیفتاده است.

یک شرکت می تواند به کاربران خود پیشنهاد دهد که گذرواژه های منحصر به فردی ارائه دهند، اما نمی تواند به طور موثر این مورد را اجرا کند. برخی از برنامه ها قبل از پذیرفتن رمز عبور به عنوان معیاری برای پر کردن اعتبار ، رمز عبور ارسال شده را در برابر پایگاه داده رمزهای عبور خطرناک شناخته شده اجرا می کنند ، اما این کار بی خطا نیست و ممکن است کاربر از سرویسی که هنوز نقض نشده است دوباره استفاده کند.

اقدامات زیر می تواند به محافظت از سازمان شما در برابر حملات پر کردن اعتبارنامه کمک کند.

  •  احراز هویت چند عاملی را پیاده سازی کنید! اگر تا به حال این کار را نکرده اید، برای وب سایت های عمومی خود و همچنین برای منابع داخلی که داده های حساس و محرمانه را کنترل می کنند احراز هویت چند عاملی را پیاده سازی کنید. اگرچه این حفاظت نیز بی عیب و نقص نیست و مهاجمان دائماً در جستجوی تکنیک های جدید برای خنثی سازی عوامل دفاع هستند، اما با این حال مانع دیگری برای جلوگیری از دسترسی مهاجمان ایجاد می کند.
  • راهکار آنتی ربات هوشمند را پیاده سازی کنید. این راهکار نقاط مختلف داده را بر روی کاربر و دستگاه جمع آوری کرده و از یادگیری ماشین برای شناسایی و جلوگیری از رفتار ربات استفاده می کند. برای سازمانهایی که قادر به استفاده از یک راه حل پیچیده آنتی ربات نیستند ، اقدامات زیر می تواند به جلوگیری از دسترسی مهاجمان کمک کند: 
  •   از CAPTCHA استفاده کنید. اگرچه استفاده از CAPTCHA در یک وب سایت برای تشخیص انسان از ربات ها دفاع تضمینی نیست. در واقع ، برخی از ابزارهای بررسی حساب که قبلاً ذکر شد دارای مکانیزم های داخلی برای حل CAPTCHA هستند. اما همه مهاجمان از این ابزارها استفاده نمی کنند و CAPTCHA مانند احراز هویت چند عاملی مانع دیگری را ایجاد می کند که می تواند مهاجمان را باز دارد.
  • از انگشت نگاری دستگاه و مرورگر استفاده کنید. با جمع آوری اطلاعات نرم افزاری و سخت افزاری در مورد دستگاه مورد استفاده (و همچنین مرورگر)،  می توان تشخیص داد که چه دستگاهی در حال تلاش برای ورود به سیستم چندین حساب است، که این نشان دهنده حمله احتمالی پرکردن اعتبارنامه است.
  • از محدودیت نرخ IP استفاده کنید. این کنترل امنیتی آدرس های IP را که سعی می کنند با سرعت بیشتری نسبت به آستانه از پیش تعیین شده وارد سیستم شوند ، مسدود می کند ، به عنوان مثال ، بیش از سه بار در ثانیه. این تعداد به وضوح بیشتر از توانایی یک کاربر عادی برای وارد کردن اطلاعات کاربری است.
  • رد کردن آدرس های IP بد شناخته شده. مهاجمان با منابع ضعیف اغلب با استفاده از محدوده کوچکی از آدرس های IP اقدام به پر کردن اعتبارنامه ها می کنند. وقتی مشخص شود که بسیاری از تلاشهای ناموفق ورود به سیستم از این آدرسها سرچشمه می گیرد ، می توانید آنها را مسدود کنید. نکته احتمالی در اینجا این است که برخی آدرس ها ممکن است نشان دهنده سیستم های قانونی باشند که ناخواسته توسط رباتها تسخیر شده اند. 

3. لاگ و مانیتور ترافیک وب سایت. به عنوان بخشی از یک فرایند استاندارد بررسی لاگ، ورود به سیستم را با لیستی از اعتبارهای سرقت شده شناخته شده بررسی کرده و هرگونه درخواست مربوطه را مسدود کنید. موارد دیگری که باید به دنبال آنها باشید عبارتند از:

  • حجم ترافیک بالا با درصد موفقیت پایین ورود به سیستم. میزان موفقیت ورود یک وب سایت معمولی بین 60 تا 85 درصد است ، بنابراین میزان موفقیت پایین 10 تا 15 درصد باید پرچم قرمز در مورد موارد احتمالی اعتبار سنجی را بالا ببرد. 
  • ورود مداوم و فعالیت شبانه روزی به جای ساعات کاری “معمولی” (هر چه که برای کسب و کار و مکان شما باشد) می تواند نشان دهنده یک حمله باشد. اکثر انسانها در ساعات قابل پیش بینی می خوابند و کار می کنند در حالی که ابزارهای خودکار این کار را نمی کنند.
  • افزایش شدید ترافیک همچنین می تواند نشان دهنده یک حمله پر کردن اعتبارنامه در حال انجام باشد.

4. سیاست های رمز عبور قوی را اعمال کنید. پیاده سازی یک برنامه مدیریت رمز عبور در سطح سازمانی برای کارکنان را در نظر بگیرید. به طور خلاصه ، به کاربران آموزش دهید چگونه گذرواژه های قوی بسازند و به آنها اجازه ندهید که گذرواژه های متداول ایجاد کنند یا از رمزهای قبلاً نقض شده استفاده کنند (یک جستجوی ساده آنلاین ، لیست های فعلی را نشان می دهد).

 

          

نتیجه

بر هیچ کس پوشیده نیست که بیشتر مهاجمان خبره به دنبال استفاده از ساده ترین مسیر برای موفقیت هستند. تا زمانی که نقض گسترده داده ها در جهت به خطر انداختن اعتبارنامه ها  و استفاده مجدد کاربران از گذرواژه ها برای چندین حساب ادامه یابد، حملات پر کردن اعتبارنامه بدون وقفه ادامه می یابد. پاندمی کرونا نیز این مشکل را تشدید کرده است. 

با افزایش تعداد بی سابقه ای از افراد که از خانه کار می کنند، آموزش میبینند و خرید آنلاین انجام می دهند، انتظار می رود حملات بیشتری به وب سایت های دولتی ، خدمات مربوط به تحویل در محل ، خرده فروشان و خواربارفروشان آنلاین و ارائه دهندگان خدمات پزشکی از راه دور انجام شود. امید این است که هم مصرف کنندگان و هم کسب و کارها فعالانه اقدامات احتیاطی را تا جایی که در کنترل آنها است انجام دهند.

بدون دیدگاه

© تمامی حقوق برای شرکت دانش بنیان آتین محفوظ است.