Что такое набивка дипломов? Все, что вам нужно знать!

В этом кратком руководстве мы рассмотрим основы набивки учетных данных, атаки на набивку учетных данных и способы предотвращения атак на набивку учетных данных.

Поздравляем вас с тем, что вы оказались здесь: Вы собираетесь поднять свою онлайн-безопасность на совершенно новый уровень! Сегодня вы узнаете все, что нужно знать об атаках, связанных с вбросом учетных данных. Эта популярная кибератака означает, что злоумышленники используют учетные данные, полученные в результате утечки данных, для проникновения в другие учетные записи. Поскольку люди повторно используют пароли, эта атака очень эффективна, но в то же время от нее можно легко защититься!


Большинство из нас создавали учетные записи в Интернете и использовали один и тот же простой пароль или имя пользователя для нескольких, если не для всех из них. И, вероятно, вам уже говорили или предупреждали о необходимости создавать разные пароли для каждой учетной записи в Интернете, чтобы в них присутствовали заглавные и строчные буквы, цифры и даже символы. Это необходимо для того, чтобы не стать участником атаки на вброс учетных данных.

Что такое атака на вброс учетных данных?

Атака на вброс учетных данных происходит, когда злоумышленники крадут большое количество учетных данных с какого-либо сервиса (участвующего в утечке данных) и используют их для попыток взлома ваших учетных записей на других онлайн-платформах. В этом руководстве мы ответим на такие вопросы, как “что такое набивка учетных данных” и “что такое атака набивки учетных данных”, а также рассмотрим способы защиты от такой атаки.

Оглавление:

Набивка учетных данных - это тип кибератаки, при которой массово берутся учетные данные пользователей, такие как имена пользователей, пароли и адреса электронной почты , а затем используются для входа в другие сервисы с помощью автоматизированных инструментов. Но как хакеры проникают в ваши учетные данные? Злоумышленники пытаются получить списки паролей, адресов электронной почты и имен пользователей (учетных данных), полученных в результате утечки данных, и используют их для входа во множество других учетных записей - это одна из причин, по которой так важно использовать разные надежные пароли для каждой вашей учетной записи в Интернете. Если вы используете один и тот же слабый пароль, например [name1234], вы рискуете стать жертвой атаки с подбором пароля.

Согласно отчету Digital Shadows, в настоящее время в Интернете насчитывается более 15 миллиардов украденных учетных данных. Легкость и массовая доступность этих учетных данных, а также умные инструменты для вброса учетных данных, использующие ботов для обхода обычных средств защиты при входе в систему, сделали вброс учетных данных одной из самых распространенных техник, используемых для получения доступа к учетным записям пользователей.

Как происходит атака на вброс учетных данных

  1. Вредоносные злоумышленники получают пароли и имена пользователей в результате фишинговой атаки, взлома веб-сайта или сайта-”дампа” паролей.
  2. Эти украденные учетные данные проверяются на таких сайтах, как социальные сети или онлайн-банки, с помощью ботов и автоматизированных инструментов.
  3. Если учетные данные совпадают с данными другого сайта, злоумышленник успешно получает доступ к другой учетной записи пользователя.

Anatomy of a credential stuffing attack. Anatomy of a credential stuffing attack.

Атака с вбросом учетных данных происходит, когда злоумышленники получают доступ к учетным данным пользователей в результате утечки информации. Затем злоумышленники пытаются получить доступ к другим учетным записям пользователя с помощью украденных данных.

Недавние атаки на вброс учетных данных

- Norton LifeLock - в 2023 году менеджер паролей Norton Lifelock подвергся атаке, в результате которой злоумышленники использовали украденные учетные данные для получения доступа к учетным записям пользователей. Жертвами атаки стали более 925 000 человек.

- Zoom - В 2020 году злоумышленники пытались получить доступ к учетным записям пользователей Zoom, используя ранее утечку данных из прошлых утечек. Более 500 000 учетных записей Zoom были скомпрометированы в результате этой атаки и проданы в темной паутине.

- Nintendo - в 2020 году глобальная компания Nintendo, специализирующаяся на играх и развлечениях, подверглась атаке, в результате которой было взломано 160 000 учетных записей Nintendo.

За последние годы было много скандальных случаев утечки данных из различных транснациональных компаний, таких как LinkedIn в 2021 году, Yahoo в 2014 и 2017 годах (лучше подумать об удалении своей учетной записи Yahoo) и Facebook в 2019 году - поскольку Facebook знает о вас так много, это особенно плохо. Если вы хотите узнать, не произошла ли утечка ваших данных, вы можете проверить утечку персональных данных на сайте Cyber News или HaveIBeenPwned.

Но что может сделать злоумышленник, успешно взломав мой аккаунт?

Как только злоумышленник завладеет вашими учетными данными для входа в одну учетную запись, которые могут работать и в других ваших учетных записях, он может предпринять целый ряд действий.

- Забрать все накопленные ценности или кредиты или совершить покупки.

- Получить доступ к конфиденциальной информации: личным сообщениям, фотографиям, документам и даже номерам кредитных карт.

- Рассылать с вашего аккаунта спам и фишинговые сообщения.

- Забрать ваши учетные данные и продать или обменять их другим злоумышленникам.

Атаки с перебором учетных данных представляют собой серьезную киберугрозу, поскольку они открывают путь для множества других атак, с помощью которых злоумышленники могут причинить вам вред: кража личных данных, целевые фишинговые атаки или просто получение доступа к вашему аккаунту PayPal или Amazon и использование ваших платежных данных для себя.

Забивание учетных данных и атака грубой силой - в чем разница?

Согласно OWASP, набивка учетных данных - это подмножество атак грубой силы, хотя на самом деле атака набивки учетных данных сильно отличается от традиционной атаки грубой силы. Во время атаки методом грубой силы злоумышленники пытаются угадать пароль, не имея никакого предварительного контекста или подсказок. При атаке грубой силы используются смешанные символы и цифры или обычные предложения паролей, чтобы попытаться получить доступ к учетным записям. Это похоже, но не то же самое, что вброс учетных данных, в котором злоумышленники используют реальные данные, украденные в результате утечки информации.

Чтобы защититься от атак грубой силы, рекомендуется использовать надежные пароли, состоящие из символов верхнего и нижнего регистра, цифр и специальных символов. К сожалению, надежность пароля не играет роли в защите от атаки перебора - лучший способ предотвратить ее - использовать разные пароли для каждой учетной записи.

Как защититься от атаки на вброс учетных данных

Основная причина успешных атак на вброс учетных данных заключается в том, что пользователи используют одинаковые пароли для нескольких учетных записей - да, это ваш сигнал к обновлению паролей! К счастью, у нас есть руководство о том , как создавать и запоминать надежные пароли.

Одним из самых простых способов обновления уникальных и надежных паролей является использование менеджера паролей, в который также встроен генератор паролей, например KeePassXC. Таким образом, все ваши пароли будут храниться в безопасности, а для получения доступа ко всем своим учетным данным вам нужно будет просто запомнить вход в менеджер паролей. Использование менеджеров паролей имеет две стороны медали - как показала атака на Norton Lifelock Password Manager: Если в менеджере паролей произойдет утечка или утечка данных, все ваши пароли, хранящиеся в нем, могут стать жертвами атаки с использованием паролей. Поэтому очень важно использовать только те менеджеры паролей, которые используют шифрование для защиты ваших паролей и публикуют свой код с открытым исходным кодом, как Bitwarden или KeePass. Если вы выберете один из наших лучших менеджеров паролей, приведенных выше, вероятность того, что ваши пароли, хранящиеся в нем, пострадают от утечки данных, будет близка к нулю: Эти приложения защищают ваши пароли с помощью вашего собственного ключа шифрования; таким образом, только вы можете расшифровать свои пароли. Даже если произойдет утечка данных, злоумышленник не сможет перехватить ваши пароли.

В итоге, чтобы не стать жертвой атаки с подбором паролей, необходимо иметь разные, уникальные и надежные пароли для каждой учетной записи.

Не станьте жертвой очередного взлома данных Yahoo!

Если вы являетесь пользователем электронной почты Yahoo!, велика вероятность того, что вы уже сталкивались с утечкой данных. В 2013 году произошла масштабная утечка данных, в результате которой пострадали все 3 миллиарда учетных записей пользователей, а в 2014 году последовала еще одна утечка, в результате которой были скомпрометированы более 500 миллионов учетных записей пользователей Yahoo! Mail. Пришло время отказаться от Yahoo! и выбрать альтернативу, ориентированную на конфиденциальность, например Tuta Mail.

Если вы хотите удалить свой аккаунт Yahoo!, вот пошаговое руководство по удалению аккаунта Yahoo!, а если вы хотите перейти к поставщику услуг электронной почты, ориентированному на конфиденциальность и не участвовавшему в утечке данных, мы рекомендуем Tuta Mail. Узнайте, как сравниваются Tuta Mail и Yahoo! Mail, просмотрев наше руководство по сравнению Yahoo и Tuta Mail.

В современном онлайн-мире конфиденциальность становится все более сложной и недоступной для пользователей Интернета. Хотите создать новую учетную запись электронной почты в Gmail? Или купить рубашку в интернете? Ну, сначала вам придется предоставить им список приватной информации! Интернет не должен быть таким.

К сожалению, крупные технологические компании, такие как Microsoft, Google и Meta, настолько жаждут власти, денег и данных, что собирают вашу частную информацию, отслеживают вас через свои приложения и продают ваши данные рекламодателям для получения прибыли. Взамен вы получаете таргетированную рекламу и лишаетесь конфиденциальности, которой заслуживаете. Большую озабоченность вызывает тот факт, что для использования этих различных онлайн-сервисов вам всегда нужно сообщать свои личные данные, например номер мобильного телефона или адрес электронной почты. Поэтому, если один из этих сервисов окажется вовлеченным в утечку данных, то, скорее всего, ваша частная информация уже не будет такой уж частной!

Мы рекомендуем перейти на провайдера электронной почты, ориентированного на конфиденциальность, например Tuta Mail, который не запрашивает частную информацию при создании учетной записи. В Tuta Mail вы можете зарегистрироваться анонимно, это бесплатно, а весь ваш почтовый ящик зашифрован от конца до конца.

Tuta - это сервис электронной почты и календаря, созданный в Германии в соответствии со строгими законами ЕС GDPR. Но помимо этого, Tuta имеет полностью открытый исходный код и придерживается строгих протоколов конфиденциальности и безопасности. Tuta Mail является лидером в области конфиденциальности и безопасности электронной почты, если не самым безопасным поставщиком услуг электронной почты в мире.

Зарегистрируйтесвой бесплатный аккаунт в Tuta Mail сегодня, чтобы наслаждаться конфиденциальностью в Интернете, которую вы заслуживаете.