Credential stuffing là gì?
Credential stuffing là một cuộc tấn công mạng trong đó thông tin xác thực thu được từ một vụ vi phạm dữ liệu trên một dịch vụ, được sử dụng để cố gắng đăng nhập vào một dịch vụ không liên quan khác.
Ví dụ, kẻ tấn công có thể lấy danh sách tên người dùng và mật khẩu có được từ việc xâm phạm một cửa hàng bách hóa lớn và sử dụng cùng thông tin đăng nhập để thử đăng nhập vào trang web của một ngân hàng quốc gia. Kẻ tấn công hy vọng rằng một số phần nhỏ khách hàng của cửa hàng bách hóa đó cũng có tài khoản tại ngân hàng này và họ sử dụng lại cùng tên người dùng và mật khẩu cho cả hai dịch vụ.
Tấn công Credential stuffing đang phổ biến nhờ vào danh sách khổng lồ các thông tin xác thực bị vi phạm đang được giao dịch và bán trên thị trường chợ đen. Sự gia tăng của các danh sách này, kết hợp với những tiến bộ trong các công cụ Credential stuffing sử dụng bot để vượt qua những biện pháp bảo vệ đăng nhập truyền thống, đã khiến Credential stuffing trở thành một vectơ tấn công phổ biến.
Điều gì làm cho cuộc tấn công Credential stuffing trở nên hiệu quả?
Theo thống kê, các cuộc tấn công Credential stuffing có tỷ lệ thành công rất thấp. Nhiều ước tính cho biết tỷ lệ này chỉ rơi vào khoảng 0,1%, có nghĩa là cứ một nghìn tài khoản mà kẻ tấn công cố gắng bẻ khóa, chúng sẽ thành công gần một lần. Khối lượng lớn các bộ sưu tập thông tin xác thực đang được giao dịch bởi những kẻ tấn công khiến việc thực hiện tấn công Credential stuffing trở nên đáng giá, mặc dù tỷ lệ thành công thấp.
Các bộ sưu tập này chứa hàng triệu và trong một số trường hợp là hàng tỷ thông tin đăng nhập. Nếu kẻ tấn công có một triệu bộ thông tin xác thực, điều này có thể mang lại khoảng 1.000 tài khoản được bẻ khóa thành công. Nếu ngay cả một tỷ lệ nhỏ các tài khoản bị bẻ khóa mang lại dữ liệu sinh lời (thường ở dạng số thẻ tín dụng hoặc dữ liệu nhạy cảm có thể được sử dụng trong các cuộc tấn công lừa đảo) thì cuộc tấn công là đáng giá. Trên hết, kẻ tấn công có thể lặp lại quy trình bằng cách sử dụng cùng một bộ thông tin xác thực trên nhiều dịch vụ khác nhau.
Những tiến bộ trong công nghệ bot cũng khiến Credential stuffing trở thành một cuộc tấn công khả thi. Các tính năng bảo mật được tích hợp trong biểu mẫu đăng nhập ứng dụng web thường bao gồm tính năng cố ý trì hoãn thời gian và chặn địa chỉ IP của những người dùng nhiều lần đăng nhập không thành công. Phần mềm Credential stuffing hiện đại phá vỡ các biện pháp bảo vệ này bằng cách sử dụng các bot để thử đồng thời một số thông tin đăng nhập có vẻ như đến từ nhiều loại thiết bị khác nhau và bắt nguồn từ các địa chỉ IP khác nhau. Mục tiêu của bot độc hại là làm cho các nỗ lực đăng nhập của kẻ tấn công không thể phân biệt được với lưu lượng đăng nhập thông thường và nó rất hiệu quả.
Thông thường, dấu hiệu duy nhất giúp một công ty nhận thấy rằng họ đang bị tấn công là sự gia tăng tổng khối lượng các nỗ lực đăng nhập. Ngay cả khi đó, công ty bị nhắm mục tiêu cũng sẽ gặp khó khăn trong việc ngăn chặn những nỗ lực này mà không ảnh hưởng đến khả năng đăng nhập vào dịch vụ của những người dùng hợp pháp.
Lý do chính khiến các cuộc tấn công Credential stuffing có hiệu quả là do mọi người hay sử dụng lại mật khẩu. Các nghiên cứu cho thấy rằng đa số người dùng, theo một số ước tính lên tới 85%, sử dụng lại cùng một thông tin đăng nhập cho nhiều dịch vụ. Miễn là thực tế này còn tiếp tục, thì Credential stuffing sẽ vẫn có hiệu quả.
Sự khác biệt giữa Credential stuffing và Brute Force là gì?
OWASP phân loại Credential stuffing như một tập hợp con của các cuộc tấn công Brute Force. Nhưng, nói một cách chính xác, Credential stuffing rất khác so với các cuộc tấn công Brute Force truyền thống. Các cuộc tấn công Brute Force cố gắng đoán mật khẩu mà không có ngữ cảnh hoặc manh mối, sử dụng các ký tự một cách ngẫu nhiên đôi khi kết hợp với những đề xuất mật khẩu phổ biến. Còn Credential stuffing sử dụng dữ liệu bị lộ, làm giảm đáng kể số lượng câu trả lời đúng có thể có.
Một cách bảo vệ tốt trước các cuộc tấn công Brute Force là một mật khẩu mạnh bao gồm một số ký tự và bao gồm cả chữ hoa, số và các ký tự đặc biệt. Nhưng độ mạnh của mật khẩu không bảo vệ người dùng khỏi việc bị tấn công Credential stuffing. Mật khẩu mạnh đến mức nào không quan trọng. Nếu mật khẩu được dùng chung trên các tài khoản khác nhau thì Credential stuffing vẫn có thể gây tổn hại.
Cách ngăn chặn Credential stuffing
Cách người dùng có thể ngăn chặn Credential stuffing
Theo quan điểm của người dùng, việc bảo vệ chống lại Credential stuffing là khá đơn giản. Người dùng phải luôn sử dụng mật khẩu duy nhất cho từng dịch vụ khác nhau (một cách dễ dàng để đạt được điều này là sử dụng trình quản lý mật khẩu). Nếu người dùng luôn sử dụng mật khẩu duy nhất, Credential stuffing sẽ không hoạt động với tài khoản của họ. Như một biện pháp bảo mật bổ sung, người dùng được khuyến khích luôn bật xác thực hai yếu tố khi có sẵn.
Cách các công ty có thể ngăn chặn Credential stuffing
Việc ngăn chặn Credential stuffing là một thách thức phức tạp hơn đối với các công ty điều hành dịch vụ xác thực. Credential stuffing xảy ra do vi phạm dữ liệu ở các công ty khác. Một công ty bị nhắm mục tiêu bởi một cuộc tấn công Credential stuffing không nhất thiết đã bị xâm phạm bảo mật.
Một công ty có thể đề nghị người dùng của mình cung cấp mật khẩu duy nhất nhưng không thể thực thi hiệu quả điều này như một quy tắc.
Một số ứng dụng sẽ chạy mật khẩu đã gửi dựa trên cơ sở dữ liệu của các mật khẩu đã bị xâm phạm, trước khi chấp nhận mật khẩu như một biện pháp chống lại Credential stuffing, nhưng điều này không an toàn - người dùng có thể đang sử dụng lại mật khẩu từ một dịch vụ chưa bị vi phạm.
Cung cấp các tính năng bảo mật đăng nhập bổ sung có thể giúp giảm thiểu Credential stuffing. Việc kích hoạt các tính năng như xác thực hai yếu tố và yêu cầu người dùng điền hình ảnh xác thực khi đăng nhập cũng giúp ngăn chặn các chương trình độc hại. Mặc dù cả hai tính năng này đều gây bất tiện cho người dùng, nhưng nhiều người sẽ đồng ý rằng việc giảm thiểu mối đe dọa bảo mật đáng để đánh đổi.
Biện pháp bảo vệ mạnh nhất chống lại Credential stuffing là dịch vụ quản lý bot. Việc quản lý bot sử dụng giới hạn tốc độ kết hợp với cơ sở dữ liệu IP để ngăn các bot độc hại thực hiện những nỗ lực đăng nhập mà không ảnh hưởng đến các thông tin đăng nhập hợp pháp.