
حمله Credential Stuffing چیست و چقدر خطرناک است؟ چگونه از آن جلوگیری کنیم؟
حفظ امنیت اطلاعات شخصی و حسابهای کاربری اهمیت فراوانی دارد. اما بسیاری از کاربران به محافظت از رمزهای عبور و اطلاعات حساس خود توجه کافی نمیکنند، که همین موضوع بستر مناسبی برای حملات سایبری فراهم میکند. یکی از این حملات Credential Stuffing است؛ روشی که مهاجمان با استفاده از لیستهای گستردهای از اعتبارنامههای بهسرقترفته، تلاش میکنند به حسابهای کاربری مختلف دسترسی پیدا کنند. گستردگی این حملات به دلیل دسترسی آسان به ابزارهای اتوماسیون و فروش اعتبارنامههای لو رفته در دارک وب، تهدیدی جدی برای کاربران و سازمانها محسوب میشود. شناخت این نوع حمله و اتخاذ راهکارهای مناسب، گامی اساسی در مقابله با چنین تهدیدهایی است.
حمله Credential Stuffing چیست؟
حمله Credential Stuffing یکی از روشهای رایج در دنیای سایبری است که در آن مهاجمان از اطلاعات کاربری فاششده طی نقض دادهها (Data Breach) برای دسترسی به حسابهای کاربران در وبسایتها و سرویسهای دیگر استفاده میکنند. این حمله بر اساس فرض رایج بودن استفاده کاربران از یک نام کاربری و رمز عبور مشابه در سرویسهای مختلف شکل میگیرد. مهاجمان معمولاً از لیستهای اطلاعات کاربری موجود در بازار سیاه یا دارک وب بهره میبرند و با استفاده از رباتهای پیشرفته، این اطلاعات را بهطور خودکار در صفحات ورود امتحان میکنند.
برای مثال اگر اطلاعات کاربری یک فروشگاه آنلاین فاش شده باشد، مهاجم ممکن است همان اطلاعات را برای ورود به حسابهای بانکی کاربران امتحان کند به امید اینکه برخی کاربران از همان رمز عبور استفاده کرده باشند. رشد ابزارهای پیشرفته و دسترسی آسان به دیتابیسهای لو رفته باعث شده است حمله Credential Stuffing به یکی از محبوبترین روشهای نفوذ در دنیای سایبری تبدیل شود. این حمله نهتنها کاربران بلکه سازمانها را نیز با تهدیدهای جدی روبهرو میکند.
حمله پر کردن اعتبارنامه چگونه کار میکند؟
تنظیم ربات حمله:
در اولین گام مهاجم یک ربات پیشرفته تنظیم میکند که بهصورت خودکار بتواند به حسابهای کاربری متعددی بهطور همزمان وارد شود. این ربات برای جلوگیری از شناسایی، آدرسهای IP مختلف را جعل میکند تا از اقدامات امنیتی سرورها مانند مسدودسازی IP جلوگیری شود. این مرحله پایهای برای اجرای مؤثر حمله است و به مهاجم کمک میکند تا بتواند حمله را در مقیاس بزرگ انجام دهد.
اجرای فرآیند خودکار:
پس از تنظیم ربات مهاجم فرآیند خودکاری را اجرا میکند که اطلاعات کاربری سرقتشده را در سرویسها و وبسایتهای مختلف آزمایش کند. این فرآیند بهطور موازی در چندین وبسایت انجام میشود تا زمان و تلاش لازم برای نفوذ کاهش یابد. استفاده از ابزارهای خودکار در این مرحله امکان بررسی تعداد زیادی از اطلاعات کاربری را در زمان کوتاه فراهم میکند.
نظارت بر ورودهای موفق:
در این مرحله مهاجم بهطور مداوم بر نتایج فرآیند خودکار نظارت میکند تا ورودهای موفق را شناسایی کند. در صورت موفقیت اطلاعات حساس موجود در حسابها، مانند اطلاعات شخصی، کارتهای اعتباری و دادههای ارزشمند دیگر، استخراج میشود. این اطلاعات معمولاً هدف اصلی حمله هستند و میتوانند برای سوءاستفادههای مالی یا اهداف دیگر استفاده شوند.
ذخیره و استفاده از اطلاعات نفوذشده:
در نهایت مهاجم اطلاعات حسابهای نفوذشده را ذخیره میکند تا در آینده از آنها استفاده کند. این اطلاعات میتوانند برای حملات دیگری مانند حملات فیشینگ، کلاهبرداریهای مالی، یا فروش در بازار سیاه به کار گرفته شوند. همچنین برخی مهاجمان از این دادهها برای دسترسی غیرمجاز به سرویسهای مرتبط یا حتی انجام تراکنشهای غیرقانونی استفاده میکنند.
چرا این حملات جدی و خطرناک هستند؟
تکیه به رفتارهای ضعیف کاربران
بسیاری از کاربران برای سادهتر شدن فرآیند ورود به سرویسهای مختلف، از یک رمز عبور واحد برای حسابهای متعدد استفاده میکنند. این عادت اگرچه راحتی را فراهم میکند اما باعث میشود که در صورت لو رفتن اطلاعات یکی از این حسابها، مهاجمان بتوانند به سادگی به سایر حسابها نیز دسترسی پیدا کنند. این ضعف انسانی یکی از مهمترین عواملی است که حملات را تسهیل و تاثیر آنها را بیشتر میکند.
دسترسی گسترده به اطلاعات لو رفته
بانکهای اطلاعاتی عظیمی که حاوی میلیونها یا حتی میلیاردها ترکیب نام کاربری و رمز عبور هستند، در اینترنت یا در بازارهای سیاه به راحتی قابل دسترسی هستند. این دادهها به مهاجمان امکان میدهند تا حملات خود را با سرعت و دقت بیشتری اجرا کنند. چنین حجم وسیعی از اطلاعات، حملات را بسیار خطرناک میسازد.
استفاده از رباتها برای اجرای خودکار حملات
مهاجمان از رباتهای پیشرفته استفاده میکنند تا حملات را به صورت خودکار و در مقیاس بزرگ اجرا کنند. این رباتها میتوانند به سرعت هزاران تلاش برای ورود را با استفاده از اطلاعات لو رفته انجام دهند. همچنین با تغییر مداوم آدرسهای IP و دور زدن مکانیزمهایی مانند CAPTCHA شناسایی و متوقف کردن آنها دشوار میشود.
عدم وجود احراز هویت چندمرحلهای (MFA)
بسیاری از سرویسها هنوز از مکانیزم احراز هویت چندمرحلهای استفاده نمیکنند و تنها به رمز عبور بسنده میکنند. این موضوع باعث میشود که در صورت دستیابی مهاجمان به رمز عبور، بتوانند به راحتی وارد حسابها شوند. اگر احراز هویت چندمرحلهای فعال باشد، حتی در صورت دسترسی به رمز عبور، مهاجمان قادر به نفوذ نخواهند بود.
احراز هویت چندعاملی (MFA): انتخاب مناسب برای امنیت آنلاین
ساده بودن اجرای حملات برای مهاجمان
اجرای این نوع حملات نیاز به مهارتهای پیچیده یا دانش پیشرفته ندارد. ابزارها و نرمافزارهای آمادهای وجود دارند که به مهاجمان امکان میدهند حملات را به سرعت و بدون نیاز به تلاش زیاد اجرا کنند. همین موضوع باعث شده تا افراد بیشتری به استفاده از این روشها روی بیاورند.
نرخ موفقیت پایین اما پرکاربرد بودن حملات
اگرچه حملات معمولاً نرخ موفقیت کمی دارند (حدود ۰.۱٪) اما به دلیل حجم بالای اطلاعات استفادهشده، همچنان تاثیرگذار و خطرناک هستند. برای مثال اگر مهاجمی به یک میلیون حساب دسترسی داشته باشد، حتی درصد کوچکی از موفقیت میتواند منجر به نفوذ به هزاران حساب شود.
تفاوت Credential Stuffing با حملات Brute Force
حملات Credential Stuffing و Brute Force هر دو به منظور دسترسی غیرمجاز به حسابهای کاربری انجام میشوند اما رویکردها و نحوهی اجرا در این دو نوع حمله کاملاً متفاوت است. در حملات Brute Force مهاجم تلاش میکند با آزمودن ترکیبهای مختلف رمز عبور بهصورت تصادفی یا بر اساس الگوهای رایج، اطلاعات کاربری را حدس بزند. این روش معمولاً زمانبر است و موفقیت آن به انتخاب رمز عبور ساده یا رایج توسط کاربر وابسته است. از طرف دیگر حملات Credential Stuffing از اطلاعاتی که قبلاً از یک سرویس دیگر درز کردهاند استفاده میکند. مهاجم با استفاده از این دادههای واقعی تلاش میکند تا به حسابهای کاربری در سرویسهای دیگر دسترسی پیدا کند.
تفاوت کلیدی این دو حمله در میزان موفقیت و نوع دادههای استفادهشده است. حملات Brute Force معمولاً با اعمال رمزهای عبور قوی (حاوی حروف بزرگ، کوچک، اعداد و کاراکترهای خاص) قابل دفع هستند اما Credential Stuffing به دلیل وابستگی به دادههای واقعی و استفاده از رمزهای عبوری که ممکن است در چندین حساب کاربری یکسان باشند، حتی در صورت وجود رمزهای قوی نیز موفق عمل میکند. به همین دلیل، استفاده از احراز هویت دو مرحلهای و عدم اشتراک رمز عبور بین سرویسها از جمله اقدامات دفاعی مؤثر در برابر حملات Credential Stuffing هستند.
Credential Stuffing |
Brute Force |
|
---|---|---|
روش حمله |
استفاده از دادههای واقعی لو رفته |
آزمودن ترکیبهای تصادفی یا رایج رمز عبور |
سرعت انجام حمله |
سریعتر به دلیل استفاده از دادههای معتبر |
کندتر به دلیل آزمودن ترکیبهای مختلف |
میزان موفقیت |
بالا در صورت یکسان بودن رمز عبور بین سرویسها |
پایین در صورت استفاده از رمز عبور قوی |
دفاع مؤثر |
احراز هویت دو مرحلهای و عدم استفاده مجدد از رمز عبور |
استفاده از رمزهای عبور پیچیده و طولانی |
نیاز به داده اولیه |
نیاز به اطلاعات درز کرده از سرویس دیگر |
بدون داده اولیه انجام میشود |
چگونه میتوان از حمله Credential Stuffing جلوگیری کرد؟
استفاده از احراز هویت چندمرحلهای (MFA)
یکی از بهترین راهها برای جلوگیری از حملات Credential Stuffing استفاده از احراز هویت چندمرحلهای (MFA) است. این روش از کاربران میخواهد علاوه بر رمز عبور، عامل دیگری مانند کد ارسال شده به تلفن همراه یا یک توکن امنیتی را ارائه دهند. این لایهی اضافی امنیتی مانع بزرگی برای مهاجمان ایجاد میکند، چرا که آنها معمولاً به این عوامل اضافی دسترسی ندارند.
استفاده از CAPTCHA
CAPTCHA یکی دیگر از ابزارهای مؤثر در برابر حملات Credential Stuffing است. این فناوری از کاربران میخواهد اقداماتی انجام دهند که نشاندهنده انسان بودن آنها باشد، مانند شناسایی تصاویر خاص یا وارد کردن کدهای مشخص. این کار شانس موفقیت ابزارهای خودکار مهاجمان را کاهش میدهد، هرچند برخی از ابزارهای پیشرفته ممکن است بتوانند این سد را دور بزنند.
محدود کردن نرخ تلاشهای ورود (Rate Limiting)
با محدود کردن تعداد تلاشهای ورود از یک آدرس IP مشخص، میتوان از حملات مکرر جلوگیری کرد. به عنوان مثال، میتوان تنظیم کرد که هر آدرس IP تنها چند تلاش ورود در یک بازه زمانی مشخص داشته باشد. این روش کمک میکند تا رباتها و ابزارهای خودکار از ادامه حمله باز بمانند.
ممنوع کردن مرورگرهای بدون رابط کاربری
مرورگرهای بدون رابط کاربری (headless browsers) ابزاری رایج برای حملات خودکار هستند. با شناسایی این نوع مرورگرها از طریق کدهای جاوااسکریپت، میتوان دسترسی آنها را مسدود کرد و از سوءاستفاده جلوگیری نمود.
بررسی و نظارت بر ترافیک
بررسی لاگهای سیستم و شناسایی رفتارهای غیرعادی در تلاشهای ورود، مانند تعداد زیاد تلاشهای ناموفق یا فعالیتهای شبانهروزی، میتواند به شناسایی حملات Credential Stuffing کمک کند. در صورت مشاهده موارد مشکوک، باید اقدامات فوری برای مسدود کردن دسترسی مهاجمان انجام شود.
حذف حسابهای بلااستفاده
حسابهای قدیمی یا بلااستفاده میتوانند اهداف آسانی برای مهاجمان باشند. با حذف این حسابها، تعداد اعتبارنامههایی که ممکن است در معرض خطر قرار بگیرند، کاهش مییابد و امنیت کاربران افزایش پیدا میکند.
نمونههایی از حملات Credential Stuffing در دنیای واقعی
حمله به سرویس دیزنی پلاس (Disney+)
در نوامبر ۲۰۱۹ مدت کوتاهی پس از راهاندازی سرویس استریمینگ دیزنی پلاس هزاران حساب کاربری کاربران هک شد. مهاجمان از اطلاعات ورود کاربران که در حملات قبلی لو رفته بودند، برای دسترسی به حسابهای کاربران استفاده کردند. نتیجه این حمله فروش اطلاعات حسابها در بازار سیاه و از دسترس خارج شدن حسابها برای کاربران بود. دلایل موفقیت این حمله شامل استفاده کاربران از رمزهای عبور مشابه در سرویسهای مختلف و نبود احراز هویت چندمرحلهای بود.
حمله Dunkin’ Donuts
در فوریه ۲۰۱۹ سیستم برنامه وفاداری شرکت Dunkin’ Donuts هدف حمله قرار گرفت. مهاجمان با استفاده از دادههای لو رفته از حسابهای کاربران، امتیازات وفاداری را سرقت کردند. اطلاعات حساس کاربران مانند نام، ایمیل و شماره تماس نیز به خطر افتاد. این حمله به دلیل ضعف در مدیریت رمزهای عبور کاربران و نبود محدودیتهای قوی برای تلاشهای ناموفق ورود موفق شد.
حمله به Zoom در دوران اوج استفاده
در آوریل ۲۰۲۰ و همزمان با افزایش استفاده از Zoom برای جلسات آنلاین، مهاجمان با استفاده از Credential Stuffing به حسابهای کاربران نفوذ کردند. این حملات منجر به اتفاقاتی مانند Zoom-Bombing و انتشار اطلاعات شخصی کاربران شد. فروش اطلاعات کاربری در دارک وب یکی از پیامدهای این حمله بود. دلیل اصلی موفقیت این حمله استفاده کاربران از رمزهای عبور مشابه در پلتفرمهای مختلف و نبود احراز هویت چندعاملی قوی بود.
جمعبندی…
حملات Credential Stuffing به دلیل استفاده گسترده کاربران از رمزهای عبور تکراری و ضعیف، یکی از تهدیدهای جدی در فضای سایبری به شمار میروند. نمونههای واقعی این حملات، از جمله نفوذ به سرویسهایی مانند Disney+، Dunkin’ Donuts و Zoom، نشان میدهند که عدم توجه به اصول امنیتی مانند استفاده از رمزهای عبور قوی، مدیریت مناسب حسابهای کاربری و پیادهسازی احراز هویت چندعاملی (MFA) میتواند به نقض حریم خصوصی و خسارات مالی منجر شود.
موارد اخیر
-
فناوری سایه یا Shadow IT چیست و چقدر مخرب است؟
-
RTP چیست و با RTCP چه تفاوتی دارد؟
-
SIP چیست و چه کاربردی دارد؟ برسی پروتکل SIP و اجزای آن
-
سرویس VoIP چیست و چه کاربرد ها و مزایایی دارد؟
-
شبکه ISDN یا Integrated Services Digital Network چیست و چه کاربردی دارد؟ مقایسه با PSTN
-
شبکه PSTN چیست و چه تفاوتی با VoIP دارد؟
-
CASB چیست؟ چگونه Cloud Access Security Broker از امنیت ابری دفاع می کند؟
-
چارچوب MITRE ATT&CK چیست و چگونه باعث تقویت امنیت سایبری می شود؟
-
DEP چیست؟ برسی قابلیت امنیتی Data Execution Prevention
-
ASLR چیست و چگونه در حافظه رایانه شما تغییر ایجاد می کند؟
برترین ها
-
CASB چیست؟ چگونه Cloud Access Security Broker از امنیت ابری دفاع می کند؟
-
چارچوب MITRE ATT&CK چیست و چگونه باعث تقویت امنیت سایبری می شود؟
-
DEP چیست؟ برسی قابلیت امنیتی Data Execution Prevention
-
ASLR چیست و چگونه در حافظه رایانه شما تغییر ایجاد می کند؟
-
RCE چیست؟ برسی حملات اجرای کد از راه دور (Remote Code Execution)
اشتراک گذاری این مطلب
دیدگاهتان را بنویسید
نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند *
