Egy kiszivárgott jelszó nem csak egy internetes fiókot veszélyeztet, az összes többihez is hozzáférést adhat a webes támadóknak – figyelmeztet az ESET. A kiberbiztonsági cég szerint egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak, bankszámlák is veszélybe kerülhetnek a credential stuffing támadáskor, amikor a bűnözők a korábbi adatlopásokból származó belépési adatokat próbálnak ki más online fiókoknál – írja az MTI.
Az üzleti- és otthoni biztonságtechnikai szoftvermegoldások nemzetközi szállítója, az ESET közleménye alapján a támadási módszer hatékonyságát növeli, hogy a felhasználók, például az amerikaiak 62 százaléka gyakran vagy mindig ugyanazokat a jelszavakat használja egy friss felmérés szerint.
Az ún. credential stuffing támadásokkor nem jelszót törnek fel, hanem a már meglévő, érvényes belépési adatokat használják. A támadók például automatizált programkódokkal (szkript) próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál: a haveibeenpwned.com weboldalon napjainkban több mint 17 milliárd ellopott-kiszivárgott belépési adat található, és bárki ellenőrizheti, hogy ő maga érintett volt-e egy korábbi incidensben.
Mint írják, a probléma nagyságát mutatja, hogy 2022-ben a PayPal közel 35 ezer felhasználói fiók kompromittálását jelentette, kizárólag korábbi adatlopásokból származó jelszavak újrafelhasználása miatt; 2024-ben a Snowflake-ügyfeleket (felhőalapú adatplatform) érintő támadáshullám során mintegy 165 szervezet fiókjához fértek hozzá támadók, akik kártevőkkel megszerzett belépési adatokat használtak a szolgáltatás rendszereinek feltörése nélkül.
A credential stuffing technika használatának terjedését az is gyorsítja, hogy az adatlopó kártevők (infostealerek) mennyisége robbanásszerűen nő, miközben a támadók egyre gyakrabban használnak mesterséges intelligencia (AI) által támogatott szkripteket, amelyek képesek megkerülni az alapvető botok (automatizált szoftverek) elleni védelmi megoldásokat.
Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője szerint a credential stuffing támadások azért különösen veszélyesek, mert ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is veszélyt jelentenek. Így ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook-azonosítóhoz (felhasználónév és jelszó), akkor elméletben minden olyan szolgáltatáshoz is hozzáférhet, amely ezekhez kapcsolódik – figyelmeztet. Hozzátette: a kockázatok jelentősen csökkenthetők néhány alapvető biztonsági lépéssel: például a hosszú, egyedi, erős jelszavak, illetve a jelkulcs használatával, amelyek kevésbé vannak kitéve adathalászoknak.
Fontos az is, hogy minden szolgáltatáshoz és fiókhoz más jelszót adjanak meg a felhasználók, illetve kapcsolják be a kétfaktoros hitelesítést mindenhol, ahol elérhető, így ugyanis a jelszó önmagában már nem elég az illetéktelen belépéshez. Érdemes ellenőrizni azt is, hogy az adott e-mail-cím vagy jelszó szerepeltek-e korábbi adatlopásokban, ha igen, azonnal jelszót kell cserélni.
„A jelszavak újrafelhasználása ma már az egyik legnagyobb biztonsági kockázat. A tudatos jelszóhasználat, a többfaktoros hitelesítés és a jelszómentes megoldások bevezetése nem extra védelem, hanem alapelvárás a magánszemélyeknél és vállalatoknál is” – idézi a közlemény Csizmazia-Darab Istvánt. Emellett kerülni kell a jelszavak böngészőben való mentését, és gyanakvóan kell kezelni minden olyan kéretlen megkeresést, amely jelszavak megerősítésére vagy megváltoztatására szólít fel – írják.
Hozzászólások