02141764000
ایمیل
پشتیبانی
credential stuffing

معرفی و بررسی Credential Stuffing

Credential Stuffing چیست؟

Credential Stuffing یکی از انواع حملات سایبری است که هکرها برای دسترسی به حساب‌های آنلاین از آن استفاده می‌کنند. در این نوع حمله، هکرها از نام‌های کاربری و رمزهای عبور دزدیده شده برای ورود به سیستم‌ها و حساب‌های مختلف استفاده می‌کنند. به طور ساده، هکرها با بهره‌گیری از ابزارهای خودکار، انواع مختلفی از ترکیب‌های نام کاربری و رمز عبور را امتحان می‌کنند تا به یک ترکیب درست برسند و موفق به ورود به حساب‌های شخصی شوند. یکی از دلایل مؤثر بودن این نوع حمله، عادت بسیاری از افراد به استفاده از یک نام کاربری و رمز عبور مشابه برای ورود به چندین سیستم و سایت مختلف است. این رفتار باعث می‌شود که اگر هکرها به اطلاعات کاربری فردی دسترسی یابند، به راحتی بتوانند از همان اطلاعات برای دسترسی به سایر حساب‌ها نیز استفاده کنند. به این ترتیب، مهاجمان می‌توانند در کمترین زمان به چندین حساب مختلف وارد شوند و از آن‌ها سوءاستفاده کنند. طبق آمارهای جرایم سایبری، نرخ موفقیت این نوع حملات بین ۰.۱٪ تا ۴٪ متغیر است. این درصد ممکن است کم به نظر برسد، اما با این وجود، حملات Credential Stuffing می‌توانند خسارات زیادی به بار آورند. به علاوه، این حملات به ‌قدری رایج شده‌اند که در سال ۲۰۲۲، یکی از ارائه‌دهندگان خدمات احراز هویت گزارش کرد که به‌ طور متوسط، برای هر دو ورود قانونی به حساب، یک تلاش برای حمله Credential Stuffing انجام می‌شد. در نهایت، این حملات هر ساله میلیون‌ها حساب کاربری را مورد هدف قرار می‌دهند و به یکی از چالش‌های بزرگ امنیت سایبری تبدیل شده‌اند. به همین دلیل، افراد و سازمان‌ها باید اقدامات پیشگیرانه‌ای برای حفاظت از اطلاعات خود انجام دهند تا از چنین تهدیداتی جلوگیری کنند.

credential stuffing نحوه عملکرد

نحوه عملکرد حمله Credential Stuffing

حمله Credential Stuffing مشابه تلاش برای باز کردن درب‌های مختلف با یک دسته کلید است. فرض کنید یک دزد یک دسته کلید بزرگ پیدا می‌کند و در خیابان شروع به امتحان کردن هر کلید بر روی درب‌های مختلف خودروها می‌کند. به ‌طور آماری، در نهایت یکی از این کلیدها درب یک خودرو را باز خواهد کرد. در حمله Credential Stuffing، به‌ جای استفاده از کلیدهای فیزیکی، هکرها از اطلاعات دزدیده‌شده (نام کاربری و رمز عبور) برای دسترسی به حساب‌های آنلاین استفاده می‌کنند.
مراحل حمله Credential Stuffing به این صورت است:

  1. مهاجمان یک پایگاه داده بزرگ از ترکیب‌های نام کاربری و رمز عبور به دست می‌آورند. این داده‌ها می‌توانند از طریق خرید از دارک وب، نقض‌های داده‌ای قبلی یا حملات فیشینگ به ‌دست بیایند.
  2. در مرحله بعدی مهاجمان از ابزارهای خودکار مانند بات‌ها برای امتحان کردن این اطلاعات بر روی سایت‌های مختلف استفاده می‌کنند. این ابزارها می‌توانند همزمان تلاش‌های زیادی را انجام دهند و حتی قادرند از سدهای امنیتی ساده مانندCAPTCHA نیز عبور کنند.
  3. اگر یکی از ترکیب‌های نام کاربری و رمز عبور دزدیده ‌شده با حسابی معتبر در سایت‌ها مطابقت داشته باشد، مهاجم به آن حساب دسترسی پیدا می‌کند.
  4. در مرحله آخر پس از ورود، هکر می‌تواند اطلاعات شخصی را سرقت کند، خریدهای تقلبی انجام دهد یا حملات بیشتری را علیه حساب‌های مرتبط راه‌اندازی کند.
How the credential stuffing attack works

تاریخچه‌ی حملات Credential Stuffing

اولین نشانه‌های حملات credential stuffing در سال ۲۰۱۴ شناسایی شد. در این زمان، هکرها در دارک وب شروع به ارائه خدماتی برای کسب درآمد از اطلاعات حساب‌های کاربری به سرقت رفته کردند. این هکرها به راحتی می‌توانستند از داده‌های موجود برای انجام حملات به حساب‌های مختلف استفاده کنند. ابزارهای اولیه‌ی credential stuffing که برای این منظور استفاده می‌شدند، معمولاً بین ۵۰ تا ۲۵۰ دلار قیمت داشتند و قابلیت هدف‌گیری شرکت‌های خاص را نیز داشتند. در ابتدا، این ابزارها تنها برای اعتبارسنجی مجموعه‌هایی از ایمیل‌ها و رمزهای عبور طراحی شده بودند. به عبارت دیگر، هکرها می‌توانستند از این ابزارها برای تست کردن ترکیب‌های مختلف ایمیل و رمز عبور استفاده کنند. اما به مرور زمان، هکرها برای دستیابی به اطلاعات دقیق‌تر از حساب‌های به سرقت رفته، نیاز به خرید ابزارهای پیشرفته‌تری برای بررسی حساب‌ها داشتند. امروزه، حملات credential stuffing به شکلی پیچیده‌تر و به طور کاملاً خودکار انجام می‌شوند. هکرها می‌توانند تنها با ۵۰۰ دلار، نرم‌افزارهای مخصوص این نوع حملات را تهیه کرده و با دسترسی به لیست‌هایی از ترکیب‌های مختلف ایمیل و رمز عبور، حملات خود را آغاز کنند. علاوه بر این، آن‌ها از سرویس‌های پروکسی برای مخفی کردن هویت خود استفاده می‌کنند. این ابزارها به گونه‌ای طراحی شده‌اند که به طور همزمان صدها هزار ترکیب از اطلاعات حساب‌های مختلف را بررسی کرده تا وارد وب‌سایت‌های متعدد شوند.

نمونه‌های واقعی از حملات Credential Stuffing

حملات Credential Stuffing یکی از تهدیدات سایبری مهم در دنیای امروز می‌باشند و بسیاری از شرکت‌های بزرگ در صنایع مختلف مورد هدف این نوع از حملات قرار گرفته‌اند. در ادامه، به برخی از مشهورترین شرکت‌هایی که با این حملات مواجه شده‌اند، اشاره خواهیم کرد:

  • HSBC: در سال ۲۰۱۸، بانک HSBC مورد هدف یک حمله بزرگCredential Stuffing قرار گرفت که اطلاعات مالی مشتریان خود را در معرض خطر جدی قرار داد.
  • DailyMotion: در ژانویه سال ۲۰۱۹، سایت ویدئویی DailyMotion به ‌دلیل مواجه شدن با این حمله، به‌ طور موقت از دسترس خارج شد.
  • Reddit: در سال ۲۰۱۹، سایت Reddit مورد حمله قرار گرفت که این حمله منجر به از دست دادن دسترسی برخی از کاربران به حساب‌هایشان شد و هکرها داده‌های آن‌ها را به سرقت بردند.
  • Spotify: در سال ۲۰۲۰، سرویس پخش موسیقی Spotify مورد هدف حمله‌ای قرار گرفت که از داده‌های ۳۸۰ میلیون کاربر جمع‌آوری‌شده از منابع مختلف استفاده می‌کرد.

حملات Credential Stuffing همچنان تهدید بزرگی برای بسیاری از شرکت‌ها هستند و فهرست شرکت‌های آسیب‌دیده از این نوع حملات در حال افزایش است.

دلایل اصلی برای افزایش حملات Credential Stuffing:

در اینجا به برخی از دلایل اصلی که باعث افزایش حملات credential stuffing شده‌اند، اشاره می‌کنیم

  • دسترس‌پذیری اطلاعات حساب‌های به سرقت رفته

امروزه، هکرها به راحتی می‌توانند به پایگاه‌های داده عظیم حاوی اطلاعات ورود به حساب‌های به سرقت رفته دسترسی پیدا کنند. یکی از این پایگاه‌ داده‌های مشهور، Collection 1-5 است که بیش از ۲۲ میلیارد نام کاربری و رمز عبور را در خود جای داده است. بخش زیادی از این اطلاعات از حمله‌ای که در سال ۲۰۱۶ به Yahoo صورت گرفت و منجر به افشای اطلاعات ۱.۵ میلیارد کاربر شد، به دست آمده است.

  • پیشرفت‌های فناوری

فناوری‌هایی مانند headless browsers (مرورگرهایی که مانند مرورگرهای معمولی عمل می‌کنند، اما بدون رابط کاربری گرافیکی (UI) اجرا می‌شوند)، امکان ورود به سیستم را با سرعت بالا فراهم کرده‌اند. به عنوان مثال، PhantomJS از JavaScript استفاده می‌کند و می‌تواند از طریق خط فرمان اجرا شود. هکرها همچنین می‌توانند از تکنیک‌هایی مانند IP spoofing برای استفاده از آدرس‌های IP جعلی استفاده کنند.

  • دسترسی آسان به ابزارهای حمله

برای راه‌اندازی حملات credential stuffing، هکرها نیازی به تجهیزات پیچیده ندارند و به راحتی می‌توانند نرم‌افزارها و سخت‌افزارهای مورد نیاز را تهیه کنند.

  • افزایش تعداد حساب‌های آنلاین با گسترش فضای کار از راه دور

با گسترش کار از راه دور، تعداد زیادی از کاربران برای دسترسی به پلتفرم‌های آنلاین جدید مانند سیستم‌های ویدئو کنفرانس و ابزارهای همکاری آنلاین حساب‌های جدید ایجاد کرده‌اند. این افزایش تعداد حساب‌ها به همراه ضعف‌های امنیتی مانند استفاده از رمزهای عبور مشابه و ضعیف، زمینه‌ساز حملات Credential Stuffing شده است. یکی از مثال‌های بارز این موضوع، حملات به پلتفرم‌هایی مانند Zoom بود، چرا که کاربران زیادی در تلاش برای دسترسی به این سیستم‌ها بودند. این حملات نشان‌دهنده ضعف‌های امنیتی ناشی از عدم توجه به مدیریت صحیح رمزهای عبور در دوران جدید کاری است.

  • مشکل در شناسایی حملات

از آنجا که اطلاعات ورود به سیستم در حملات credential stuffing واقعی و معتبر هستند، شناسایی هکرهایی که خود را به جای کاربران قانونی جا می‌زنند، بسیار دشوار است. به همین دلیل، آگاهی از روش‌های شناسایی این حملات و اتخاذ تدابیر پیشگیرانه برای جلوگیری از آن‌ها، از اهمیت بالایی برخوردار است.

تفاوت حملات Credential Stuffing و Brute Force:

حملات credential stuffing و brute force هر دو به طور کلی به تلاش‌های غیرمجاز برای ورود به حساب‌های کاربران اشاره دارند. با این حال، نحوه عملکرد و تکنیک‌های آن‌ها کاملاً متفاوت است. در اینجا تفاوت‌های اصلی این دو نوع حمله آورده شده است:

  • روش اجرا:

در حملات brute force، هکرها سعی می‌کنند با امتحان کردن تمام ترکیب‌های ممکن از حروف، اعداد و نمادها، رمز عبور صحیح را حدس بزنند. این روش زمان‌بر است و ممکن است صدها هزار یا حتی میلیون‌ها تلاش را شامل شود. در مقابل، در حملاتcredential stuffing، هکرها از ترکیب‌های نام کاربری و رمز عبوری که قبلاً از نقض‌های داده‌ای یا خرید از دارک وب به دست آمده‌اند، استفاده می‌کنند. سپس این ترکیب‌ها را با استفاده از ابزارهای خودکار برای ورود به سیستم‌های مختلف امتحان می‌کنند.

  • هوشمندی:

حملات credential stuffing به دلیل استفاده از ترکیب‌های واقعی و از پیش شناخته‌ شده، هوشمندانه‌تر عمل می‌کنند. هکرها دیگر نیاز ندارند رمز عبور را حدس بزنند؛ بلکه فقط باید ترکیب‌های دزدیده ‌شده را در سیستم‌های مختلف امتحان کنند. در حالی که در حملاتbrute force، هکرها از ترکیب‌های تصادفی یا رمزهای عبور رایج برای تلاش‌های خود استفاده می‌کنند که ممکن است کمتر مؤثر باشد.

  • مقیاس:

حملات credential stuffing معمولاً در مقیاس‌های بسیار بزرگ‌تری انجام می‌شوند. هکرها می‌توانند هزاران یا حتی میلیون‌ها ترکیب دزدیده ‌شده را برای ورود به حساب‌های مختلف امتحان کنند. از سوی دیگر، حملات brute force ممکن است در مقیاس‌های کوچکتری انجام شوند و معمولاً تنها روی یک حساب تمرکز دارند. این حملات برای شکستن یک رمز عبور خاص به تلاش‌های مکرر نیاز دارند.

چگونه به حملات Credential Stuffing واکنش نشان دهیم؟

هنگامی که حملات Credential Stuffing شناسایی می‌شوند، انجام اقدامات سریع و مؤثر برای کاهش آسیب‌ها و محافظت از حساب‌های کاربری امری ضروری است. در اینجا راهکارهایی برای واکنش به این نوع حملات و مدیریت آن‌ها به ‌طور مؤثر ارائه شده است:

  • قفل کردن حساب‌های آسیب ‌دیده: در مرحله اول، پس از شناسایی حمله یا نفوذ به سیستم، قفل کردن فوری حساب‌های آسیب‌دیده باید به عنوان اولین اقدام انجام شود. این اقدام از گسترش تهدید و دسترسی‌های غیرمجاز به اطلاعات حساس جلوگیری می‌کند. پس از قفل کردن حساب‌ها، از کاربران آسیب‌دیده درخواست کنید که بلافاصله رمز عبور خود را تغییر دهند و در صورت امکان، از آنها بخواهید که به‌ طور کامل روند بازیابی حساب را طی کنند. همچنین، دسترسی به این حساب‌ها را تا زمانی که کاربران بتوانند هویت خود را به ‌طور کامل تأیید کنند و رمز عبور جدیدی تنظیم نمایند، باید مسدود کرد. این فرآیند موجب کاهش ریسک‌های امنیتی بیشتر شده و اطمینان حاصل می‌کند که هیچ سوءاستفاده‌ای از حساب‌های به خطر افتاده صورت نگیرد.
  • نظارت دقیق بر فعالیت‌های غیرعادی: در مرحله دوم، نظارت دقیق و مستمر بر فعالیت‌های غیرعادی باید به‌ طور جدی انجام شود تا هرگونه نشانه از حملات یا نفوذ به سیستم شناسایی گردد. تغییرات در رفتار حساب‌ها و الگوهای ورود کاربران باید به ‌طور دقیق و لحظه‌ای بررسی شوند. به ‌ویژه، باید به دنبال نشانه‌های هشداردهنده‌ای مانند تلاش‌های غیرعادی برای ورود، ورود به حساب‌ها از آدرس‌های IP ناشناخته، یا تراکنش‌های مشکوک و غیرمعمول باشید. همچنین، هرگونه فعالیت غیرمنتظره باید به‌ طور فوری بررسی و ارزیابی شود. برای افزایش دقت و سرعت در شناسایی تهدیدات، استفاده از ابزارهای خودکار و هوش مصنوعی برای شناسایی الگوهای غیرعادی و فعالیت‌های مشکوک توصیه می‌شود. این ابزارها قادرند به‌ صورت بلادرنگ نقاط ضعف سیستم و حملات احتمالی را شناسایی کنند و به تیم‌های امنیتی هشدار دهند.
  • اطلاع‌رسانی به کاربران آسیب‌دیده: به ‌صورت شفاف با تمامی کاربران متاثر از حمله ارتباط برقرار کرده و از آن‌ها بخواهید که رمزهای عبور خود را در تمامی سرویس‌ها تغییر دهند. همچنین به کاربران توصیه کنید که تایید هویت دو مرحله‌ای (MFA) را فعال کنند، که با اضافه کردن یک لایه امنیتی بیشتر، از حملات احتمالی آینده جلوگیری خواهد کرد.

چگونه از وقوع حملات Credential Stuffing جلوگیری کنیم؟

جلوگیری از حملات Credential Stuffing برای کاربران عادی کار پیچیده ای نیست. استفاده از رمز عبورهای منحصر به فرد برای هر سرویس، به ‌طور چشمگیری این نوع حملات را بی‌اثر می‌کند. علاوه بر این، استفاده از یک مدیر رمز عبور برای ساده‌تر کردن این فرایند به کاربران پیشنهاد می‌شود. همچنین، فعال‌سازی تأیید هویت دو مرحله‌ای (MFA) برای تقویت بیشتر امنیت حساب‌ها، در صورت امکان، انتخاب خوبی است. اما برای سازمان‌ها و کسب‌وکارها، جلوگیری از حملات Credential Stuffing چالش‌برانگیزتر است، به ‌ویژه برای سازمان‌هایی که از سرویس‌های احراز هویت استفاده می‌کنند. اگرچه سازمان‌ها می‌توانند از کاربران بخواهند از رمزهای عبور منحصر به فرد استفاده کنند، اما اجرای کامل این راهکار برای همه کاربران دشوار است. خوشبختانه، سازمان‌ها می‌توانند از روش‌های مختلفی برای مقابله با این نوع حملات بهره‌برداری کنند تا امنیت سیستم‌های خود را تقویت کنند.

  • CAPTCHA

CAPTCHA یکی از روش‌های رایج پیشگیری از حملات است که از کاربران می‌خواهد قبل از ورود به سیستم، اثبات کنند که انسان هستند. این فرایند معمولاً شامل وارد کردن کاراکترهای مخدوش شده یا شناسایی تصاویری خاص از میان چند تصویر است. اما مشکل اصلی CAPTCHA این است که هکرها می‌توانند با استفاده از مرورگرهای بدون رابط کاربری (headless browsers) آن را دور بزنند. به همین دلیل، توصیه می‌شود که CAPTCHA همراه با سایر تدابیر امنیتی به‌ کار گرفته شود تا امنیت بیشتری فراهم گردد.

  • تأیید هویت دو مرحله‌ای (MFA)

MFA یکی از مؤثرترین روش‌ها برای جلوگیری از حملات Credential Stuffing است. این روش از کاربران می‌خواهد که هویت خود را با استفاده از دو عامل تأیید کنند، مثل رمز عبور و کدی که به دستگاه موبایل آن‌ها ارسال می‌شود. این روش از دسترسی غیرمجاز جلوگیری کرده و امنیت بیشتری برای حساب‌های کاربری فراهم می‌کند. اگرچه استفاده از MFA ممکن است در تمامی موارد عملی نباشد ولی می‌توان آن را با دیگر روش‌های احراز هویت مانند شناسایی دستگاه ترکیب کرد.

  • استفاده از Device Fingerprinting

Device Fingerprinting به این معنا نیست که کاربر باید از اثر انگشت واقعی خود استفاده کند. بلکه این روش از JavaScript برای جمع‌آوری اطلاعات مختلف از دستگاه کاربران نظیر سیستم‌عامل، مرورگر، زبان، آدرس IP و غیره بهره می‌برد. این اطلاعات برای ایجاد یک اثر انگشت دیجیتال منحصر به فرد برای هر کاربر استفاده می‌شود. در صورتی که ترکیب این داده‌ها در چند تلاش متوالی تکرار شود، این روش قادر است حملات Credential Stuffing و Brute force را شناسایی کند و به مقابله با آن‌ها بپردازد.

  • فهرست‌های مسدود و مجاز IP

برای جلوگیری از دسترسی هکرها به شبکه، سازمان‌ها می‌توانند از فهرست‌های مسدود و مجاز IP استفاده کنند. آدرس‌های IP مخرب را می‌توان مسدود کرد و آدرس‌های مجاز را می‌توان برای ورود به شبکه پذیرفت. این روش به کاهش حملات از طریق IP‌های مشکوک کمک می‌کند.

  • مسدود کردن مرورگرهای بدون رابط کاربری(headless browsers)

مرورگرهای Headless معمولاً توسط ربات‌های مخرب برای انجام فعالیت‌های خودکار استفاده می‌شوند. این مرورگرها به راحتی از طریق JavaScript callsشناسایی می‌شوند، بنابراین یکی از روش‌های مؤثر برای جلوگیری از حملات Credential Stuffing مسدود کردن این مرورگرها است. با این حال، باید توجه داشت که مسدود کردن تمام مرورگرهای Headless ممکن است به ‌طور ناخواسته ربات‌های مفید را نیز مسدود کند. ربات‌های مفید شامل خزنده‌های موتور جستجو مانند Google یا Bing هستند که برای ایندکس کردن صفحات وب و بهبود نتایج جستجو عمل می‌کنند. علاوه بر این، برخی ربات‌ها برای نظارت بر وضعیت سایت و مدیریت chatbots استفاده می‌شوند. بنابراین، کلید شناسایی ربات‌های مفید، شناخت منبع آن‌ها است. ربات‌های مفید معمولاً توسط شرکت‌های معتبر و شناخته‌ شده به ‌کار می‌روند. این ربات‌ها معمولاً به قوانین و سیاست‌هایی که شما در سایت خود تعیین کرده‌اید احترام می‌گذارند، بنابراین تشخیص و مدیریت دقیق آن‌ها می‌تواند به شما کمک کند تا از ربات‌های مخرب جلوگیری کرده و همچنان از مزایای ربات‌های مفید بهره‌برداری کنید.

  • ممنوعیت استفاده از آدرس‌های ایمیل به‌عنوان شناسه کاربری

استفاده از آدرس ایمیل به‌عنوان شناسه کاربری یک روش رایج است که بسیاری از کاربران از آن برای ورود به سرویس‌های مختلف استفاده می‌کنند. این روش باعث می‌شود که احتمال استفاده مجدد از اطلاعات ورود (مانند نام کاربری و رمز عبور) در چندین سرویس افزایش یابد. برای کاهش این خطر و تقویت امنیت، بهتر است که کاربران از آدرس ایمیل به‌عنوان شناسه کاربری استفاده نکنند. به‌جای آن، استفاده از شناسه‌های منحصر به فرد یا سیستم‌های ورود دیگر (مانند استفاده از شناسه‌های دیجیتال یا شماره‌های کاربری تصادفی) توصیه می‌شود.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اشتراک گذاری این مطلب

دسته‌بندی‌ها

مطالب پر طرفدار