پایگاه دانش
Credential-Stuffing

حمله Credential Stuffing چیست و چقدر خطرناک است؟ چگونه از آن جلوگیری کنیم؟

حفظ امنیت اطلاعات شخصی و حساب‌های کاربری اهمیت فراوانی دارد. اما بسیاری از کاربران به محافظت از رمزهای عبور و اطلاعات حساس خود توجه کافی نمی‌کنند، که همین موضوع بستر مناسبی برای حملات سایبری فراهم می‌کند. یکی از این حملات Credential Stuffing است؛ روشی که مهاجمان با استفاده از لیست‌های گسترده‌ای از اعتبارنامه‌های به‌سرقت‌رفته، تلاش می‌کنند به حساب‌های کاربری مختلف دسترسی پیدا کنند. گستردگی این حملات به دلیل دسترسی آسان به ابزارهای اتوماسیون و فروش اعتبارنامه‌های لو رفته در دارک وب، تهدیدی جدی برای کاربران و سازمان‌ها محسوب می‌شود. شناخت این نوع حمله و اتخاذ راهکارهای مناسب، گامی اساسی در مقابله با چنین تهدیدهایی است.

حمله Credential Stuffing چیست؟

حمله Credential Stuffing یکی از روش‌های رایج در دنیای سایبری است که در آن مهاجمان از اطلاعات کاربری فاش‌شده طی نقض داده‌ها (Data Breach) برای دسترسی به حساب‌های کاربران در وب‌سایت‌ها و سرویس‌های دیگر استفاده می‌کنند. این حمله بر اساس فرض رایج بودن استفاده کاربران از یک نام کاربری و رمز عبور مشابه در سرویس‌های مختلف شکل می‌گیرد. مهاجمان معمولاً از لیست‌های اطلاعات کاربری موجود در بازار سیاه یا دارک وب بهره می‌برند و با استفاده از ربات‌های پیشرفته، این اطلاعات را به‌طور خودکار در صفحات ورود امتحان می‌کنند. 

برای مثال اگر اطلاعات کاربری یک فروشگاه آنلاین فاش شده باشد، مهاجم ممکن است همان اطلاعات را برای ورود به حساب‌های بانکی کاربران امتحان کند به امید اینکه برخی کاربران از همان رمز عبور استفاده کرده باشند. رشد ابزارهای پیشرفته و دسترسی آسان به دیتابیس‌های لو رفته باعث شده است حمله Credential Stuffing به یکی از محبوب‌ترین روش‌های نفوذ در دنیای سایبری تبدیل شود. این حمله نه‌تنها کاربران بلکه سازمان‌ها را نیز با تهدیدهای جدی روبه‌رو می‌کند.

حمله Credential Stuffing چیست؟

حمله پر کردن اعتبارنامه چگونه کار می‌کند؟

  1. تنظیم ربات حمله:

در اولین گام مهاجم یک ربات پیشرفته تنظیم می‌کند که به‌صورت خودکار بتواند به حساب‌های کاربری متعددی به‌طور هم‌زمان وارد شود. این ربات برای جلوگیری از شناسایی، آدرس‌های IP مختلف را جعل می‌کند تا از اقدامات امنیتی سرورها مانند مسدودسازی IP جلوگیری شود. این مرحله پایه‌ای برای اجرای مؤثر حمله است و به مهاجم کمک می‌کند تا بتواند حمله را در مقیاس بزرگ انجام دهد.

  1. اجرای فرآیند خودکار:

پس از تنظیم ربات مهاجم فرآیند خودکاری را اجرا می‌کند که اطلاعات کاربری سرقت‌شده را در سرویس‌ها و وب‌سایت‌های مختلف آزمایش کند. این فرآیند به‌طور موازی در چندین وب‌سایت انجام می‌شود تا زمان و تلاش لازم برای نفوذ کاهش یابد. استفاده از ابزارهای خودکار در این مرحله امکان بررسی تعداد زیادی از اطلاعات کاربری را در زمان کوتاه فراهم می‌کند.

  1. نظارت بر ورودهای موفق:

در این مرحله مهاجم به‌طور مداوم بر نتایج فرآیند خودکار نظارت می‌کند تا ورودهای موفق را شناسایی کند. در صورت موفقیت اطلاعات حساس موجود در حساب‌ها، مانند اطلاعات شخصی، کارت‌های اعتباری و داده‌های ارزشمند دیگر، استخراج می‌شود. این اطلاعات معمولاً هدف اصلی حمله هستند و می‌توانند برای سوءاستفاده‌های مالی یا اهداف دیگر استفاده شوند.

  1. ذخیره و استفاده از اطلاعات نفوذشده:

در نهایت مهاجم اطلاعات حساب‌های نفوذشده را ذخیره می‌کند تا در آینده از آن‌ها استفاده کند. این اطلاعات می‌توانند برای حملات دیگری مانند حملات فیشینگ، کلاهبرداری‌های مالی، یا فروش در بازار سیاه به کار گرفته شوند. همچنین برخی مهاجمان از این داده‌ها برای دسترسی غیرمجاز به سرویس‌های مرتبط یا حتی انجام تراکنش‌های غیرقانونی استفاده می‌کنند.

ذخیره و استفاده از اطلاعات نفوذشده

چرا این حملات جدی و خطرناک هستند؟

  • تکیه به رفتارهای ضعیف کاربران

بسیاری از کاربران برای ساده‌تر شدن فرآیند ورود به سرویس‌های مختلف، از یک رمز عبور واحد برای حساب‌های متعدد استفاده می‌کنند. این عادت اگرچه راحتی را فراهم می‌کند اما باعث می‌شود که در صورت لو رفتن اطلاعات یکی از این حساب‌ها، مهاجمان بتوانند به سادگی به سایر حساب‌ها نیز دسترسی پیدا کنند. این ضعف انسانی یکی از مهم‌ترین عواملی است که حملات را تسهیل و تاثیر آنها را بیشتر می‌کند.

  • دسترسی گسترده به اطلاعات لو رفته

بانک‌های اطلاعاتی عظیمی که حاوی میلیون‌ها یا حتی میلیاردها ترکیب نام کاربری و رمز عبور هستند، در اینترنت یا در بازارهای سیاه به راحتی قابل دسترسی هستند. این داده‌ها به مهاجمان امکان می‌دهند تا حملات خود را با سرعت و دقت بیشتری اجرا کنند. چنین حجم وسیعی از اطلاعات، حملات را بسیار خطرناک می‌سازد.

  • استفاده از ربات‌ها برای اجرای خودکار حملات

مهاجمان از ربات‌های پیشرفته استفاده می‌کنند تا حملات را به صورت خودکار و در مقیاس بزرگ اجرا کنند. این ربات‌ها می‌توانند به سرعت هزاران تلاش برای ورود را با استفاده از اطلاعات لو رفته انجام دهند. همچنین با تغییر مداوم آدرس‌های IP و دور زدن مکانیزم‌هایی مانند CAPTCHA شناسایی و متوقف کردن آنها دشوار می‌شود.

استفاده از ربات‌ها برای اجرای خودکار حملات

  • عدم وجود احراز هویت چندمرحله‌ای (MFA)

بسیاری از سرویس‌ها هنوز از مکانیزم احراز هویت چندمرحله‌ای استفاده نمی‌کنند و تنها به رمز عبور بسنده می‌کنند. این موضوع باعث می‌شود که در صورت دستیابی مهاجمان به رمز عبور، بتوانند به راحتی وارد حساب‌ها شوند. اگر احراز هویت چندمرحله‌ای فعال باشد، حتی در صورت دسترسی به رمز عبور، مهاجمان قادر به نفوذ نخواهند بود.

احراز هویت چندعاملی (MFA): انتخاب مناسب برای امنیت آنلاین

  • ساده بودن اجرای حملات برای مهاجمان

اجرای این نوع حملات نیاز به مهارت‌های پیچیده یا دانش پیشرفته ندارد. ابزارها و نرم‌افزارهای آماده‌ای وجود دارند که به مهاجمان امکان می‌دهند حملات را به سرعت و بدون نیاز به تلاش زیاد اجرا کنند. همین موضوع باعث شده تا افراد بیشتری به استفاده از این روش‌ها روی بیاورند.

  • نرخ موفقیت پایین اما پرکاربرد بودن حملات

اگرچه حملات معمولاً نرخ موفقیت کمی دارند (حدود ۰.۱٪) اما به دلیل حجم بالای اطلاعات استفاده‌شده، همچنان تاثیرگذار و خطرناک هستند. برای مثال اگر مهاجمی به یک میلیون حساب دسترسی داشته باشد، حتی درصد کوچکی از موفقیت می‌تواند منجر به نفوذ به هزاران حساب شود.

تفاوت Credential Stuffing با حملات Brute Force

حملات Credential Stuffing و Brute Force هر دو به منظور دسترسی غیرمجاز به حساب‌های کاربری انجام می‌شوند اما رویکردها و نحوه‌ی اجرا در این دو نوع حمله کاملاً متفاوت است. در حملات Brute Force مهاجم تلاش می‌کند با آزمودن ترکیب‌های مختلف رمز عبور به‌صورت تصادفی یا بر اساس الگوهای رایج، اطلاعات کاربری را حدس بزند. این روش معمولاً زمان‌بر است و موفقیت آن به انتخاب رمز عبور ساده یا رایج توسط کاربر وابسته است. از طرف دیگر حملات Credential Stuffing از اطلاعاتی که قبلاً از یک سرویس دیگر درز کرده‌اند استفاده می‌کند. مهاجم با استفاده از این داده‌های واقعی تلاش می‌کند تا به حساب‌های کاربری در سرویس‌های دیگر دسترسی پیدا کند.

تفاوت کلیدی این دو حمله در میزان موفقیت و نوع داده‌های استفاده‌شده است. حملات Brute Force معمولاً با اعمال رمزهای عبور قوی (حاوی حروف بزرگ، کوچک، اعداد و کاراکترهای خاص) قابل دفع هستند اما Credential Stuffing به دلیل وابستگی به داده‌های واقعی و استفاده از رمزهای عبوری که ممکن است در چندین حساب کاربری یکسان باشند، حتی در صورت وجود رمزهای قوی نیز موفق عمل می‌کند. به همین دلیل، استفاده از احراز هویت دو مرحله‌ای و عدم اشتراک رمز عبور بین سرویس‌ها از جمله اقدامات دفاعی مؤثر در برابر حملات Credential Stuffing هستند.

Credential Stuffing
Brute Force

روش حمله

استفاده از داده‌های واقعی لو رفته

آزمودن ترکیب‌های تصادفی یا رایج رمز عبور

سرعت انجام حمله

سریع‌تر به دلیل استفاده از داده‌های معتبر

کندتر به دلیل آزمودن ترکیب‌های مختلف

میزان موفقیت

بالا در صورت یکسان بودن رمز عبور بین سرویس‌ها

پایین در صورت استفاده از رمز عبور قوی

دفاع مؤثر

احراز هویت دو مرحله‌ای و عدم استفاده مجدد از رمز عبور

استفاده از رمزهای عبور پیچیده و طولانی

نیاز به داده اولیه

نیاز به اطلاعات درز کرده از سرویس دیگر

بدون داده اولیه انجام می‌شود

چگونه می‌توان از حمله Credential Stuffing جلوگیری کرد؟

  1. استفاده از احراز هویت چندمرحله‌ای (MFA)

یکی از بهترین راه‌ها برای جلوگیری از حملات Credential Stuffing استفاده از احراز هویت چندمرحله‌ای (MFA) است. این روش از کاربران می‌خواهد علاوه بر رمز عبور، عامل دیگری مانند کد ارسال شده به تلفن همراه یا یک توکن امنیتی را ارائه دهند. این لایه‌ی اضافی امنیتی مانع بزرگی برای مهاجمان ایجاد می‌کند، چرا که آن‌ها معمولاً به این عوامل اضافی دسترسی ندارند.

  1. استفاده از CAPTCHA

CAPTCHA یکی دیگر از ابزارهای مؤثر در برابر حملات Credential Stuffing است. این فناوری از کاربران می‌خواهد اقداماتی انجام دهند که نشان‌دهنده انسان بودن آن‌ها باشد، مانند شناسایی تصاویر خاص یا وارد کردن کدهای مشخص. این کار شانس موفقیت ابزارهای خودکار مهاجمان را کاهش می‌دهد، هرچند برخی از ابزارهای پیشرفته ممکن است بتوانند این سد را دور بزنند.

استفاده از CAPTCHA

  1. محدود کردن نرخ تلاش‌های ورود (Rate Limiting)

با محدود کردن تعداد تلاش‌های ورود از یک آدرس IP مشخص، می‌توان از حملات مکرر جلوگیری کرد. به عنوان مثال، می‌توان تنظیم کرد که هر آدرس IP تنها چند تلاش ورود در یک بازه زمانی مشخص داشته باشد. این روش کمک می‌کند تا ربات‌ها و ابزارهای خودکار از ادامه حمله باز بمانند.

  1. ممنوع کردن مرورگرهای بدون رابط کاربری

مرورگرهای بدون رابط کاربری (headless browsers) ابزاری رایج برای حملات خودکار هستند. با شناسایی این نوع مرورگرها از طریق کدهای جاوااسکریپت، می‌توان دسترسی آن‌ها را مسدود کرد و از سوءاستفاده جلوگیری نمود.

  1. بررسی و نظارت بر ترافیک

بررسی لاگ‌های سیستم و شناسایی رفتارهای غیرعادی در تلاش‌های ورود، مانند تعداد زیاد تلاش‌های ناموفق یا فعالیت‌های شبانه‌روزی، می‌تواند به شناسایی حملات Credential Stuffing کمک کند. در صورت مشاهده موارد مشکوک، باید اقدامات فوری برای مسدود کردن دسترسی مهاجمان انجام شود.

  1. حذف حساب‌های بلااستفاده

حساب‌های قدیمی یا بلااستفاده می‌توانند اهداف آسانی برای مهاجمان باشند. با حذف این حساب‌ها، تعداد اعتبارنامه‌هایی که ممکن است در معرض خطر قرار بگیرند، کاهش می‌یابد و امنیت کاربران افزایش پیدا می‌کند.

نمونه‌هایی از حملات Credential Stuffing در دنیای واقعی

حمله به سرویس دیزنی پلاس (Disney+)

در نوامبر ۲۰۱۹ مدت کوتاهی پس از راه‌اندازی سرویس استریمینگ دیزنی پلاس هزاران حساب کاربری کاربران هک شد. مهاجمان از اطلاعات ورود کاربران که در حملات قبلی لو رفته بودند، برای دسترسی به حساب‌های کاربران استفاده کردند. نتیجه این حمله فروش اطلاعات حساب‌ها در بازار سیاه و از دسترس خارج شدن حساب‌ها برای کاربران بود. دلایل موفقیت این حمله شامل استفاده کاربران از رمزهای عبور مشابه در سرویس‌های مختلف و نبود احراز هویت چندمرحله‌ای بود.

حمله Dunkin’ Donuts

در فوریه ۲۰۱۹ سیستم برنامه وفاداری شرکت Dunkin’ Donuts هدف حمله قرار گرفت. مهاجمان با استفاده از داده‌های لو رفته از حساب‌های کاربران، امتیازات وفاداری را سرقت کردند. اطلاعات حساس کاربران مانند نام، ایمیل و شماره تماس نیز به خطر افتاد. این حمله به دلیل ضعف در مدیریت رمزهای عبور کاربران و نبود محدودیت‌های قوی برای تلاش‌های ناموفق ورود موفق شد.

حمله به Zoom در دوران اوج استفاده

در آوریل ۲۰۲۰ و همزمان با افزایش استفاده از Zoom برای جلسات آنلاین، مهاجمان با استفاده از Credential Stuffing به حساب‌های کاربران نفوذ کردند. این حملات منجر به اتفاقاتی مانند Zoom-Bombing و انتشار اطلاعات شخصی کاربران شد. فروش اطلاعات کاربری در دارک وب یکی از پیامدهای این حمله بود. دلیل اصلی موفقیت این حمله استفاده کاربران از رمزهای عبور مشابه در پلتفرم‌های مختلف و نبود احراز هویت چندعاملی قوی بود.

جمع‌بندی…

حملات Credential Stuffing به دلیل استفاده گسترده کاربران از رمزهای عبور تکراری و ضعیف، یکی از تهدیدهای جدی در فضای سایبری به شمار می‌روند. نمونه‌های واقعی این حملات، از جمله نفوذ به سرویس‌هایی مانند Disney+، Dunkin’ Donuts و Zoom، نشان می‌دهند که عدم توجه به اصول امنیتی مانند استفاده از رمزهای عبور قوی، مدیریت مناسب حساب‌های کاربری و پیاده‌سازی احراز هویت چندعاملی (MFA) می‌تواند به نقض حریم خصوصی و خسارات مالی منجر شود.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *