Với rất nhiều trang web và ứng dụng yêu cầu thông tin xác thực người dùng duy nhất, tức là tên người dùng và mật khẩu, bạn có thể muốn sử dụng cùng thông tin xác thực trên tất cả các nền tảng này.
Trên thực tế, theo Báo cáo phơi nhiễm danh tính thường niên năm 2022 của SpyCloud, đã phân tích hơn 15 tỷ thông tin đăng nhập bị tấn công có sẵn trên các trang web tội phạm ngầm, người ta phát hiện ra rằng 65% mật khẩu bị lộ đã được sử dụng cho hai tài khoản trở lên.
Đối với những người dùng sử dụng lại thông tin đăng nhập của họ trên các nền tảng, đây có vẻ là một cách tuyệt vời để tránh quên mật khẩu, nhưng thực tế đây là một thảm họa có thể xảy ra.
Nếu một trong các hệ thống bị xâm phạm và thông tin xác thực bị chặn thì tất cả các tài khoản khác sử dụng cùng thông tin xác thực đều gặp rủi ro. Vì thông tin xác thực bị hack được bán với giá rẻ trên web đen, bạn có thể dễ dàng trở thành nạn nhân của việc nhồi nhét thông tin xác thực.
Nhồi nhét thông tin xác thực là một cuộc tấn công mạng trong đó các tác nhân độc hại sử dụng thông tin đăng nhập hệ thống hoặc tài khoản trực tuyến bị đánh cắp để có quyền truy cập vào các tài khoản hoặc hệ thống trực tuyến không liên quan khác.
Một ví dụ về điều này là một kẻ độc hại truy cập tên người dùng và mật khẩu tài khoản Twitter của bạn và sử dụng các thông tin đăng nhập bị xâm phạm này để cố gắng truy cập vào tài khoản Paypal của bạn.
Trong trường hợp bạn sử dụng cùng thông tin đăng nhập Twitter và Paypal, tài khoản PayPal của bạn sẽ bị xâm phạm do vi phạm thông tin đăng nhập Twitter của bạn.
Nếu bạn sử dụng thông tin đăng nhập Twitter của mình trên nhiều tài khoản trực tuyến thì những tài khoản trực tuyến đó cũng có thể bị xâm phạm. Cuộc tấn công này được gọi là nhồi thông tin xác thực và lợi dụng thực tế là nhiều người dùng sử dụng lại thông tin xác thực trên nhiều tài khoản trực tuyến.
Những kẻ độc hại thực hiện các cuộc tấn công nhồi thông tin xác thực thường sử dụng bot để tự động hóa và mở rộng quy trình này. Điều này cho phép chúng sử dụng một số lượng lớn thông tin đăng nhập bị tấn công và tấn công nhiều nền tảng trực tuyến. Với việc rò rỉ thông tin xác thực bị xâm phạm do vi phạm dữ liệu, cũng như việc bán hàng trên web đen, các cuộc tấn công nhồi thông tin xác thực đã trở nên phổ biến.
Cách nhồi thông tin xác thực hoạt động
Một cuộc tấn công nhồi thông tin xác thực bắt đầu bằng việc trích xuất thông tin xác thực bị tấn công. Những tên người dùng và mật khẩu này có thể được mua trên web đen, được truy cập từ các trang web chứa mật khẩu hoặc có được từ các vụ vi phạm dữ liệu và tấn công lừa đảo.
Bước tiếp theo là thiết lập bot để kiểm tra thông tin đăng nhập bị đánh cắp trên các trang web khác nhau. Bot tự động là công cụ chính trong các cuộc tấn công nhồi thông tin xác thực vì bot có thể bí mật nhồi thông tin xác thực với số lượng lớn thông tin xác thực trên nhiều trang web ở tốc độ cao.
Bạn cũng có thể tránh được thách thức chặn địa chỉ IP sau nhiều lần đăng nhập thất bại bằng cách sử dụng bot.
Khi một cuộc tấn công nhồi thông tin xác thực được thực hiện, các quy trình tự động để giám sát các lần đăng nhập thành công cũng được chạy song song với cuộc tấn công nhồi dữ liệu. Bằng cách này, kẻ tấn công dễ dàng lấy được thông tin xác thực hoạt động trên các trang web cụ thể và sử dụng chúng để chiếm đoạt tài khoản trên nền tảng.
Sau khi kẻ tấn công có được quyền truy cập vào tài khoản, những gì chúng có thể làm với tài khoản đó là tùy theo quyết định của chúng. Những kẻ tấn công có thể bán thông tin xác thực của bạn cho những kẻ tấn công khác, đánh cắp thông tin nhạy cảm từ tài khoản của bạn, tiết lộ danh tính của bạn hoặc sử dụng tài khoản của bạn để mua sắm trực tuyến nếu tài khoản ngân hàng của bạn bị xâm phạm.
Tại sao các cuộc tấn công nhồi thông tin xác thực lại hoạt động
Credential Stuffing là một cuộc tấn công mạng có tỷ lệ thành công rất thấp. Trên thực tế, theo báo cáo Nền kinh tế của các cuộc tấn công nhồi thông tin xác thực của Insikt Group, bộ phận nghiên cứu mối đe dọa của Recorded Future, tỷ lệ thành công trung bình cho các cuộc tấn công nhồi thông tin xác thực là từ 1 đến 3%.
Mặc dù tỷ lệ thành công thấp nhưng Akamai Technologies đã lưu ý trong Báo cáo trạng thái Internet/Bảo mật năm 2021 rằng vào năm 2020, Akamai đã ghi nhận 193 tỷ cuộc tấn công nhồi thông tin xác thực trên toàn thế giới.
Lý do cho số lượng lớn các cuộc tấn công nhồi thông tin xác thực và mức độ phổ biến ngày càng tăng của chúng là số lượng thông tin xác thực bị xâm phạm sẵn có và khả năng truy cập vào các công cụ bot nâng cao khiến các cuộc tấn công nhồi thông tin xác thực trở nên hiệu quả hơn và gần như không thể phân biệt được với các nỗ lực đăng nhập của con người.
Ví dụ: ngay cả với tỷ lệ thành công thấp chỉ 1%, nếu kẻ tấn công có 1 một triệu thông tin đăng nhập bị hack, có thể chiếm khoảng 10.000 tài khoản. Một lượng lớn thông tin xác thực bị tấn công được giao dịch trên web đen và lượng lớn thông tin xác thực bị tấn công như vậy có thể được sử dụng lại trên nhiều nền tảng.
Lượng lớn thông tin xác thực bị xâm phạm này dẫn đến sự gia tăng số lượng tài khoản bị xâm phạm. Điều này, cùng với thực tế là mọi người tiếp tục sử dụng lại thông tin đăng nhập của họ trên nhiều tài khoản trực tuyến, các cuộc tấn công nhồi thông tin xác thực đang trở nên rất hiệu quả.
Nhồi thông tin xác thực so với Nhồi thông tin xác thực Tấn công bạo lực
Mặc dù việc nhồi thông tin xác thực và tấn công vũ phu là các cuộc tấn công chiếm đoạt tài khoản và Dự án bảo mật ứng dụng web mở (OWASP) coi việc nhồi nhét thông tin xác thực là một tập hợp con của các cuộc tấn công bạo lực, cả hai đều khác nhau về cách thực hiện.
Trong một cuộc tấn công vũ phu, một kẻ độc hại cố gắng chiếm đoạt tài khoản bằng cách đoán tên người dùng hoặc mật khẩu hoặc cả hai. Điều này thường được thực hiện bằng cách thử càng nhiều kết hợp tên người dùng và mật khẩu càng tốt mà không có bất kỳ ngữ cảnh hoặc ý tưởng nào về chúng có thể là gì.
Brute Force có thể sử dụng các mẫu mật khẩu thường dùng hoặc từ điển các cụm từ thường dùng như Qwerty, mật khẩu hoặc 12345. Một cuộc tấn công Brute Force có thể thành công nếu người dùng sử dụng mật khẩu yếu hoặc mật khẩu hệ thống mặc định.
Mặt khác, một cuộc tấn công nhồi thông tin xác thực cố gắng chiếm đoạt tài khoản bằng cách sử dụng thông tin xác thực bị xâm phạm thu được từ các hệ thống hoặc tài khoản trực tuyến khác. Trong một cuộc tấn công nhồi thông tin xác thực, cuộc tấn công không đoán được thông tin xác thực. Sự thành công của cuộc tấn công nhồi thông tin xác thực phụ thuộc vào việc người dùng sử dụng lại thông tin xác thực của họ trên nhiều tài khoản trực tuyến.
Thông thường, tỷ lệ thành công của cuộc tấn công vũ phu thấp hơn nhiều so với việc nhồi thông tin xác thực. Các cuộc tấn công bạo lực có thể được ngăn chặn bằng cách sử dụng mật khẩu mạnh. Tuy nhiên, việc sử dụng mật khẩu mạnh không thể ngăn chặn việc nhồi thông tin xác thực khi mật khẩu mạnh được chia sẻ trên nhiều tài khoản. Việc nhồi thông tin xác thực bị ngăn chặn bằng cách sử dụng thông tin xác thực duy nhất trong các tài khoản trực tuyến.
Cách phát hiện các cuộc tấn công nhồi thông tin xác thực
Các tác nhân nhồi thông tin xác thực thường sử dụng bot bắt chước tác nhân của con người và thường rất khó phân biệt nỗ lực đăng nhập với người thật và với bot. Tuy nhiên, vẫn có những dấu hiệu có thể báo hiệu một cuộc tấn công nhồi thông tin xác thực đang diễn ra.
Ví dụ: lưu lượng truy cập mạng tăng đột ngột sẽ làm dấy lên nghi ngờ. Trong trường hợp này, hãy theo dõi các nỗ lực đăng nhập vào trang web và nếu có sự gia tăng số lần đăng nhập vào nhiều tài khoản từ nhiều địa chỉ IP hoặc tăng tỷ lệ đăng nhập thất bại, điều này có thể cho thấy một cuộc tấn công nhồi thông tin xác thực đang diễn ra.
Một dấu hiệu khác của cuộc tấn công nhồi thông tin xác thực là người dùng phàn nàn về việc tài khoản của họ bị khóa hoặc nhận được thông báo về các lần đăng nhập thất bại không phải do họ thực hiện.
Ngoài ra, hãy theo dõi hoạt động của người dùng và nếu bạn nhận thấy hoạt động bất thường của người dùng như thay đổi cài đặt, thông tin hồ sơ, chuyển tiền và mua hàng trực tuyến, đó có thể là dấu hiệu của một cuộc tấn công nhồi thông tin xác thực.
Cách bảo vệ khỏi việc nhồi thông tin xác thực
Có một số biện pháp bạn có thể thực hiện để tránh trở thành nạn nhân của các cuộc tấn công nhồi thông tin xác thực. Điêu nay bao gôm:
# 1. Tránh sử dụng lại cùng một chi tiết đăng nhập cho nhiều tài khoản
Việc nhồi thông tin xác thực dựa vào thông tin xác thực chia sẻ của người dùng trên nhiều tài khoản trực tuyến. Điều này có thể dễ dàng tránh được bằng cách sử dụng thông tin xác thực duy nhất trên các tài khoản trực tuyến khác nhau.
Với trình quản lý mật khẩu như Trình quản lý mật khẩu của Google, người dùng có thể tiếp tục sử dụng mật khẩu duy nhất và có tính độc đáo cao mà không lo quên thông tin xác thực của mình. Các công ty cũng có thể thực thi điều này bằng cách ngăn chặn việc sử dụng email làm tên người dùng. Bằng cách này, người dùng có nhiều khả năng sử dụng thông tin xác thực duy nhất trên các nền tảng.
#2. Sử dụng xác thực đa yếu tố (MFA)
Xác thực đa yếu tố là việc sử dụng nhiều phương pháp để xác thực danh tính của người dùng đang cố đăng nhập. Điều này có thể được thực hiện bằng cách kết hợp các phương thức xác thực tên người dùng và mật khẩu truyền thống cùng với mã bảo mật bí mật được chia sẻ với người dùng qua email hoặc tin nhắn văn bản để xác nhận thêm danh tính của họ. Điều này rất hiệu quả trong việc ngăn chặn việc nhồi thông tin xác thực vì nó bổ sung thêm một lớp bảo mật.
Nó thậm chí có thể thông báo cho bạn khi ai đó cố gắng xâm nhập vào tài khoản của bạn vì bạn sẽ nhận được mã bảo mật mà không cần yêu cầu. Dịch vụ MFA hiệu quả đến mức một nghiên cứu của Microsoft cho thấy tài khoản trực tuyến có tới 99%9% ít bị tổn thương hơn nếu họ sử dụng MFA.
#3. Vân tay thiết bị
Dấu vân tay của thiết bị có thể được sử dụng để liên kết quyền truy cập vào tài khoản trực tuyến với một thiết bị cụ thể. Dấu vân tay của thiết bị xác định thiết bị được sử dụng để truy cập vào tài khoản của bạn dựa trên thông tin như kiểu và số thiết bị, hệ điều hành được sử dụng, ngôn ngữ và quốc gia, cùng nhiều thông tin khác.
Điều này tạo ra một dấu vân tay duy nhất của thiết bị, sau đó được liên kết với tài khoản của người dùng. Không được phép truy cập vào tài khoản bằng thiết bị khác nếu không có sự cho phép của thiết bị được liên kết với tài khoản.
#4. Giám sát rò rỉ mật khẩu
Khi người dùng cố gắng tạo tên người dùng và mật khẩu cho một nền tảng trực tuyến, thay vì chỉ kiểm tra độ mạnh của mật khẩu, thông tin đăng nhập có thể được kiểm tra dựa trên mật khẩu bị rò rỉ đã công bố. Điều này giúp ngăn chặn việc sử dụng thông tin xác thực có thể bị lạm dụng sau này.
Các tổ chức có thể triển khai các giải pháp giám sát thông tin xác thực của người dùng để phát hiện thông tin xác thực bị rò rỉ trên web đen và thông báo cho người dùng khi tìm thấy thông tin xác thực trùng khớp. Sau đó, người dùng có thể được yêu cầu xác minh danh tính của họ thông qua nhiều phương pháp khác nhau, thay đổi thông tin xác thực và triển khai MFA để bảo vệ tài khoản của họ hơn nữa
#5. Băm thông tin xác thực
Điều này bao gồm mã hóa thông tin xác thực của người dùng trước khi chúng được lưu trữ trong cơ sở dữ liệu. Điều này giúp bảo vệ khỏi việc sử dụng sai thông tin xác thực trong trường hợp có vi phạm dữ liệu trong hệ thống vì thông tin xác thực sẽ được lưu trữ ở định dạng không thể sử dụng được.
Mặc dù không phải là một phương pháp hoàn hảo nhưng nó có thể cho người dùng thời gian để thay đổi mật khẩu trong trường hợp dữ liệu bị vi phạm.
Ví dụ về các cuộc tấn công nhồi thông tin xác thực
Một số ví dụ đáng chú ý về các cuộc tấn công nhồi thông tin xác thực bao gồm:
- Trộm cắp hơn 500.000 thông tin xác thực Zoom vào năm 2020 Cuộc tấn công nhồi thông tin xác thực này được thực hiện bằng cách sử dụng tên người dùng và mật khẩu thu được từ nhiều diễn đàn web đen khác nhau, với thông tin xác thực thu được trong các cuộc tấn công từ năm 2013. Thông tin xác thực Zoom bị đánh cắp đã được chia sẻ trong bóng tối của mạng và bán rẻ cho người mua thiện chí
- Hack vào hàng nghìn tài khoản người dùng của Cơ quan Doanh thu Canada (CRA). Vào năm 2020, khoảng 5.500 tài khoản CRA đã bị xâm phạm trong hai cuộc tấn công thông tin xác thực riêng biệt khiến người dùng không thể truy cập các dịch vụ do CRA cung cấp.
- 194.095 Tài khoản người dùng The North Face bị hack. The North Face là một nhà bán lẻ đồ thể thao đã trở thành nạn nhân của một cuộc tấn công nhồi thông tin xác thực vào tháng 7 năm 2022. Cuộc tấn công đã làm rò rỉ tên đầy đủ, số điện thoại, giới tính, điểm khách hàng thân thiết, địa chỉ thanh toán và giao hàng, ngày tạo tài khoản và lịch sử mua hàng của người dùng.
- Cuộc tấn công nhồi thông tin xác thực Reddit năm 2019 Một số người dùng Reddit đã bị cấm tài khoản của họ sau khi thông tin xác thực của họ bị xâm phạm trong các cuộc tấn công nhồi thông tin xác thực.
Những cuộc tấn công này nhấn mạnh sự cần thiết phải bảo vệ chống lại các cuộc tấn công tương tự.
Ứng dụng
Bạn có thể đã gặp các nhà cung cấp thông tin xác thực cho các dịch vụ phát trực tuyến như Netflix, Hulu và Disney+ hoặc các dịch vụ trực tuyến như Grammarly, Zoom và Turnitin, cùng nhiều dịch vụ khác. Bạn nghĩ người bán lấy thông tin xác thực của họ từ đâu?
Chà, những thông tin xác thực như vậy có thể có được bằng các cuộc tấn công nhồi thông tin xác thực. Nếu bạn đang sử dụng cùng thông tin đăng nhập trên nhiều tài khoản trực tuyến, đã đến lúc thay đổi chúng trước khi bạn trở thành nạn nhân.
Để tăng cường bảo vệ, hãy triển khai xác thực đa yếu tố trên tất cả các tài khoản trực tuyến của bạn và tránh mua thông tin xác thực bị xâm phạm vì điều này tạo môi trường thuận lợi cho các cuộc tấn công nhồi thông tin xác thực.
