Что такое атака спуффинг учетных данных👨⚕️ — Information Security Squad
Что такое атака спуффинг учетных данных👨⚕️

Посмотрите вокруг, и вы найдете множество историй о киберпреступниках, наводнившей мир Интернета.

Злоумышленники находят новые способы кражи личных данных клиентов у предприятий и используют их для своих собственных финансовых выгод.

Последствия еще хуже для компаний, чей бизнес основан исключительно на Интернете.

В отчете Akamai о состоянии Интернета говорится, что в мае и июне этого года было выявлено более 8,3 миллиарда попыток злоумышленного входа в систему.

Это не что иное, как атаку с использованием учетных данных.

Давайте узнаем больше об этом.

При создании пароля для вашей кредитной карты онлайн или учетной записи интернет-банкинга вас часто просят создать надежный пароль, состоящий из заглавной буквы, специального символа, числа и т. д.

Придумываете ли вы что-то сложное, например, aXZvXjkdA(0LJCjiN? Ответ вполне может быть «нет».)

Обычно мы пытаемся придумать что-то, что мы можем легко запомнить.

Например, BostonKatherine@3, который, хотя и удовлетворяет всем предварительным условиям создания пароля, такого как заглавная буква, число и специальный символ, — все еще не тот пароль, который трудно взломать в наши дни.

Хуже, когда вы используете в своих паролях свои даты рождения, имена любимых фильмов, имена любимых баскетболистов, имена супругов или даже имя вашего малыша.

Если этого было недостаточно, мы склонны использовать одни и те же пароли для нескольких сайтов.

Теперь, если даже один из сайтов, на которые вы входите, взломан злоумышленниками, ваши учетные данные будут доступны и готовы к использованию.

Затем злоумышленники могут принять ваши учетные данные и передать их в автоматизированный инструмент взлома.

Этот инструмент может затем запустить эти учетные записи на целевом сайте, чтобы увидеть, какие учетные данные будут работать.

Подумайте, что они могут сделать, если они могут получить доступ к розничному сайту или, что еще хуже, к вашему банковскому сайту?

Они украдут конфиденциальную информацию или, что еще хуже, переведут деньги на другие созданные ими счета.

Вся эта деятельность по мошенническому получению доступа к чужой учетной записи называется Credential Stuffing.

С помощью атаки с использованием учетных данных злоумышленник может использовать автоматические скрипты и ботов для проверки каждого логина на целевом веб-сайте.

Они используют взломанные учетные данные для того, чтобы обманным путем получить доступ к онлайн-счетам, и может рассматриваться как подмножество атак брутфорса.

Цели спуффинга

Помимо обычных интернет-пользователей, атаки Credential Stuffing направлены на организации в различных отраслях, таких как банковское дело, финансовые услуги, правительство, здравоохранение, образование и многие другие.

Последствия атаки

Жертвы атак компрометации учетных данных  подвергаются финансовым, а также другим материальным потерям.

Вот некоторые из них:

Потеря репутации

Почти все компании хранят некоторое количество личной информации о сотрудниках или клиентах, и эти компании юридически обязаны защищать эту информацию.

В случае нарушения защиты информации, компания может столкнуться с потерей репутации на рынке.

Нормативные штрафы

Утечка данных клиента или деловой информации часто может повлечь за собой штрафы со стороны регулирующих органов.

Правительства и регулирующие органы могут взимать штрафы в зависимости от серьезности нарушения.

Эти финансовые трудности могут привести к разорению предприятий любого масштаба.

Эксплуатационные расходы

Компании обязаны нести эксплуатационные расходы из-за расследований, исправлений и управления клиентами, возникающих в результате атак с использованием учетных данных.

Стоимость может варьироваться до миллионов, в зависимости от масштаба атаки.

Потеря клиентов

Потеря клиентов — это потеря дохода, и большинство компаний могут потерять клиентов, если они не смогут защитить свои конфиденциальные бизнес-данные.

Как предотвратить атаку с использованием учетных данных

Принятие некоторых основных мер предосторожности — лучший способ защиты от атак с использованием учетных данных.

Вот что вы можете сделать:

Лучшие практики парольной политики.

Используйте лучшие методы управления паролями.

Установите надежные и незнакомые пароли и меняйте их постоянно.

Кроме того, не используйте один и тот же пароль для нескольких входов.

Используйте VPN

Поскольку удаленный доступ становится способом ведения бизнеса, необходимо использовать VPN.

Программное обеспечение VPN обеспечивает безопасное сетевое соединение даже в незащищенных сетях, поэтому сотрудники могут безопасно использовать свои учетные данные для доступа к сети компании из любой точки мира.

Двухфакторная аутентификация

Логины, которые используют двухфакторную аутентификацию, обеспечивают отличную защиту, поскольку второй код доступа не хранится в базе данных и, следовательно, не может быть перехвачен.

При двухфакторной аутентификации пароль отправляется на телефон или электронную почту и действует только в течение 60 секунд.

Это существенно понижает атаку с использованием учетных данных до распределенных угроз отказа в обслуживании, и, следовательно, они не могут проникнуть в защиту этой сети.

Брандмауэры.

Брандмауэры выявляют вредоносный трафик и блокируют IP-адрес источника, закрывая атаку от источника.

 

1 комментария на “Что такое атака спуффинг учетных данных👨⚕️

  1. Уведомление: Как создать надежный пароль? Как защитить свой супер-безопасный пароль от хакеров? — Information Security Squad

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40