Cách bảo vệ tài khoản trực tuyến của bạn khỏi các cuộc tấn công nhồi thông tin xác thực

Với rất nhiều trang web và ứng dụng yêu cầu thông tin đăng nhập người dùng duy nhất, nghĩa là tên người dùng và mật khẩu, việc sử dụng cùng thông tin đăng nhập trên tất cả các nền tảng này có thể khiến bạn bị cám dỗ.

Trên thực tế, theo Báo cáo tiếp xúc danh tính hàng năm năm 2022 của SpyCloud, đã phân tích hơn 15 tỷ thông tin đăng nhập bị xâm phạm có sẵn trên các trang web tội phạm ngầm, người ta thấy rằng 65% mật khẩu bị vi phạm đã được sử dụng cho ít nhất hai tài khoản.

Đối với người dùng sử dụng lại thông tin đăng nhập trên các nền tảng khác nhau, đây có vẻ là một cách khéo léo để tránh quên mật khẩu, nhưng trên thực tế, đó là một thảm họa đang chực chờ xảy ra.

Trong trường hợp một trong các hệ thống bị xâm phạm và thông tin đăng nhập của bạn bị thu thập, thì tất cả các tài khoản khác sử dụng thông tin đăng nhập tương tự đều có nguy cơ bị xâm phạm. Lưu ý rằng thông tin xác thực bị xâm phạm được bán với giá rẻ trên web tối, bạn có thể dễ dàng trở thành nạn nhân của việc nhồi nhét thông tin xác thực.

Nhồi thông tin xác thực là một cuộc tấn công mạng trong đó các tác nhân độc hại sử dụng thông tin đăng nhập bị đánh cắp cho một tài khoản hoặc hệ thống trực tuyến để cố truy cập vào các tài khoản hoặc hệ thống trực tuyến không liên quan khác.

Một ví dụ về điều này là một tác nhân độc hại có được quyền truy cập vào tên người dùng và mật khẩu cho tài khoản Twitter của bạn và sử dụng các thông tin đăng nhập bị xâm phạm đó để cố truy cập vào tài khoản Paypal.

Trong trường hợp bạn đang sử dụng cùng thông tin đăng nhập trên Twitter và Paypal, tài khoản Paypal của bạn sẽ bị chiếm dụng do vi phạm thông tin đăng nhập Twitter của bạn.

Trong trường hợp bạn đang sử dụng thông tin đăng nhập Twitter của mình trên nhiều tài khoản trực tuyến, những tài khoản trực tuyến đó cũng có thể bị xâm phạm. Một cuộc tấn công như vậy được gọi là nhồi thông tin xác thực và nó khai thác thực tế là nhiều người dùng sử dụng lại thông tin đăng nhập trên nhiều tài khoản trực tuyến.

Các tác nhân độc hại tiến hành các cuộc tấn công nhồi thông tin xác thực thường sử dụng bot để tự động hóa và mở rộng quy trình. Điều này cho phép họ sử dụng một số lượng lớn thông tin đăng nhập bị xâm phạm và nhắm mục tiêu vào nhiều nền tảng trực tuyến. Với thông tin đăng nhập bị xâm phạm bị rò rỉ do vi phạm dữ liệu và cũng được bán trên web tối, các cuộc tấn công nhồi thông tin đăng nhập đã trở nên phổ biến.

Cách hoạt động của công cụ nhồi thông tin xác thực

Một cuộc tấn công nhồi thông tin xác thực bắt đầu bằng việc thu thập thông tin đăng nhập bị xâm phạm. Những tên người dùng và mật khẩu này có thể được mua trên web tối, được truy cập từ các trang kết xuất mật khẩu hoặc có được từ các vụ rò rỉ dữ liệu và tấn công lừa đảo.

Bước tiếp theo liên quan đến việc thiết lập bot để kiểm tra thông tin đăng nhập bị đánh cắp trên các trang web khác nhau. Các bot tự động là công cụ cần thiết trong các cuộc tấn công nhồi thông tin xác thực, vì các bot có thể lén lút thực hiện việc nhồi thông tin xác thực bằng cách sử dụng một số lượng lớn thông tin xác thực đối với nhiều trang web ở tốc độ cao.

Thách thức địa chỉ IP bị chặn sau nhiều lần đăng nhập không thành công cũng có thể tránh được bằng cách sử dụng bot.

Khi một cuộc tấn công nhồi thông tin xác thực được khởi chạy, các quy trình tự động để theo dõi các lần đăng nhập thành công cũng được khởi chạy song song với cuộc tấn công nhồi thông tin xác thực. Bằng cách này, kẻ tấn công dễ dàng có được thông tin xác thực hoạt động trên một số trang web trực tuyến nhất định và sử dụng chúng để chiếm đoạt tài khoản trên nền tảng.

Khi những kẻ tấn công đã có quyền truy cập vào một tài khoản, chúng có thể làm gì với tài khoản đó tùy theo quyết định của chúng. Kẻ tấn công có thể bán thông tin đăng nhập cho những kẻ tấn công khác, đánh cắp thông tin nhạy cảm từ tài khoản, xác nhận danh tính hoặc sử dụng tài khoản để mua hàng trực tuyến trong trường hợp tài khoản ngân hàng bị xâm phạm.

Tại sao các cuộc tấn công nhồi nhét thông tin xác thực lại hiệu quả

Credential Stuffing là một cuộc tấn công mạng với tỷ lệ thành công rất thấp. Trên thực tế, theo Báo cáo kinh tế về các cuộc tấn công nhồi thông tin xác thực của Tập đoàn Insikt, bộ phận nghiên cứu mối đe dọa của Recorded Future, tỷ lệ thành công trung bình của các cuộc tấn công nhồi thông tin xác thực là từ một đến ba phần trăm.

Dù tỷ lệ thành công của nó thấp, Akamai Technologies, trong báo cáo Tình trạng Internet / Bảo mật năm 2021, đã lưu ý rằng vào năm 2020, Akamai đã chứng kiến ​​193 tỷ cuộc tấn công nhồi thông tin xác thực trên toàn cầu.

Lý do cho số lượng lớn các cuộc tấn công nhồi nhét thông tin xác thực và lý do tại sao chúng trở nên phổ biến hơn là do số lượng thông tin xác thực bị xâm phạm có sẵn và quyền truy cập vào các công cụ bot nâng cao giúp cho các cuộc tấn công nhồi nhét thông tin xác thực hiệu quả hơn và hầu như không thể phân biệt được với các nỗ lực đăng nhập của con người.

Chẳng hạn, ngay cả với tỷ lệ thành công thấp chỉ là một phần trăm, nếu kẻ tấn công có 1 triệu thông tin xác thực bị xâm phạm, thì chúng có thể xâm phạm khoảng 10.000 tài khoản. Một lượng lớn thông tin xác thực bị xâm phạm được giao dịch trên web đen và khối lượng lớn thông tin đăng nhập bị xâm phạm như vậy có thể được sử dụng lại trên nhiều nền tảng.

Khối lượng lớn thông tin xác thực bị xâm phạm này dẫn đến sự gia tăng số lượng tài khoản bị xâm phạm. Điều này, cùng với thực tế là mọi người tiếp tục sử dụng lại thông tin xác thực của họ trên nhiều tài khoản trực tuyến, các cuộc tấn công nhồi thông tin xác thực trở nên rất hiệu quả.

Credential Stuffing Vs. Tấn công vũ phu

Mặc dù các cuộc tấn công bằng vũ lực và nhồi thông tin xác thực đều là các cuộc tấn công chiếm đoạt tài khoản và Dự án bảo mật ứng dụng web mở (OWASP) coi việc nhồi thông tin xác thực là một tập hợp con của các cuộc tấn công bằng vũ lực, cả hai khác nhau về cách chúng được thực thi.

Trong một cuộc tấn công brute-force, một kẻ xấu cố gắng chiếm đoạt một tài khoản bằng cách đoán tên người dùng hoặc mật khẩu hoặc cả hai. Điều này thường được thực hiện bằng cách thử nhiều cách kết hợp tên người dùng và mật khẩu nhất có thể mà không có ngữ cảnh hoặc manh mối về chúng có thể là gì.

Một cuộc tấn công vũ phu có thể sử dụng các mẫu mật khẩu thường được sử dụng hoặc một từ điển các cụm mật khẩu thường được sử dụng như Qwerty, mật khẩu hoặc 12345. Một cuộc tấn công vũ phu có thể thành công nếu người dùng sử dụng mật khẩu yếu hoặc mật khẩu mặc định của hệ thống.

Mặt khác, một cuộc tấn công nhồi thông tin xác thực cố gắng chiếm đoạt tài khoản bằng cách sử dụng thông tin đăng nhập bị xâm phạm lấy từ các hệ thống hoặc tài khoản trực tuyến khác. Trong một cuộc tấn công nhồi thông tin xác thực, cuộc tấn công không đoán được thông tin xác thực. Thành công của một cuộc tấn công nhồi nhét thông tin xác thực phụ thuộc vào việc người dùng sử dụng lại thông tin xác thực của họ trên nhiều tài khoản trực tuyến.

Thông thường, tỷ lệ thành công của các cuộc tấn công vũ phu thấp hơn nhiều so với nhồi thông tin xác thực. Các cuộc tấn công vũ phu có thể được ngăn chặn bằng cách sử dụng mật khẩu mạnh. Tuy nhiên, việc sử dụng mật khẩu mạnh không thể ngăn chặn việc nhồi thông tin xác thực trong trường hợp mật khẩu mạnh được chia sẻ trên nhiều tài khoản. Việc nhồi nhét thông tin xác thực được ngăn chặn bằng cách sử dụng thông tin xác thực duy nhất trên các tài khoản trực tuyến.

Cách phát hiện các cuộc tấn công nhồi nhét thông tin xác thực

Những kẻ đe dọa nhồi nhét thông tin xác thực thường sử dụng các bot bắt chước các tác nhân của con người và thường rất khó để phân biệt một nỗ lực đăng nhập từ người thật và một từ bot. Tuy nhiên, vẫn có những dấu hiệu có thể báo hiệu một cuộc tấn công thông tin xác thực đang diễn ra.

Chẳng hạn, lưu lượng truy cập web tăng đột ngột sẽ gây nghi ngờ. Trong trường hợp như vậy, hãy theo dõi các lần đăng nhập vào trang web và trong trường hợp có sự gia tăng số lần đăng nhập trên nhiều tài khoản từ nhiều địa chỉ IP hoặc tỷ lệ đăng nhập thất bại tăng lên, điều này có thể cho thấy một cuộc tấn công nhồi thông tin xác thực đang diễn ra.

Một dấu hiệu khác của cuộc tấn công nhồi nhét thông tin xác thực là người dùng phàn nàn về việc bị khóa tài khoản hoặc nhận được thông báo về các lần đăng nhập không thành công mà họ không thực hiện.

Ngoài ra, hãy theo dõi hoạt động của người dùng và trong trường hợp bạn nhận thấy hoạt động bất thường của người dùng, chẳng hạn như thay đổi cài đặt, thông tin hồ sơ, chuyển tiền và mua hàng trực tuyến, điều này có thể báo hiệu một cuộc tấn công nhồi thông tin xác thực.

Làm thế nào để bảo vệ chống nhồi thông tin xác thực

Có một số biện pháp có thể được thực hiện để tránh trở thành nạn nhân của các cuộc tấn công nhồi thông tin xác thực. Điêu nay bao gôm:

#1. Tránh sử dụng lại cùng một thông tin đăng nhập trên nhiều tài khoản

Việc nhồi thông tin xác thực phụ thuộc vào việc người dùng chia sẻ thông tin đăng nhập trên nhiều tài khoản trực tuyến. Điều này có thể dễ dàng tránh được bằng cách sử dụng thông tin đăng nhập duy nhất trên các tài khoản trực tuyến khác nhau.

Với các trình quản lý mật khẩu như Google Password Manager, người dùng vẫn có thể sử dụng những mật khẩu độc đáo và rất riêng mà không lo quên thông tin đăng nhập. Các công ty cũng có thể thực thi điều này bằng cách ngăn chặn việc sử dụng email làm tên người dùng. Bằng cách này, người dùng có nhiều khả năng sử dụng thông tin đăng nhập duy nhất trên các nền tảng khác nhau.

#2. Sử dụng Xác thực đa yếu tố (MFA)

Xác thực đa yếu tố là việc sử dụng nhiều phương thức để xác thực danh tính của người dùng đang cố gắng đăng nhập. Điều này có thể được thực hiện bằng cách kết hợp các phương thức xác thực truyền thống của tên người dùng và mật khẩu, cùng với mã bảo mật bí mật được chia sẻ với người dùng qua email hoặc tin nhắn văn bản để xác nhận thêm danh tính của họ. Điều này rất hiệu quả trong việc ngăn chặn việc nhồi nhét thông tin xác thực vì nó bổ sung thêm một lớp bảo mật.

Nó thậm chí có thể cho bạn biết khi ai đó cố gắng xâm phạm tài khoản của bạn, vì bạn sẽ nhận được mã bảo mật mà không cần đưa ra yêu cầu. MFA hiệu quả đến mức một nghiên cứu của Microsoft đã xác định rằng các tài khoản trực tuyến ít có khả năng bị xâm phạm hơn 99,9% nếu họ sử dụng MFA.

#3. Dấu vân tay thiết bị

Dấu vân tay của thiết bị có thể được sử dụng để liên kết quyền truy cập vào tài khoản trực tuyến với một thiết bị cụ thể. Dấu vân tay của thiết bị xác định thiết bị đang được sử dụng để truy cập tài khoản bằng cách sử dụng thông tin như kiểu và số thiết bị, hệ điều hành đang được sử dụng, ngôn ngữ và quốc gia, cùng những thông tin khác.

Điều này tạo ra một dấu vân tay thiết bị duy nhất, sau đó được liên kết với tài khoản người dùng. Không được phép truy cập vào tài khoản bằng một thiết bị khác nếu không có sự cho phép của thiết bị được liên kết với tài khoản.

#4. Theo dõi mật khẩu bị rò rỉ

Khi người dùng đang cố gắng tạo tên người dùng và mật khẩu cho một nền tảng trực tuyến thay vì chỉ kiểm tra độ mạnh của mật khẩu, thông tin đăng nhập có thể được kiểm tra ngược lại đối với mật khẩu bị rò rỉ đã công bố. Điều này giúp ngăn chặn việc sử dụng thông tin đăng nhập mà sau này có thể bị khai thác.

Các tổ chức có thể triển khai các giải pháp giám sát thông tin đăng nhập của người dùng so với thông tin đăng nhập bị rò rỉ trên web đen và thông báo cho người dùng bất cứ khi nào tìm thấy thông tin phù hợp. Sau đó, người dùng có thể được yêu cầu xác minh danh tính của họ thông qua nhiều phương pháp khác nhau, thay đổi thông tin đăng nhập và cũng triển khai MFA để bảo vệ tài khoản của họ hơn nữa

#5. Băm xác thực

Điều này liên quan đến việc xáo trộn thông tin đăng nhập của người dùng trước khi chúng được lưu trữ trong cơ sở dữ liệu. Điều này giúp bảo vệ chống lại việc sử dụng sai thông tin đăng nhập trong trường hợp hệ thống bị rò rỉ dữ liệu, vì thông tin đăng nhập sẽ được lưu trữ ở định dạng không thể sử dụng được.

Mặc dù đây không phải là một phương pháp hoàn hảo, nhưng nó có thể cho người dùng thời gian để thay đổi mật khẩu trong trường hợp dữ liệu bị rò rỉ.

Ví dụ về các cuộc tấn công nhồi thông tin xác thực

Một số ví dụ đáng chú ý về các cuộc tấn công nhồi thông tin xác thực bao gồm:

• Vụ đánh cắp hơn 500.000 thông tin đăng nhập Zoom vào năm 2020. Cuộc tấn công nhồi thông tin xác thực này được thực hiện bằng cách sử dụng tên người dùng và mật khẩu lấy được từ nhiều diễn đàn dark web khác nhau, với thông tin đăng nhập lấy được từ các cuộc tấn công từ năm 2013. Thông tin đăng nhập thu phóng bị đánh cắp đã được cung cấp trên dark web web và bán rẻ cho người thiện chí mua
• Thỏa hiệp trên hàng ngàn tài khoản người dùng của Cơ quan doanh thu Canada (CRA). Vào năm 2020, khoảng 5500 tài khoản CRA đã bị xâm phạm trong hai cuộc tấn công thông tin xác thực riêng biệt, dẫn đến việc người dùng không thể truy cập các dịch vụ do CRA cung cấp.
• Thỏa hiệp 194.095 tài khoản người dùng The North Face. The North Face là một công ty bán quần áo thể thao và đã bị tấn công nhồi thông tin xác thực vào tháng 7 năm 2022. Cuộc tấn công dẫn đến rò rỉ tên đầy đủ, số điện thoại, giới tính, điểm khách hàng thân thiết, địa chỉ thanh toán và giao hàng, ngày tạo tài khoản, và lịch sử mua hàng.
• Cuộc tấn công nhồi nhét thông tin xác thực Reddit vào năm 2019. Một số người dùng Reddit đã bị khóa tài khoản sau khi thông tin đăng nhập của họ bị xâm phạm thông qua các cuộc tấn công nhồi nhét thông tin xác thực.

Những cuộc tấn công này làm nổi bật tầm quan trọng của sự cần thiết phải tự bảo vệ mình trước các cuộc tấn công tương tự.

Phần kết luận

Bạn có thể đã bắt gặp những người bán thông tin xác thực cho các trang web phát trực tuyến như Netflix, Hulu và disney+ hoặc các dịch vụ trực tuyến như Grammarly, Zoom và Turnitin, cùng những trang khác. Bạn nghĩ người bán lấy thông tin đăng nhập ở đâu?

Chà, những thông tin đăng nhập như vậy có khả năng nhận được thông qua các cuộc tấn công nhồi thông tin xác thực. Nếu bạn sử dụng cùng thông tin đăng nhập trên nhiều tài khoản trực tuyến, thì đã đến lúc bạn thay đổi chúng trước khi trở thành nạn nhân.

Để tự bảo vệ mình hơn nữa, hãy triển khai xác thực đa yếu tố trên tất cả các tài khoản trực tuyến của bạn và tránh mua thông tin xác thực bị xâm phạm, vì điều này tạo ra môi trường thuận lợi cho các cuộc tấn công nhồi thông tin xác thực.