Дослідження F5: Інциденти з обліковими даними подвоїлися з 2016 року Credential Stuffing Report детально досліджує зловживання обліковими даними. З 2016 по 2020 рік кількість щорічних інцидентів, пов’язаних із обліковими даними, зросла майже вдвічі. Це показано в поточному звіті F5 Credential Stuffing.
Найбільше дослідження такого роду показало зниження кількості викрадених облікових даних на 46 відсотків за той самий період. Середня кількість даних впала з 63 мільйонів записів у 2016 році до 17 мільйонів минулого року. Середній розмір зріс до 2020 відсотків у 2 році (234 мільйони записів) порівняно з 2019 роком і був найвищим з 2016 року (2,75 мільйона).
Захоплені скомпрометовані облікові дані
Під час надсилання облікових даних використовуються великі обсяги скомпрометованих імен користувача та/або пар електронної адреси та пароля. За даними ФБР, на цю загрозу припала найбільша частка інцидентів безпеки у фінансовому секторі США з 2017 по 2020 рік (41%).
«Зловмисники роками збирали мільярди облікових даних», — сказала Сара Бодді, старший директор F5 Labs. «Вкрадені облікові дані схожі на нафтову пляму: після розлиття їх дуже важко очистити, тому що нічого не підозрюють користувачі їх не змінюють, і лише деякі компанії використовують рішення для підкидання облікових даних. Тож не дивно, що протягом цього періоду дослідження ми спостерігали зміну основного типу атак від HTTP-атак до введення облікових даних».
Сандер Вінберг, евангеліст дослідження загроз у F5 Labs і співавтор дослідження, закликає компанії бути пильними. «Цікаво, що у 2020 році загальний обсяг і розмір витоку облікових даних зменшився. Однак дуже малоймовірно, що служби безпеки виграють боротьбу з крадіжкою даних і шахрайством. Принаймні схоже, що досі хаотичний ринок стабілізується в міру свого розвитку».
Погане зберігання паролів – більш досвідчені зловмисники
Згідно з дослідженням, недостатнє зберігання паролів залишається основною проблемою. Хоча більшість компаній не розголошують свої алгоритми хешування паролів, експерти F5 змогли розслідувати 90 конкретних інцидентів.
За останні три роки 42,6 відсотка вкрадених облікових даних були незахищеними, а паролі зберігалися у вигляді звичайного тексту. Далі йшли дані доступу з неправильно визначеним алгоритмом хешування пароля SHA-1 (20%). На третьому місці опинився алгоритм bcrypt (16,7%). Дивно, але суперечливий алгоритм хешування MD5 призвів лише до невеликої частини викрадених облікових даних.
Зловмисники використовують методи «фуззингу».
Варто також зазначити, що зловмисники все частіше використовують методи «фуззингу», щоб оптимізувати успіх використання облікових даних. За допомогою фаззингу вразливості виявляються шляхом багаторазового тестування синтаксичного аналізатора зі зміненими вхідними даними. Відповідно до F5, більшість атак фаззингу відбуваються до того, як скомпрометовані облікові дані оприлюднюються. Відповідно, така практика більш поширена серед досвідчених зловмисників.
виявити крадіжку
У звіті про розповсюдження облікових даних за 2018 рік F5 повідомив, що в середньому потрібно було 15 місяців, щоб про крадіжку облікових даних стало відомо. Зараз середній час виявлення інцидентів становить лише 120 місяців. Однак цей результат спотворений деякими інцидентами, коли часовий проміжок становив три роки або більше. Середній час виявлення інцидентів становить XNUMX днів. Однак викрадені дані часто виявляються в темній мережі до того, як компанії повідомлять про інцидент.
Темна павутина в центрі уваги
Розкриття факту крадіжки зазвичай пов’язане з появою облікових даних на форумах темної мережі. Для звіту про додавання облікових даних за 2020 рік F5 проаналізував часовий проміжок між крадіжкою облікових даних і публікацією в темній мережі.
Дослідники провели історичний аналіз під назвою «Колекція X» на вибірці з майже 9 мільярдів облікових даних, отриманих від тисяч витоків даних. Облікові дані були опубліковані на темних форумах на початку січня 2019 року.
Серед постраждалих клієнтів Fortune 500
F5 порівняв ці облікові дані з іменами користувачів, які використовувалися в атаках на клієнтів із використанням облікових даних за шість місяців до та після дати публічного оприлюднення. Серед чотирьох клієнтів зі списку Fortune 500 були два банки, роздрібний торговець і продуктова компанія. Використовуючи технологію Shape Security, дослідники змогли відстежити вкрадені облікові дані від крадіжки до продажу та використання.
Частота використання вкрадених облікових даних у кожному календарному році 2016-2020 (Графік: F5).
Протягом 12 місяців 2,9 мільярда різних облікових даних було використано як для законних транзакцій, так і для атак на чотири веб-сайти. Майже третина (900 мільйонів) облікових даних була скомпрометована. Викрадені облікові дані найчастіше виявлялися під час законних людських операцій з банками (35% і 25% випадків відповідно). 10 відсотків атак були спрямовані на роздрібну торгівлю, а близько 5 відсотків — на продуктову компанію.
П'ять стадій насильства
У звіті про надсилання облікових даних за 2020 рік визначено п’ять етапів зловживання обліковими даними.
- Тихо і таємно: Скомпрометовані облікові дані таємно використовувалися протягом місяця до оприлюднення. У середньому кожен обліковий запис використовувався від 15 до 20 разів на день під час атак на чотири веб-сайти.
- Сильне підвищення: За 30 днів до релізу облікові дані циркулювали в темній мережі. Ними користувалися все більше кіберзлочинців, тому кількість атак за добу стабільно зростала.
- Кульмінація: Після того, як облікові дані були оприлюднені, вони спробували «script kiddies» та інших аматорів на найбільших веб-сайтах. Перший тиждень був особливо інтенсивним: кожен обліковий запис зазнавав у середньому понад 130 атак на день.
- Зниження: Після першого місяця F5 побачив новий рівень близько 28 атак на ім’я користувача на день. Цікаво, що це вище початкового показника 15 атак під час першої фази. Це пов’язано з тим, що недосвідчені зловмисники все ще використовують «застарілу» інформацію.
- Повторне використання: Здійснивши атаки з використанням облікових даних на багатьох веб-сайтах, підгрупа злочинців вирішила перепакувати дійсні облікові дані та використати їх повторно.
Мінімізуйте загрозу
«Наповнення облікових даних залишатиметься загрозою, поки користувачам потрібно буде входити в облікові записи онлайн», — додає Бодді. «Зловмисники продовжуватимуть адаптувати свої атаки до методів боротьби з шахрайством, створюючи велику потребу та можливість для адаптивних засобів контролю на основі штучного інтелекту, пов’язаних із підкиданням облікових даних і шахрайством. Виявити всі напади відразу неможливо. Однак можна зробити атаки настільки дорогими, що шахраї здадуться. Тому що те саме стосується кіберзлочинців: час – це гроші».
Прямо до звіту на F5.com
Про мережі F5 F5 (NASDAQ: FFIV) дає найбільшим у світі підприємствам, постачальникам послуг, державним установам і споживчим брендам свободу забезпечувати будь-які програми безпечно, будь-де та з упевненістю. F5 надає хмарні рішення та рішення безпеки, які дозволяють компаніям використовувати обрану інфраструктуру без шкоди для швидкості та контролю. Відвідайте f5.com для отримання додаткової інформації. Ви також можете відвідати нас на LinkedIn і Facebook, щоб дізнатися більше про F5, її партнерів і технології.