Подстановка учётных данных – кибератака, которую проще всего избежать

Что такое подстановка учетных данных (Credential stuffing)?

Существуют самые разные векторы кибератак: от очень простых до очень сложных. Самые простые – атаки социальной инженерии, когда злоумышленники используют навыки общения и доверчивость людей, чтобы получить доступ к учётным данным и другой конфиденциальной информации.

Более сложные кибератаки требуют от атакующего обойти несколько уровней безопасности, украсть данные и работать над их последующей обработкой. Обработка данных, особенно когда они представляют собой набор логинов или email-адресов и связанных с ними паролей, является первым шагом в запуске атаки с подстановкой учетных данных (Credential stuffing). Вот как работает атака и как она может повлиять лично на вас.

Допустим, у вас, как и у других пользователей интернета, есть десятки учетных записей в различных сервисах. У вас может быть несколько «важных» логинов с высокой ценностью, например, логин электронной почты, банка и т. д, а может быть много логинов с низкой ценностью, например, логин для форума автолюбителей, который вы иногда использовали в течение многих лет, или учетная запись, которую вы создали на сайте скидочных купонов.

Обычно системы банка или сервиса электронной почты имеют хорошую киберзащиту. Ценные данные защищены соответствующим образом, и вероятность того, что хакер взломает банк или электронную почту и получит доступ ко всем именам пользователей и паролям, довольно мала. Что нельзя сказать об автомобильном форуме или сайте купонов.

Что произойдет, если кто-то взломает подобные сайты и украдет все пользовательские данные?

Киберпреступники получат ваше имя пользователя, email-адрес и пароль. Затем злоумышленники внедрят украденные данные в автоматизированные системы, которые пытаются войти в систему на тысячах сервисах, чтобы понять, на каком сайте учетные данные подходят.

Повторно использовать одни и те же имена пользователей, адрес электронной почты и пароли на разных сайтах – очень плохая привычка. Утечка данных на каком-нибудь небольшом форуме может стать проходом во все ценные сервисы, которые вы используете – например, электронная почта и банк.

Если провести аналогию с реальным миром, то это выглядело бы как использование одного ключа для всех дверей. Если вы потеряли свой ключ или кто-то сделал его копию, у него будет ключ, который подойдет для вашего дома, машины, офиса, сейфа, шкафчика в спортзале и т.д. Очевидно, что это и есть причина, по которой мы не используем одинаковые ключи.

Как я могу защитить себя от подстановки учетных данных?

Подстановка учетных данных очень распространенная и простая в исполнении по сравнению с более сложными кибератаками, но, к счастью, от нее очень легко защититься. Давайте посмотрим, как вы можете избежать подобных атак.

Создавайте сложные и уникальные пароли

Это именно то, что вы будете слышать снова и снова в рекомендациях по кибербезопасности, и на это есть веские причины. Самое эффективное, что вы можете сделать, чтобы решить проблему «одного ключа от всех дверей» — это иметь большую связку ключей от каждой двери.

Если вы используете один и тот же пароль с тех пор, как открыли свою первую электронную почту 10 лет назад, сейчас самое подходящее время, чтобы выработать важную привычку использовать новый пароль. На каждом сайте и сервисе должен быть уникальный пароль, который не повторяется с другими.

Используйте менеджер паролей

Запомнить сложные и уникальные пароли для десятков или сотен сервисов — сложная задача без инструментов, которые могли бы вам помочь. Заведите менеджер паролей. Создайте один сложный, но запоминающийся пароль, чтобы разблокировать менеджер, а затем сгенерируйте в менеджере надёжные пароли.

Хороший менеджер паролей способен не только создать сложные пароли, но и автоматически вставлять их на сайтах и даже регулярно их обновлять. Кроме того, некоторые менеджеры могут отслеживать пароли на предмет утечки.

Включите многофакторную аутентификацию

Многие люди не используют многофакторную аутентификацию (Multi-factor Authentication, MFA), потому что не все готовы при каждом входе на сайт выполнять несколько действий. Несмотря на возможные неудобства, многофакторная аутентификация – это эффективный способ добавить дополнительный уровень безопасности ваших учетных данных.

Даже если вы используете одинаковые пароли, а в аккаунте включена многофакторная аутентификация, вы надёжно защищены от подстановки учетных данных. Злоумышленник может украсть ваше имя пользователя и пароль с уязвимого сайта, но у него не будет доступа к вашему приложению для многофакторной аутентификации, телефону или другим инструментам проверки подлинности.

Удаляйте неиспользуемые учетные записи

Если вы не используете учетную запись, удалите ее, чтобы снизить риск взлома. А если вы не можете этого сделать, войдите в систему и измените свой пароль (разумеется, используя менеджер паролей). Таким образом, когда неиспользуемый сервис будет скомпрометирован, единственное, что утечет, — это уникальный сложный пароль, который больше нигде не работает.

Используйте службу псевдонимов (алиасы) электронной почты

Вместо того, чтобы регистрировать свой основной адрес электронной почты на каждом сайте, псевдонимы позволяют вам создавать неограниченное количество email-адресов и держать настоящий адрес электронной почты в секрете, а также отправлять уникальные электронные письма.

Служба псевдонимов электронной почты не только защитит конфиденциальность, но и избавит вас от лишнего спама в почтовом ящике. Более того, если сайт, где вы зарегистрировали алиас, будет скомпрометирован, взломщики не увидят ваш реальный адрес. Вместо вашего email (который может содержать вашу имя, фамилию и год рождения), хакеры увидят «randomname@aliasprovider.com», который не предоставляет никакой ценности для подстановки учетных данных.

Как бы вы ни подходили к проблеме, не упускайте из виду первый и самый важный совет, которым мы поделились. Сложный и уникальный пароль для каждого сервиса — это самый простой и эффективный способ обезопасить себя от подстановки учетных данных. Чем раньше вы начнете использовать уникальные пароли, тем лучше.