Эксперты компании Akamai отметили значительный рост атак с подстановкой учетных данных (credential stuffing, CS). Этой теме посвящен очередной отчет из серии State of Internet.

В мае-июне этого года специалисты зафиксировали более 8,3 млрд таких инцидентов — в перерасчете на один месяц это на 30% больше, чем с января по апрель. Их общее количество за период с ноября 2017 года по июль 2018-го превысило 30 млрд.

Понятие credential stuffing объединяет атаки с подбором логинов и паролей по слитым ранее базам — такие учетные данные можно купить в даркнете. Злоумышленники пользуются тем, что люди часто ленятся придумывать уникальные кодовые фразы для разных ресурсов. Проставляя в поля авторизации известные пары учетных данных, взломщики пытаются получить доступ к онлайн-аккаунтам и вывести из них имеющиеся средства.

Для ускорения подбора мошенники используют обширные ботнеты, значительную часть которых в последнее время составляют умные устройства. Эксперты отмечают, что результативность CS для взлома аккаунтов остается на низком уровне. В то же время доступ к личному кабинету в онлайн-банке или иных финансовых системах может единовременно принести «тысячи и сотни тысяч долларов» незаконной прибыли.

Аналитики Ponemon Institute, на которых ссылаются авторы отчета, оценили ежегодные потери бизнеса от CS в десятки миллионов долларов. Они опросили 569 ИБ-специалистов и выяснили, что эти затраты складываются из ущерба от простоя бизнес-приложений (средняя сумма — $1,7 млн), потерянных клиентов ($2,7 млн) и расходов на восстановление безопасности ($1,6 млн).

Ситуацию осложняет тот факт, что преступников трудно отличить от легитимных пользователей, которые забыли свой пароль и перебирают варианты в попытке зайти в систему. Кроме того, ИБ-службы нередко принимают CS-атаки за DDoS, а преступники пользуются этим для маскировки своих действий.

Авторы отчета привели в пример случай одного из своих клиентов — финансовой организации, которая столкнулась с лавиной мусорных запросов на авторизацию. Аналитики выявили в этом потоке активность сразу трех ботнетов, два из которых были призваны скрыть методичную CS-активность третьего. Средняя частота сигналов от последнего ботнета не превышала один запрос в две минуты (для сравнения, от остальных поступало по несколько десятков в секунду).

Эксперты подчеркивают, что опасность этого метода не ограничивается проблемами с обнаружением преступников. Молчание подобного ботнета не означает его деактивацию — в этот момент он может атаковать другую жертву. Таким образом злоумышленники распределяют усилия, чтобы эффективно использовать свою инфраструктуру.

По словам авторов отчета, зачастую бизнес не может защититься от CS-атак из-за разногласий между ИБ-экспертами и веб-разработчиками. Большинство респондентов Ponemon Institute (70%) полагает, что внедрение дополнительного контроля при авторизации снижает удобство для пользователей. Кроме того, в 40% компаний нет специалистов, которые бы отвечали за борьбу с CS, а 48% не выделяют достаточный бюджет на противодействие этим угрозам.

Эксперты призывают бизнес трезво оценивать возможные риски и инвестировать в защиту от подобных атак. Авторы рекомендуют внедрять средства поведенческого анализа на этапе авторизации — они помогают отсеивать активность ботов, сокращая финансовый ущерб от их действий в десять и более раз.

Категории: Аналитика, Главное, Хакеры