Credential Stuffing 攻撃、氷山の一角

先月以来、数百人の任天堂ユーザーが、自分のアカウントがハッキングされ、遠隔地からアクセスされたと報告しています。 500,000 を超える Zoom アカウントが、ダーク Web でホストされているハッカー フォーラムに浮かんでいます。最近、研究者は、ハッカーが被害者のデータをスクレイピングするために使用する 700 以上の悪意のある Netflix および Disney Plus のクローンを特定しました。これらの詐欺的なクローン Web サイトは、偽のサブスクリプションを介してお金を盗んでいるか、ユーザーのデータを収集して銀行の詳細やその他のログイン資格情報を収集しています。

最近のデータ盗難詐欺には共通点があることをご存知ですか?これまでのところ、これらすべての詐欺が会社レベルでの侵害の結果であるという兆候はありませんでしたが、むしろ Credential Stuffing Attack によるものでした。 .アカウントを乗っ取るために、自動化された方法でユーザー名とパスワードを Web サイトに対してテストするブルート フォース攻撃の一種。

パート 1 - Credential Stuffing の動作

注目に値する重要な側面の 1 つは、最近のユーザーはデジタル プライバシーに関して非常に保護的であるということです。今日、人々は「複雑なパスワード」を保持する傾向があります。これは、大文字と小文字の両方に数字と特殊文字を組み合わせたものです。しかし残念なことに、強力なパスワードを 1 つ持つと、他のサイトやサービスで一意のパスワードを使用するのが難しくなります。

最終的には、全員に同じパスワードを使用することになります。つまり、ハッカーはクレデンシャル スタッフィングを実行するために特別なデータベースを必要としなくなりました。大規模なデータベースを参照して、そのデータベースのユーザー名とパスワードを使用して、Netflix、Nintendo、Zoom、またはその他のサービスにアクセスしようとするだけです。

研究者によると、「『OpenBullet』を使用して、Zoom 関連の Credential Stuffing を実行しています。 に基づく OpenBullet GitHub ページ 、ユーザー データのスクレイピングと解析専用のオンライン テスト ツールです。これは、Credential Stuffing 攻撃を単純かつ簡単にするためのオープンソース ツールです。」

それでは早速、Credential Stuffing 攻撃の構造、そのしくみ、およびそれを防ぐためにできることを見てみましょう。

パート 2 - Credential Stuffing の分析

Credential Stuffing 攻撃は、ユーザーのアカウントを乗っ取るための簡単な回避策です。同様の資格情報が複数回使用されると、脅威が攻撃にさらされ、不正アクセスが取得されます。攻撃を成功させるのは難しいように見えますが、初心者のハッカーでも、インターネット上ですぐに利用できる特定のオンライン ツールを介してこのサイバー攻撃を実行できます。

最近の調査によると、衝撃的な 43% Web サイトから送信されたログイン資格情報の 1 つは、単なるアカウント乗っ取りの試みです。 Credential Stuffing の背後にある唯一の理由は、パスワードの再利用です。

Credential Stuffing 攻撃によって最も標的にされた組織は、E コマース、金融、エンターテイメントとソーシャル メディア、IT、電気通信、運輸、小売業界です。

Credential Stuffing 攻撃が成功すると、アカウントの乗っ取りが発生します。盗まれた有効な資格情報は第三者に販売され、アカウントの価値を流出させたり、データを盗んだりします。

Credential Abuse とアカウント乗っ取りの概要

パート 3 - Credential Stuffing 攻撃のしくみ

攻撃者が Credential Stuffing を実行するための典型的なプロセスは次のとおりです。

攻撃者:

ステップ 1- IP アドレスを偽装しながら、複数のアカウントに自動的にログインするボットを作成してセットアップします。

ステップ 2- さらに、自動化されたプロセスを実行して、盗まれた資格情報が複数の Web サイトで機能するかどうかを確認します。悪意のあるプラットフォームでは、さまざまな Credential Stuffing ツールが利用可能であり、「プロキシ リスト」を組み込んで、リクエストをウェブ上でバウンスし、別の IP アドレスから送信されたかのように見せることができます。

ステップ 3- 彼らは定期的に監視して、収益性の高い資格情報を見つけ、銀行の詳細やその他のプライバシー関連データなどの個人を特定できる情報 (PII) を取得します。

ステップ 4- フィッシング攻撃による標的設定など、後で使用するためにアカウント情報を保持します。他のハッカーが使用できるように、データをコピーして販売したり (主にダーク Web で) 公開したりすることさえあります。

攻撃者が被害者のデータにアクセスできるようになると、侵害されたアカウント (Netflix や Disney+ など) へのアクセスの販売、正当なユーザーのなりすまし、電子商取引詐欺など、さまざまな種類のいたずらにそれを使用します。上記の犯罪はどちらも顧客に深刻な結果をもたらしますが、別の詐欺の「企業/機関のスパイ活動と窃盗」は、ビジネスに最も壊滅的な打撃を与える可能性があります.

攻撃者が従業員または管理者のデータへのアクセスを取得した場合、あらゆる種類の機密内部情報を把握し、最高入札者に販売する可能性があります。

• 企業のサイバーセキュリティは企業にとってどのような重要性を持っていますか?
• 企業はサイバー攻撃に備えていますか?

パート 4 - Credential Stuffing がハッカーの間で人気を集めている理由

簡単に言えば、Credential Stuffing 攻撃が増加しているのは、この手法が完全に自動化されており、簡単でシンプルであるためです。複雑な機能を備えた上位のインターネット セキュリティ ソリューションが市場にあふれているため、洗練された高度な手法によるシステムへのハッキングが活発になっています。したがって、Credential Stuffing を導入することは、費用対効果が高く、効果的な基本的な手法を使用してシステムに簡単に侵入できます。

ユーザーがスマートで高度なセキュリティ検出および保護ソリューションに依存しているかどうかに関係なく、ユーザーが危険な行動をとれば、セキュリティの抜け穴が常に作成されます。

Credential Stuffing 攻撃では、ユーザーは複数のアカウントに同じパスワードを設定するだけで被害者になります。さまざまな研究者によると、一般的なパスワードを保持することは、ユーザーが犯す最も一般的な間違いの 1 つであり、ハッカーが簡単な悪用を実行するための扉を開きます.

パート 5 - Credential Stuffing 攻撃を防ぐために採用できる対策

Credential Stuffing 攻撃から身を守ることは非常に簡単で、いくつかのセキュリティ プラクティスに従うだけです。

<強い>1.適切なパスワード衛生を維持する

アカウントごとに同じパスワードを使用することは避けてください。この種の攻撃は、ユーザーが複数のアカウントに同じまたは類似したパスワードを設定する傾向があるために行われます。

<強い>2.すべてのアカウントで多要素認証を有効にする

サイバー犯罪者は、個人データやその他のプライバシー関連の痕跡を抽出するための、より優れた高度な手法を考え出しています。それらを防ぐために、多層セキュリティ アプローチは利用可能な優れた回避策です。

<強い>3.パスワードを定期的にリセットする

より良いセキュリティとプライバシーを確​​保するために、これを必須のタスクにすることを検討する必要があります.以前に使用したパスワードを使用していないことを確認してください。

<強い>4.個人用アカウントと業務用アカウントで同じパスワードを使用しないようにしてください

従業員に定期的なデジタル クリーンアップの実行を奨励している企業がいくつかあります。つまり、6 か月ごとにパスワードを変更することを義務付け、仕事用と個人用で異なるパスワードを使用するようにしています。

<強い>5.使用している脅威対策サービスが完璧であることを確認してください

ウイルス対策ソリューションをシステムの最上位のシールドとして維持することが、最近では非常に重要であることを理解するのに、天才である必要はありません。 Windows、Mac、Android、iPhone、その他のデバイス向けのクラス最高のウイルス対策保護でシステムを保護することをお勧めします。

パート 6 - Systweak は Credential Stuffing 攻撃とアカウントの乗っ取りからユーザーを保護する方法

Systweak は、ユーザーが最も高度な攻撃をかわすのに役立つ最も高度なソリューションの 1 つをもたらします!

まず、専用のパスワード管理アプリ TweakPass を提供します AES-256 ビット暗号化、PBKDF2 SHA-256 &HMac で保護された特別なボールトを提供し、資格情報と個人データを 360 度保護します。同じパスワードを再利用すると、Credential Stuffing のリスクが高まることがわかっているためです。すべてのアカウント、Web サイト、およびサービスの複雑で一意のパスワードを提案するパスワード ジェネレーター機能を提供します。さらに、これらの長くて強力なパスワードをすべて学習する必要はありません。TweakPass がそれを行ってくれるからです。資格情報やその他の個人データをほんの数秒で自動入力することもできます.

パスワード マネージャー アプリの詳細については、こちらをご覧ください。

究極の ID 保護とセキュリティのために、Advanced Identity Protector を備えています。 It is a sophisticated tool that helps users freely transact over multiple sites while keeping their data confidential. It performs a single scan over your machine &detects all the sensitive information related to your identity that may pose a threat &easily be available for hackers to commit crimes in your name. Once you find the hidden traces like Social Security Number, Credit Card Details, Contact Information etc., you can choose the store them in a Secure Vault or get rid of them completely, so that it doesn’t go into wrong hands.

To Know More About This Robust Utility, Click Here!

Part 7 – Bottom Line

There is no scarcity of Internet threats which puts the end consumers at risk and keeps IT Professionals busy. Credential Stuffing is one of the scariest risks that brings a significant threat to users. For these reasons, every individual is advised to use unique passwords, protect their accounts with multi-factor authentication &maintain digital hygiene, especially when they suspect they are using any of the fraudulent websites or services.

MUST-READ:

• Best VPN Solutions For Windows 2020
• Best VPN Clients For Mac Users 2020
• Best VPN Services For Android Devices 2020
• Best Free VPN Apps For iPhone &iPad 2020