अपनी नवीनतम स्टेट ऑफ़ सिक्योर आइडेंटिटी रिपोर्ट में, पहचान समाधान प्रदाता, ओक्टा, दिखाता है कि चोरी किए गए क्रेडेंशियल्स के साथ लॉग इन करने का प्रयास - तथाकथित "क्रेडेंशियल स्टफिंग" - ग्राहक खातों के लिए सबसे बड़ा खतरा है।
रिपोर्ट में प्रस्तुत रुझानों, उदाहरणों और टिप्पणियों के लिए, ओक्टा ने अपने Auth0 प्लेटफॉर्म पर अरबों प्रमाणीकरणों का मूल्यांकन किया। क्रेडेंशियल स्टफिंग में, हमलावर कुछ उपयोगकर्ताओं की कई लॉगिन के लिए एक ही पासवर्ड का उपयोग करने की आदत का फायदा उठाते हैं। यह उपयोगकर्ता नाम और पासवर्ड चुराने से शुरू होता है, फिर अन्य वेबसाइटों पर उपयोगकर्ता के अन्य खातों तक पहुँचने के लिए स्वचालित उपकरणों का उपयोग करता है। जब कोई खाताधारक एक से अधिक वेबसाइटों के लिए समान या समान पासवर्ड का उपयोग करता है, तो डोमिनोज़ प्रभाव उत्पन्न होता है: क्रेडेंशियल्स की एक जोड़ी तब उस उपयोगकर्ता के लिए कई खातों या लॉगिन से जानकारी चुराने के लिए पर्याप्त होती है।
ओक्टा के निष्कर्षों के अनुसार, 90 के पहले 2022 दिनों में अपहृत क्रेडेंशियल्स का उपयोग करके दुनिया भर में लगभग 34 बिलियन लॉगिन प्रयास किए गए थे। यह सभी प्रमाणीकरण ट्रैफ़िक का XNUMX प्रतिशत है।
खुदरा सबसे कठिन हिट
क्रेडेंशियल स्टफिंग मुख्य रूप से दुनिया भर में निजी ऑनलाइन खरीदारी को प्रभावित करती है। हमलावर लक्षित कर रहे हैं, उदाहरण के लिए, वफादारी अंक, सीमित संस्करण या ग्राहक पहुंच की बिक्री। अधिकांश उद्योगों में 80 प्रतिशत से कम लॉगिन के लिए क्रेडेंशियल स्टफिंग खाते हैं। वहीं रिटेल और ई-कॉमर्स में यह दर 50 फीसदी है। दूसरी ओर, वित्तीय सेवाओं और मनोरंजन उद्योगों में, 50 प्रतिशत से अधिक लॉगिन क्रेडेंशियल स्टफिंग के कारण होते हैं। इसके विपरीत, पिछले वर्ष इसी अवधि में, किसी भी वर्टिकल मार्केट में XNUMX प्रतिशत से अधिक लॉगिन के लिए क्रेडेंशियल स्टफिंग का हिसाब था।
जर्मनी और ग्रेट ब्रिटेन में, क्रेडेंशियल स्टफिंग लगातार निम्न स्तर पर है, लेकिन हमलों की अलग-अलग लहरों से बाधित है। नीदरलैंड में, अधिकांश गतिविधि (70%) सामान्य लॉगिन प्रक्रियाओं से संबंधित है। सर्वेक्षण किए गए किसी भी देश में दुर्भावनापूर्ण ट्रैफ़िक की दर सबसे कम है। लॉगिन प्रक्रियाओं के केवल तीन प्रतिशत के लिए चोरी किए गए लॉगिन डेटा खाते के साथ हमले। यह मान मल्टी-फैक्टर ऑथेंटिकेशन (5%) को बायपास करने के हमले के प्रयासों से भी कम है।
थ्रेट एक्टर्स एमएफए सिस्टम को भी निशाना बना रहे हैं
2022 की पहली छमाही में, लगभग 0 मिलियन घटनाओं के साथ, Auth113 प्लेटफॉर्म ने मल्टी-फैक्टर ऑथेंटिकेशन (MFA) को बायपास करने के पहले से कहीं अधिक प्रयास देखे। कुछ यूरोपीय देशों में "लंबे" सप्ताहांत के दौरान एमएफए का एक बड़ा हमला ध्यान देने योग्य था। इसने ठीक 50 फोन नंबरों को लक्षित किया, जिन पर 31 जनवरी, 2022 और 24 फरवरी, 2022 के बीच 100 से अधिक एसएमएस एमएफए कोड भेजे गए थे।
साइबर अपराधी अपने हमलों को दुनिया भर के चार लंबवत बाजारों पर केंद्रित करते हैं:
- मानव संसाधन/भर्ती (4,5%, बनाम 1,6% पिछले वर्ष में)
- सार्वजनिक क्षेत्र (4,0%, बनाम 2,8% एक साल पहले)
- खुदरा/ई-कॉमर्स (3,7%, बनाम 2,8% एक साल पहले)
- वित्तीय सेवाएं (3,9%, बनाम 2,9% एक साल पहले)
बॉट्स: कपटपूर्ण पंजीकरणों की बढ़ती संख्या
कपटपूर्ण पंजीकरणों की संख्या वर्टिकल मार्केट के अनुसार अलग-अलग होती है। विश्व स्तर पर, एक नया खाता पंजीकृत करने के सभी प्रयासों में से लगभग 23 प्रतिशत का पता बॉट्स से लगाया जा सकता है। पिछले वर्ष में, मूल्य अभी भी 15 प्रतिशत था। पंजीकरण धोखाधड़ी हमलों के उच्चतम अनुपात के लिए ऊर्जा, उपयोगिता और वित्तीय सेवा कंपनियां जिम्मेदार हैं। ये खतरे क्रमशः नामांकन प्रयासों के 64,8 और 72,5 प्रतिशत के लिए जिम्मेदार हैं। मीडिया में, बॉट एक नया खाता पंजीकृत करने के सभी प्रयासों के लगभग एक तिहाई (37,4%) पीछे हैं।
Okta.com से auth0 पर अधिक
ओकटा के बारे में ओक्टा एंटरप्राइज आइडेंटिटी और एक्सेस मैनेजमेंट सॉल्यूशंस की अग्रणी स्वतंत्र प्रदाता है। ओक्टा आइडेंटिटी क्लाउड संगठनों को सही समय पर, सही तकनीकों के साथ, सही लोगों को सुरक्षित रूप से जोड़ने में सक्षम बनाता है। एप्लिकेशन और इंफ्रास्ट्रक्चर प्रदाताओं के साथ 7.000 पूर्व-निर्मित एकीकरण के साथ, ओक्टा के ग्राहक आसानी से और सुरक्षित रूप से अपने व्यवसाय के लिए सर्वोत्तम तकनीकों का लाभ उठा सकते हैं।