Credential Stuffing là gì? Cách Hoạt Động và Phòng Tránh Hiệu Quả

Credential Stuffing là gì?

Credential Stuffing là một cuộc tấn công mạng trong đó kẻ tấn công sử dụng danh sách thông tin xác thực người dùng và mật khẩu bị đánh cắp từ một tổ chức để truy cập vào tài khoản người dùng tại một tổ chức khác. Đây là một hình thức tấn công brute force, nhồi nhét thông tin xác thực liên quan đến việc kẻ tấn công sử dụng tự động hóa để thử tên người dùng và mật khẩu để truy cập vào tài khoản của người dùng hợp pháp.

Tại sao tấn công Credential Stuffing lại có xu hướng gia tăng?

Tấn công Credential Stuffing ngày càng gia tăng bởi những lý do sau:

• Tính khả dụng của thông tin xác thực: Những năm gần đây, số lượng tên người dùng và mật khẩu bi hack gia tăng nhanh chóng, những thông tin này có thể mua trên các trang dark web. Nó là nguồn thông tin cho kẻ tấn công thực hiện các cuộc tấn công mạng khác.
• Công nghệ phát triển: Các cuộc tấn công sử dụng BOT hoặc các công cụ tự động hóa khác để cố gắng đăng nhập vào nhiều tài khoản chỉ trong nháy mắt. BOT được lập trình để check ID người dùng và mật khẩu cụ thể, đăng nhập vào hệ thống một lần. Điều này cho phép các công cụ vượt qua được các biện pháp bảo mật như chặn IP khi đăng nhập nhiều lần không thành công.
• Chi phí ban đầu thấp: Kẻ tấn công chỉ mất từ 50 $ để bắt đầu một cuộc tấn công với máy tính và danh sách thông tin người dùng để khởi chạy một cuộc tấn công.
• Nhu cầu làm việc từ xa đang ngày càng gia tăng: Từ sau dịch Covid, làm việc từ xa đang trở thành xu hướng được người dùng lựa chọn. Điều này có thể đối mặt với nhiều thách thức nếu công ty không có biện pháp bảo vệ mạng. Kẻ tấn công có thể lợi dụng điuề này để đánh cắp thông tin và cố gắng truy cập vào các thiết bị và dịch vụ kinh doanh với các mục đích xấu.
• Khó phát hiện: Một cuộc tấn công Credential Stuffing thành công, kẻ tấn công sẽ mạo danh người dùng hợp pháp (có thể là nhân viên, đối tác, nhà thầu,…). Cùng với việc không có phần mềm độc hại hoặc các vector tấn công khác, khiến cho việc phát hiện tấn công Credential Stuffing bằng các phương pháp phòng thủ an ninh mạng trở nên khó khăn hơn.

Cuộc tấn công Credential Stuffing diễn ra như thế nào?

Các cuộc tấn công Credential Stuffing thường diễn ra theo lộ trình như sau:

Kẻ tấn công có thể đánh cắp hoặc mua một danh sách thông tin đăng nhập thông qua dark web. Những thông tin này thường là kết quả của các cuộc tấn công mạng khác và thường có giá khá rẻ.

Tiếp đến, với danh sách thông tin đăng nhập trong tay, kẻ tấn công sẽ thiết lập một botnet hoặc công cụ tự động hóa để cố gắng đăng nhập vào nhiều tài khoản không liên quan cùng lúc. BOT có tính năng che giấu hoặc giả mạo địa chỉ IP để tránh kích hoạt các công cụ bảo mật có thể chặn địa chỉ IP nước ngoài hoặc có đăng nhập bất thường.

Sau đó, BOT sẽ kiểm tra xem có cấp quyền truy cập cho bất kỳ dịch vụ hoặc tài khoản phụ nào không. Nếu nỗ lực đăng nhập thành công, kẻ tấn công sẽ thu thập thông tin như dữ liệu cá nhân, thông tin thẻ tín dụng đã lưu trữ hoặc thông tin chi tiết về ngân hàng. Kẻ tấn công cũng có thể tham gia vào các cuộc tấn công lừa đảo, tội phạm như:

• Bán quyền truy cập vào tài khoản trực tuyến như dịch vụ phát trực tuyến, phương tiện truyền thông, nền tảng game,..qua trang dark web.
• Mua hàng bằng phương thức thanh toán đã lưu trữ
• Chiếm đoạt tài khoản, thay đổi cài đặt mật khẩu, thông tin liên hệ,…để phục vụ cho các hoạt động trong tương lai.
• Bán thông tin cá nhân qua tài khoản khách hàng để thúc đẩy các chiến dịch lừa đảo, hỗ trợ các cuộc tấn công khác.
• Trường hợp xâm nhập vào mạng công ty qua tài khoản nhân viên, nhà thầu, nhà cung cấp, kẻ tấn công có thể cài đặt thông tin để phục vụ cho các cuộc tấn công khác, đánh cắp dữ liệu. Do nó đăng nhập tài khoản hợp lệ nên rất khó trong việc phát hiện thâm nhập bằng các biện pháp bảo mật truyền thống.

Tác động của tấn công Credential Stuffing với tổ chức

Credential Stuffing là một cuộc tấn công mạng có tác động nghiêm trọng đến các tổ chức, gây ra các rủi ro về tài chính, danh tiếng cũng như các hậu quả về pháp lý có thể xảy ra. Những tác động này sẽ chống chéo gây cho tổ chức nhiều phiền toái và sẽ mất thời gian để khắc phục. Cụ thể:

• Xâm phạm tài khoản người dùng: Dữ liệu và thông tin nhạy cảm của người dùng bị đánh cắp, gây ra các rủi ro về thông tin nhạy cảm và tài chính. Những điều này khiến cho lòng tin của khách hàng vào doanh nghiệp bị ảnh hưởng, dẫn đến hậu quả nghiệm trọng cho cả công ty lẫn khách hàng của họ.
• Người dùng có thể bị khóa tài khoản: Kẻ tấn công sẽ nỗ lực đăng nhập tài khoản khách hàng khiến cho tài khoản của họ có thể bị khóa thường xuyên do nhiều lần đăng nhập không đúng. Điều này gây ra sự bất tiện và khiến người dùng cảm thấy thất vọng, trải nghiệm tiêu cực với dịch vụ doanh nghiệp. Buộc họ phải tìm giải pháp thay thế, gây ảnh hưởng đến uy tín và lợi nhuận của doanh nghiệp.
• Là nguồn gốc của các cuộc tấn công mạng nguy hiểm khác: Khi kẻ tấn công đã có quyền truy cập vào hệ thống, nó sẽ triển khai phần mềm tống tiền, mã hóa dữ liệu quan trọng, yêu cầu tiền chuộc để giải mã dữ liệu. Doanh nghiệp sẽ trở thành nạn nhân của các hành vi tống tiền, gây thiệt hại về tài chính cho doanh nghiệp. Buộc học phải lựa chọn giữa việc trả tiền chuộc hay mất quyền truy cập vào dữ liệu quan trọng, hoặc để dữ liệu bị tiết lộ hoặc bị sử dụng trái phép.
• Tổn thất về tài chính: Khi kẻ tấn công có được quyền truy cập trái phép, chúng có thể khai thác nó theo nhiều mục đích như giao dịch mua bán gian lận, rút tiền trong tài khoản ngân hàng, trộm cắp danh tính người dùng,…Điều này rất tài khốc, doanh nghiệp phải đối mặt với tổn thất tài chính trực tiếp và nghĩa vụ pháp lý tiềm ẩn vì không bảo vệ được thông tin của người dùng.
• Ảnh hưởng đến uy tín của doanh nghiệp: Việc tài khoản người dùng bị xâm phạm khiến cho khách hàng mất đi lòng tin với khả năng bảo vệ thông tin nhạy cảm của doanh nghiệp. Khi thông tin này được lan truyền trên mạng, uy tín của doanh nghiệp sẽ bị ảnh hưởng nghiêm trọng và sẽ mất nhiều thời gian và công sức để lấy lại.

Cách ngăn chặn cuộc tấn công Credential Stuffing hiệu quả

Sau đây là một số gợi ý cho doanh nghiệp/tổ chức trong việc ngăn chặn các cuộc tấn công Credential Stuffing hiệu quả:

• Xác thực đa yếu tố: MFA rất hiệu quả trong việc chống lại các nỗ lực tấn công Credential Stuffing. Nó yêu cầu mỗi người dùng xác thực danh tính của họ bằng nhiều các như dấu vân tay, sinh trắc học, mã OTP,…
• Sử dụng mật khẩu mạnh: Người dùng nên sử dụng mật khẩu mạnh và duy nhất cho mỗi trang đăng nhập để tránh kẻ gian lấy cắp.
• Sử dụng Captcha: Thiết lập tính năng yêu cầu người dùng thực hiện hành động để chứng minh họ là người để phòng tránh các cuộc tấn công Credential Stuffing hiệu quả.
• Theo dõi hoạt động đăng nhập của người dùng: Cần theo dõi thường xuyên hoạt động đăng nhập của người dùng để sớm phát hiện ra các bất thường để kịp thời ngăn chặn trước khi chúng gây thiệt hại cho tổ chức.
• Sử dụng firewall: Tường lửa hiệu quả trong việc chống lại các cuộc tấn công Credential Stuffing bằng cách chặn các nỗ lực đăng nhập đáng ngờ và xác định các kiểu tấn công.
• Sử dụng trình quản lý BOT: Công cụ này có thể ngăn chặn các cuộc tấn công Credential Stuffing hiệu quả bằng cách phát hiện và chặn các nỗ lực đăng nhập tự động.
• Thường xuyên cập nhật hệ thống: Để tránh việc kẻ xấu lợi dụng lỗ hổng bảo mật, bạn nên thường xuyên cập nhật các bản vá bảo mật để đảm bảo an toàn cho hệ thống.

Kết luận

Trên đây, LANIT đã chia sẻ chi tiết về Credential Stuffing – loại tấn công mà kẻ tấn công sử dụng thông tin xác thực của người dùng để xâm nhập hệ thống. Loại tấn công này đã và đang gây ra nhiều mối lo ngại cho nhiều tổ chức, cá nhân trên toàn cầu khi có xu hướng tấn công ngày càng gia tăng trong các năm qua. Các tổ chức, doanh nghiệp cần thận trọng áp dụng các biện pháp phòng tránh hiệu quả để giảm thiệt hại khi cuộc tấn công Credential Stuffing diễn ra.

Ngoài việc quan tâm đến Credential Stuffing Attack, nếu doanh nghiệp cần tìm giải pháp lưu trữ dữ liệu an toàn liên hệ ngay với LANIT – đơn vị cho thuê VPS uy tín để được hỗ trợ sớm nhất kèm các giải pháp bảo mật hệ thống an toàn khác nhé!