Cookies management by TermsFeed Cookie Consent

05/2023

   Report bezpečnosti

Že online fraudy rastú, nie je prekvapivé. Pozoruhodné je, ako sa to deje.

Online podvody alebo, ak chcete, online fraudy za posledné roky rastú a ich záber sa výrazne mení. Už dávno to nie sú len ukradnuté kreditné karty a bankové účty. Tu už hovoríme o ohrození webových aplikácií, na ktorých stojí postpandemický svet. A pripomíname, že automatizované útočné nástroje sú drajvované umelou inteligenciou či strojovým učením.

Zločinci expandovali do online priestoru, a tak výška škôd rastie. Federálna obchodná komisia (FTC) uvádza, že v roku 2022 spotrebitelia nahlásili ujmu takmer 8,8 miliardy dolárov v dôsledku digitálnych podvodov, čo predstavuje nárast viac ako 30 percent v porovnaní s predchádzajúcim rokom.

Určite by sa to dalo lepšie minúť

Podľa výročnej správy FBI o internetovej kriminalite sa v roku 2022 v dôsledku online podvodov „stratilo“ 10,6 miliardy dolárov. V porovnaní so stratami vo výške 6,9 miliardy dolárov v roku 2021 ide o nárast o 46 percent.

Drastický medziročný rast o viac ako 3,5 miliardy dolárov spôsobili najmä podvody s kryptomenami. Správa uvádza, že investičné podvody boli celkovo najnákladnejšou schémou. Podvody simulujúce call centrá predstavovali celkové straty viac ako 1 miliardu dolárov. Z tejto miliardy patrilo 724 miliónov dolárov obetiam vo veku viac ako 60 rokov.

Podvody na báze Business email compromise predstavovali straty 2,7 miliardy dolárov. Sem patri zneužitie biznisových e-mailových adries používateľov a následný pokus s využitím techník sociálneho inžinierstva na oklamanie obete, aby previedla finančné prostriedky. A aj keď ransomvérové útoky v roku 2022 klesli, stále predstavovali straty vo výške 34,3 milióna dolárov.

Autori správy však upozorňujú, že uvedené údaje pochádzajú z viac ako 800-tisíc sťažností podaných v roku 2022. Čísla sú preto pravdepodobne ešte vyššie, pretože časť obetí podvodov útoky a škody neoznámi.

Sumarizácia našich slabých stránok

Je čoraz viac digitálnych transakcií, za ktoré sa môžu útočníci vydávať, viac účtov, ktoré sa dajú ukradnúť, viac príležitostí zneužitia, či už ide o online bankovníctvo, nákupy na webe alebo podávanie daňových priznaní.

Plocha hrozieb sa exponenciálne rozšírila používaním smartfónov, mobilných zariadení a internetu vecí. Navyše tieto mobilné zariadenia ani aplikácie sociálnych médií nie je ľahké zabezpečiť.

Taktiky botových útokov sú kreatívne a vyvíjajú sa. Takzvané prelomenie hesla hrubou silou je už pomerne dostupné masám útočníkov a spôsoby ochrany sa stále zlepšujú. Technika credential stuffing je však pri prienikoch omnoho sofistikovanejšia a využíva automatizované testovanie prihlasovacích údajov, ktoré pochádzajú z uniknutých databáz.

Zločinecké gangy sú dobre organizované a ich operácie sú často riadené rovnako ako legálne podniky. Očakáva sa, že používanie pokročilých nástrojov a automatizovaných útokov, ako sú botnety a malvér, v roku 2023 bude rásť, keďže služby Fraud as a Service sú ľahko dostupné na dark webe.

Ako fungujú útoky typu credential stuffing

Útočné gangy nakúpia používateľské účty, ktoré pochádzajú z únikov, prenajmú si infraštruktúru botov na automatizáciu útokov a v ďalšej etape sa sústreďujú na vektor útoku.

Credential stuffing je metóda kybernetického útoku, pri ktorej útočníci používajú zoznamy kompromitovaných používateľských účtov na prienik do systému. Na rozdiel od ostatných útokov útočník sa v tomto prípade nesnaží uhádnuť správne heslo od konkrétneho účtu. Práve naopak, spolieha sa na to, že ľudia často používajú rovnaké prihlasovacie mená a heslá na viacerých stránkach a do viacerých aplikácií.

Útok využíva masívne nasadenie botov, ktoré sa pokúšajú o prienik do firemných a bankových aplikácií. Bot tu proste dostane jednoduchý príkaz: „Napĺňaj prihlasovací formulár z databázy existujúcich účtov“ a systematicky a opakovane to všade skúša. Štatistiky ukazujú, že približne 0,1 percenta pokusov o narušenie vyústi do úspešného prihlásenia.

Útočník monitoruje úspešné prihlásenia a získava osobné údaje alebo iné cenné údaje z kompromitovaných účtov. Bot si uchováva informácie o účte na budúce použitie, napríklad na phishingové útoky alebo iné transakcie umožnené kompromitovanou službou.

Credential stuffing je rastúcim vektorom hrozby z dvoch hlavných dôvodov

  • Široká dostupnosť databáz prihlasovacích údajov či používateľských účtov

Napríklad databáza Collection #1-5 otvorene sprístupnila hackerskej komunite 22 miliárd kombinácií používateľských mien a hesiel.

  • Čoraz sofistikovanejšie boty 
Boty sa pokúšajú súčasne o niekoľko prihlásení a vyzerajú, že pochádzajú z rôznych IP adries. Často dokážu obísť jednoduché bezpečnostné opatrenia, ako je napríklad zákaz IP adries s príliš veľkým počtom neúspešných prihlásení.

Čo odlišuje credential stuffing a útoky hrubou silou


  • Útoky hrubou silou sa pokúšajú uhádnuť prihlasovacie údaje bez kontextu pomocou náhodných reťazcov, bežne používaných vzorov hesiel alebo slovníkov bežných fráz.
  • Útoky hrubou silou sú úspešné, ak majú používatelia jednoduché, uhádnuteľné heslá.
  • Pri útokoch hrubou silou chýba kontext a údaje z predchádzajúcich narušení, a preto je ich úspešnosť prihlásenia oveľa nižšia.

Vo webovej aplikácii so základnými bezpečnostnými opatreniami útoky hrubou silou pravdepodobne zlyhajú, zatiaľ čo útoky typu credential stuffing môžu byť úspešné. Aj keď si zamestnávatelia alebo služby vynútia silné heslá, používatelia heslo zdieľajú medzi službami, čo v prípade narušenia vedie ku kompromitácii všetkých služieb naraz.


Prevencia pred neoprávneným prístupom alebo zneužitím prihlasovacích údajov? Existuje

Viacfaktorová autentifikácia (MFA)

Princíp je založený na tom, aby sa používateľ okrem toho, čo vie, overoval aj niečím, čo vlastní alebo je jedinečné. Útočné boty nie sú schopné poskytnúť fyzickú metódu overenia, napríklad cez mobilný telefón alebo prístupový token. Prípadne sa MFA kombinuje s inými biometrickými technikami.

Používanie CAPTCHA

CAPTCHA vyžaduje, aby používatelia vykonali niečo, čím by preukázali, že sú ľudia, a môže znížiť účinnosť overovania poverení. Podobne ako MFA aj CAPTCHA sa dá kombinovať s inými metódami a použiť len v špecifických scenároch.

Odtlačok zariadenia

Na zhromažďovanie informácií o používateľských zariadeniach a vytvorenie „odtlačku prsta“ pre každú prichádzajúcu reláciu sa dá použiť JavaScript. Odtlačok je kombináciou parametrov, ako je operačný systém, jazyk, prehliadač, časové pásmo či agent používateľa. Ak sa rovnaká kombinácia parametrov prihlási niekoľkokrát po sebe, pravdepodobne ide o útok hrubou silou alebo útok typu credential stuffing.

Čierna listina IP

Útočníci majú zvyčajne obmedzený fond IP adries. Takže ďalšou účinnou obranou je blokovanie alebo presmerovanie IP adries do sandboxu, ak sa pokúšajú prihlásiť do viacerých účtov.

Obmedzenia prevádzky z nerezidenčných adries

Je ľahké identifikovať prevádzku, ktorá pochádza napríklad z komerčných dátových centier globálnych poskytovateľov. Je to takmer určite prevádzka botov a treba na ňu nahliadať oveľa opatrnejšie ako na bežnú používateľskú prevádzku.

Zákaz e-mailovej adresy ako ID používateľa

Credential stuffing sa opiera o to, že rovnaké používateľské mená alebo ID účtov sa opakovane používajú v rôznych službách. Je oveľa pravdepodobnejšie, že k tomu dôjde, ak je týmto identifikátorom e-mailová adresa. Ak sa používateľom zabráni používať e-mailovú adresu ako ID účtu, výrazne sa zníži pravdepodobnosť opakovaného používania tej istej dvojice používateľ + heslo na inom webe.

Blokovanie určitého typu prehliadačov

Headless, čiže bezhlavičkové prehliadače*, ako je napríklad PhantomJS, možno ľahko identifikovať podľa volaní JavaScriptu, ktoré používajú. Nie sú legitímnymi používateľmi a takmer určite indikujú podozrivé správanie, a preto treba zablokovať prístup cez ne.

Záverom? Neprepadáme panike

Odhaduje sa, že v roku 2023 bude ukradnutých viac ako 33 miliárd osobných údajov. Neprepadajte depresii, organizácie nie sú pri ochrane digitálnej infraštruktúry úplne bezmocné. Rastúca agresia so sebou prenáša tlak na to, aby bol kód pre počítačové a mobilné aplikácie zašifrovaný s náležitou silou.

* Poznámka: Bezhlavičkový prehliadač je webový prehliadač, ktorý nie je nakonfigurovaný s grafickým používateľským rozhraním – GUI. Väčšinou ho používajú softvéroví inžinieri na testovanie, pretože prehliadače bez GUI fungujú rýchlejšie, keďže nemusia vykresľovať vizuálny obsah.