Przewodnik biznesowy dotyczący ataków typu "credential-stuffing

A. Co to jest credential stuffing?

Credential stuffing to rodzaj cyberataku, który zazwyczaj polega na powtarzających się próbach logowania się do kont internetowych przy użyciu nazw użytkowników i haseł skradzionych z innych usług online. Wykorzystuje naturalną ludzką skłonność do ponownego używania haseł, aby poradzić sobie ze stale rosnącą liczbą kont internetowych, którymi trzeba zarządzać. Atakujący wiedzą, że nazwa użytkownika i hasło użyte na jednej stronie internetowej mogą być również wykorzystane na pół tuzina innych.

Unlike many other types of cyberattacks, credential-stuffing attacks often require little technical knowledge to mount. Atakujący zazwyczaj używają darmowego, łatwo dostępnego oprogramowania zdolnego do jednoczesnego przesyłania setek prób logowania bez interwencji człowieka. Pojedynczy atakujący może z łatwością wysłać setki tysięcy, a nawet miliony prób logowania do pojedynczej usługi internetowej.

Chociaż większość prób logowania w ramach ataku typu credential-stuffing kończy się niepowodzeniem, pojedynczy atak może jednak przynieść tysiące zainfekowanych kont ze względu na samą liczbę prób. Atakujący mają wiele sposobów na zarabianie na zainfekowanych kontach. Mogą na przykład dokonywać nieuczciwych zakupów przy użyciu zapisanej karty kredytowej klienta, kraść i sprzedawać karty podarunkowe, które klient zapisał na koncie, wykorzystywać dane klienta skradzione z konta w ataku phishingowym lub po prostu sprzedawać dane logowania innej osobie w ciemnej sieci.
 

B. Nasze dochodzenie

W ciągu kilku miesięcy OAG monitorowała kilka społeczności internetowych zajmujących się upychaniem danych uwierzytelniających. OAG znalazło tysiące postów zawierających dane logowania, które zostały przetestowane w atakach typu credential-stuffing na stronie internetowej lub aplikacji i potwierdziły, że zapewniają dostęp do konta klienta. Członkowie tych społeczności mogli swobodnie korzystać z tych zweryfikowanych danych uwierzytelniających, aby samodzielnie włamać się na konta klientów lub wykorzystać je do własnych ataków na strony internetowe i aplikacje innych firm.

Po przejrzeniu tysięcy postów OAG zebrała dane logowania do kont klientów w 17 znanych firmach, w tym w sklepach internetowych, sieciach restauracji i usługach dostarczania żywności. W sumie OAG zebrał dane uwierzytelniające dla ponad 1,1 miliona kont klientów, z których wszystkie wydawały się być narażone na ataki typu credential-stuffing.

OAG skontaktowała się z każdą z 17 firm, aby powiadomić je o zagrożonych kontach. OAG poprosił również firmy o zbadanie sprawy i podjęcie kroków w celu ochrony poszkodowanych klientów. Każda firma to zrobiła.

OAG współpracował również z firmami w celu ustalenia, w jaki sposób napastnicy ominęli istniejące zabezpieczenia, a także doradził firmom kroki, które mogą podjąć w celu wzmocnienia swoich programów bezpieczeństwa danych i lepszego zabezpieczenia kont klientów przed upychaniem danych uwierzytelniających. W trakcie dochodzenia OAG prawie wszystkie przedsiębiorstwa wprowadziły lub przedstawiły plany wprowadzenia dodatkowych zabezpieczeń.

Ochrona klientów przed atakami typu "credential-stuffing 

Ataki typu Credential Stuffing stały się tak powszechne, że dla większości firm są nieuniknione. Każda firma, która prowadzi konta online dla swoich klientów, powinna zatem posiadać program bezpieczeństwa danych, który obejmuje skuteczne zabezpieczenia chroniące klientów przed atakami typu credential-stuffing w każdym z czterech obszarów:

1. ochrona przed atakami polegającymi na fałszowaniu danych uwierzytelniających
2. wykrywanie naruszeń danych uwierzytelniających
3. zapobieganie oszustwom i niewłaściwemu wykorzystaniu informacji o klientach
4. reagowanie na incydenty kradzieży danych uwierzytelniających

W poniższych sekcjach OAG przedstawia konkretne zabezpieczenia, które zostały uznane za skuteczne w każdym z tych obszarów. Lista ta nie jest wyczerpująca, ale raczej podkreśla zabezpieczenia, które mogą mieć zastosowanie do szerokiego zakresu firm. Jednak nie każde zabezpieczenie będzie odpowiednie dla każdej firmy. Firmy powinny ocenić, które zabezpieczenia należy wdrożyć w kontekście ich własnej działalności, biorąc pod uwagę takie czynniki, jak wielkość i złożoność firmy, ilość i wrażliwość przechowywanych informacji o klientach, ryzyko i skalę obrażeń oraz oprogramowanie i systemy, które są już w użyciu.

Należy zauważyć, że skuteczność zabezpieczeń określonych poniżej będzie prawdopodobnie zmieniać się z czasem, w miarę jak atakujący będą przyjmować nowe taktyki. Przedsiębiorstwa powinny regularnie oceniać skuteczność własnych kontroli i w razie potrzeby wdrażać nowe zabezpieczenia.

A. Obrona przed atakiem typu credential-stuffing

Każda firma powinna utrzymywać skuteczne zabezpieczenia chroniące przed nieautoryzowanym dostępem do kont klientów poprzez ataki typu credential-stuffing. Dla wielu firm będzie to wymagało wdrożenia skutecznych zabezpieczeń technicznych, takich jak oprogramowanie do wykrywania botów lub uwierzytelnianie wieloskładnikowe, a także podstawowych zabezpieczeń, takich jak zapora aplikacji internetowych.

Najbardziej skuteczne zabezpieczenia

• Wykrywanie botów
  Ataki typu credential-stuffing zazwyczaj obejmują dziesiątki lub setki tysięcy prób logowania, które zostały wygenerowane przez zautomatyzowane oprogramowanie lub "boty". Jedną z najskuteczniejszych metod ograniczania tego typu ataków jest system wykrywania botów - oprogramowanie zaprojektowane specjalnie do identyfikowania i blokowania ruchu internetowego generowanego przez boty. Skuteczne systemy wykrywania botów potrafią odróżnić ruch generowany przez ludzi od ruchu generowanego przez boty, nawet jeśli ruch ten został zamaskowany - na przykład poprzez rotację wielu adresów IP lub identyfikatorów urządzeń.
  
  Chociaż systemy wykrywania botów mogą być opracowywane we własnym zakresie, wiele firm korzysta z usług innych firm w celu wykrywania i ograniczania ich działania. Jedną z zalet usług zewnętrznych jest to, że mogą one działać w setkach witryn i aplikacji, zapewniając dostęp do ogromnej ilości danych, które mogą pomóc w ujawnieniu wzorców botów, które nie byłyby widoczne dla pojedynczego operatora witryny.
  
  Wykrywanie botów może być bardzo skuteczne w ograniczaniu ataków typu "credential-stuffing". Jedna z sieci restauracji zgłosiła do OAG, że jej dostawca usług wykrywania botów zablokował ponad 271 milionów prób logowania w ciągu 17 miesięcy. Inna firma, z którą skontaktował się OAG, zablokowała ponad 40 milionów prób logowania w ciągu dwóch miesięcy. Takie historie sukcesu prawdopodobnie przyczyniły się do popularności systemów wykrywania botów - 12 firm, z którymi skontaktował się OAG, wdrożyło lub planuje wdrożyć system wykrywania botów.
  
  Systemy CAPTCHA, które przyjmują inne podejście do rozróżniania ludzi i botów, mogą nie być tak skuteczne, jak inne technologie wykrywania botów. Oprogramowanie stało się biegłe w rozwiązywaniu wielu rodzajów wyzwań CAPTCHA bez interwencji człowieka. Ponadto, wyzwania CAPTCHA mogą być wykonywane przez rzeczywistych ludzi w farmach CAPTCHA, zazwyczaj zlokalizowanych za granicą.
   
• Uwierzytelnianie wieloskładnikowe
  Innym skutecznym zabezpieczeniem przed atakami typu credential-stuffing jest uwierzytelnianie wieloskładnikowe, znane również jako MFA. MFA wymaga od użytkownika przedstawienia dwóch lub więcej rodzajów poświadczeń w celu zalogowania się na swoje konto. Poświadczenia muszą pochodzić z dwóch (lub więcej) z następujących kategorii:
      1. coś, co użytkownik zna (np. hasło)
      2. coś, co posiada użytkownik (np. telefon komórkowy)
      3. coś, czym jest użytkownik (np. odcisk palca).
  
  Większość atakujących, którzy mają dostęp do skradzionego hasła, nie będzie miała dostępu do innych typów danych uwierzytelniających.
  
  Chociaż MFA było historycznie używane przez organizacje, które przechowywały bardzo wrażliwe informacje, takie jak instytucje finansowe, w ostatnich latach MFA stało się bardziej powszechne. Sześć firm, z którymi skontaktował się OAG, korzysta lub planuje wdrożyć MFA.
  
  Firmy często wdrażają drugi czynnik za pomocą jednego z trzech mechanizmów:
      1. fizyczny klucz bezpieczeństwa
      2. autentyczna aplikacja
      3. wiadomości e-mail lub SMS zawierające jednorazowy kod lub link.
  
  Fizyczne klucze bezpieczeństwa i aplikacje uwierzytelniające są często bezpieczniejszymi metodami uwierzytelniania, ponieważ techniki takie jak wymiana karty SIM i inżynieria społeczna mogą pozwolić zdeterminowanym atakującym na kradzież kodu wysłanego za pośrednictwem wiadomości tekstowej lub e-mail. Wybierając mechanizm do wdrożenia, firmy powinny rozważyć ryzyko szkód wynikających z nieautoryzowanego logowania w stosunku do złożoności i łatwości użytkowania systemu MFA.
   
• Uwierzytelnianie bez hasła
  Uwierzytelnianie bez hasła to, jak sama nazwa wskazuje, metoda uwierzytelniania użytkowników, która nie opiera się na haśle. Zamiast tego użytkownicy są uwierzytelniani przy użyciu innego rodzaju czynnika uwierzytelniania, albo "czegoś, co użytkownik ma", albo "czegoś, czym użytkownik jest". Podobnie jak w przypadku MFA, najpopularniejsze implementacje wykorzystują aplikację uwierzytelniającą, jednorazowy kod uwierzytelniający wysyłany SMS-em lub e-mailem albo link wysyłany e-mailem.
  
  Chociaż uwierzytelnianie bezhasłowe nie zostało jeszcze powszechnie przyjęte, w ostatnich latach zyskało na popularności. Jedna z firm, z którymi skontaktował się OAG, opiera się na uwierzytelnianiu bezhasłowym.

Inne zabezpieczenia

• Zapory sieciowe aplikacji internetowych
  Większość firm powinna używać zapory aplikacji internetowych (WAF) jako pierwszej linii obrony przed złośliwym ruchem. WAF mogą zawierać różne funkcje zdolne do łagodzenia podstawowych ataków na aplikacje internetowe. Zaawansowane ataki typu "credential stuffing" są jednak często w stanie obejść większość zabezpieczeń WAF. Poniżej przedstawiono kilka typowych funkcji WAF.
• Ograniczanie prędkości: W większości przypadków firmy powinny blokować lub dławić ruch od każdego użytkownika, który próbował zalogować się do wielu kont klientów w krótkim czasie. Ten rodzaj ograniczania szybkości jest tanią kontrolą i może być skuteczny w przypadku podstawowych ataków. ⁵
• Analiza żądań HTTP: Większość WAF-ów analizuje informacje o nagłówkach i inne metadane przychodzących żądań, aby zidentyfikować ruch, który może być złośliwy. Firmy powinny rozważyć wdrożenie analizy żądań HTTP i ocenić, czy blokowanie lub dławienie żądań o następujących cechach byłoby skuteczne w blokowaniu złośliwego ruchu:
  • żądania wykorzystujące adresy IP lub pochodzące z sieci, które zostały zidentyfikowane jako złośliwe
  • wnioski, które pochodzą z obszaru geograficznego spoza bazy klientów
  • żądań pochodzących od dostawców wirtualnych serwerów prywatnych, takich jak Amazon Web Services lub komercyjne centra danych.
  • żądania pochodzące z przeglądarek bezgłowych lub przeglądarek, które nie mają silników wykonawczych JavaScript, lub które mają inne atrybuty unikalne dla popularnych narzędzi do fałszowania poświadczeń
• Czarna lista adresów IP: Niektóre firmy utrzymują listę adresów IP, które ostatnio brały udział w atakach i blokują lub ograniczają ruch związany z tymi adresami IP. Firmy mogą również subskrybować źródła informacji o zagrożeniach oferowane przez strony trzecie w celu wypełnienia czarnych list adresów IP.
• Zapobieganie ponownemu użyciu naruszonych haseł
  Firmy mogą powstrzymać atakujących przed uzyskaniem dostępu do przynajmniej niektórych kont klientów, uniemożliwiając im ponowne użycie haseł, które zostały wcześniej naruszone. Funkcja ta zazwyczaj opiera się na zewnętrznych dostawcach, którzy kompilują dane uwierzytelniające ze znanych naruszeń danych. Gdy klient wybiera hasło, jest ono porównywane z hasłami w bibliotece skradzionych danych; jeśli hasło pasuje, klient jest proszony o wybranie innego hasła.

B. Wykrywanie naruszeń danych uwierzytelniających

W niekończącym się wyścigu zbrojeń przeciwko atakującym, żadne zabezpieczenie nie jest w 100% skuteczne. Każda firma powinna zatem dysponować skutecznymi środkami wykrywania ataków typu credential-stuffing, które ominęły inne zabezpieczenia i naraziły na szwank konta klientów. W większości przypadków będzie to wymagało systematycznego monitorowania ruchu klientów. Inne zabezpieczenia mogą uzupełniać monitorowanie, zapewniając kontrolę przy użyciu różnych źródeł informacji.

Najbardziej skuteczne zabezpieczenie

1. Monitorowanie aktywności klientów
   Większość ataków typu credential-stuffing można zidentyfikować na podstawie śladów, jakie pozostawiają w ruchu klientów. Ataki często pojawiają się jako skoki natężenia ruchu lub nieudane próby logowania. Nawet wyrafinowane ataki typu "credential-stuffing" mają sygnatury ataków, które można zidentyfikować poprzez analizę aktywności klientów. Większość firm powinna zatem wdrożyć procesy systematycznego monitorowania ruchu klientów.
   
   W większości przypadków monitorowanie powinno być przynajmniej częściowo zautomatyzowane, aby zapewnić spójne, porównywalne wskaźniki i całodobowy nadzór. Automatyzacja ta może składać się z procesu oprogramowania, który działa w tle i ostrzega odpowiedni personel, gdy zostanie osiągnięty pewien poziom odniesienia: na przykład, gdy liczba nieudanych prób logowania w określonym czasie przekroczy wcześniej zdefiniowany próg. W innych przypadkach odpowiednie będą bardziej zaawansowane techniki monitorowania.
   
   WAF i zewnętrzne usługi wykrywania botów mogą zapewnić skuteczne możliwości monitorowania, a także narzędzia, które mogą pomóc firmie w przeglądaniu ruchu klientów.
   
   Inne zabezpieczenia
   W większości przypadków poniższe zabezpieczenia same w sobie nie wystarczą do skutecznego wykrywania udanych ataków. Mogą one jednak stanowić skuteczne uzupełnienie innych środków kontroli bezpieczeństwa, takich jak systematyczne monitorowanie.
    
2. Monitorowanie zgłoszeń klientów dotyczących oszustw
   Zgłoszenia klientów dotyczące oszustw i nieautoryzowanego dostępu mogą wskazywać, że konta klientów były celem ataku polegającego na fałszowaniu danych uwierzytelniających. Przykładowo, ataki mogą być odzwierciedlone w liczbie zapytań dotyczących obsługi klienta otrzymywanych przez firmę. Wzorce w tym, co zgłaszają klienci - na przykład powtarzające się skargi klientów dotyczące skradzionych sald kart podarunkowych lub nieautoryzowanych zamówień złożonych na nierozpoznany adres - mogą również wskazywać na udane ataki typu^{credential-stuffing6}.
   
   Firmy powinny rozważyć systematyczne monitorowanie zgłoszeń klientów dotyczących oszustw i nieautoryzowanego dostępu w poszukiwaniu dowodów ataków. Może to obejmować na przykład regularny przegląd liczby przypadków oszustw w czasie w celu zidentyfikowania skoków lub innych wzorców. Firmy powinny również ustanowić jasne kanały komunikacji między obsługą klienta a personelem zajmującym się bezpieczeństwem informacji, aby jak najszybciej wykrywać i powstrzymywać ataki polegające na fałszowaniu danych uwierzytelniających.
    
3. Zawiadomienie o aktywności na rachunku
   Powiadamianie klientów o nietypowych lub istotnych działaniach na koncie może służyć kilku celom. Powiadomienie daje klientowi możliwość sprawdzenia swojego konta pod kątem nieautoryzowanych zakupów lub aktywności. Jeśli klient stwierdzi, że działanie było nieautoryzowane, może zgłosić je firmie. Firma może wtedy zarówno podjąć kroki w celu ochrony konta klienta, jak i wykorzystać raport, aby pomóc ustalić, czy nieautoryzowana aktywność była częścią szerszego ataku wpływającego na innych klientów.
   
   Firmy powinny zidentyfikować odpowiednie czynniki uruchamiające wysyłanie powiadomień. W wielu przypadkach klient powinien zostać powiadomiony o uzyskaniu dostępu do jego konta z nierozpoznanego urządzenia lub nowej lokalizacji. W niektórych przypadkach właściwe może być również powiadamianie klientów o istotnych zmianach na ich kontach, takich jak zmiana hasła lub adresu korespondencyjnego.
   
   Niska liczba oszustw zgłoszonych przez klientów nie jest wiarygodnym wskaźnikiem, że nie doszło do fałszowania danych uwierzytelniających. Niektórzy atakujący zarabiają na zainfekowanych kontach bez zwracania uwagi klientów.
    
4. Wywiad o zagrożeniach
   Po udanym ataku atakujący często udostępniają lub sprzedają dane kont klientów, które ukradli, lub dane logowania klientów, które zweryfikowali. Wiele zewnętrznych firm zajmujących się badaniem zagrożeń oferuje usługi, które monitorują kanały komunikacji online i fora w poszukiwaniu oznak naruszonych danych uwierzytelniających lub kont firmy. Cztery z firm, z którymi skontaktował się OAG, zgłosiły, że korzystały z usług firmy zajmującej się wywiadem zagrożeń w celu monitorowania Internetu pod kątem oznak naruszenia bezpieczeństwa kont klientów.

C. Zapobieganie oszustwom i niewłaściwemu wykorzystaniu informacji o klientach

Każda firma powinna posiadać skuteczne zabezpieczenia uniemożliwiające napastnikowi z dostępem do konta klienta dokonanie nieuczciwego zakupu z wykorzystaniem przechowywanych informacji o płatnościach lub kradzieży środków klienta.

Najbardziej skuteczne zabezpieczenie

1. Ponowne uwierzytelnienie w momencie zakupu
   Jednym z najskuteczniejszych zabezpieczeń uniemożliwiających atakującym nieuczciwe wykorzystanie przechowywanych informacji o płatnościach klientów jest ponowne uwierzytelnienie w momencie zakupu. W przypadku niektórych metod płatności, takich jak karty kredytowe, firmy zazwyczaj ponownie uwierzytelniają przechowywane informacje o płatności. Na przykład sprzedawcy internetowi często wymagają od klientów ponownego wprowadzenia numeru karty kredytowej lub kodu CVV, gdy zamówienie jest składane na nowy adres przy użyciu zapisanej karty kredytowej.
   
   W przypadku innych metod płatności, w tym kart podarunkowych, kredytów sklepowych i punktów lojalnościowych, firmy często ponownie uwierzytelniają klienta. Przykładowo, jedna z sieci restauracji wysyła swoim klientom kod uwierzytelniający, gdy klient wykorzystuje punkty lojalnościowe do złożenia zamówienia w lokalizacji sklepu, której klient wcześniej nie odwiedził. Następnie klient musi wprowadzić kod uwierzytelniający, aby sfinalizować zamówienie. Niezwykle ważne jest, aby firmy wymagały ponownego uwierzytelnienia dla każdej akceptowanej metody płatności. OAG napotykał na kolejne przypadki, w których atakujący byli w stanie wykorzystać luki w zabezpieczeniach przed oszustwami sprzedawców, dokonując zakupu przy użyciu metody płatności, która nie wymagała ponownego uwierzytelnienia.
   
   Firmy powinny również określić odpowiednie czynniki wyzwalające ponowne uwierzytelnienie. Jak wspomniano powyżej, wielu sprzedawców, którzy wysyłają lub dostarczają towary, wymaga ponownego uwierzytelnienia, gdy klient wprowadza nowy adres. Jednak ten wyzwalacz nie będzie odpowiedni dla wszystkich firm i sytuacji. Na przykład restauracja sieciowa, która pozwala klientom odbierać posiłki, może wymagać ponownego uwierzytelnienia, gdy zamówienie jest składane w restauracji, której klient wcześniej nie odwiedził.
   
   Inne zabezpieczenia
    
2. Wykrywanie oszustw przez osoby trzecie
   Niektóre firmy korzystają z usług stron trzecich w celu identyfikacji podejrzanych lub nieuczciwych transakcji. Te usługi wykrywania oszustw zazwyczaj działają poprzez analizę danych klientów i transakcji pod kątem oznak, że zakup jest nieautoryzowany. Chociaż usługi te mogą identyfikować i blokować niektóre nieuczciwe zakupy, same w sobie nie są na ogół tak skuteczne w ograniczaniu oszustw, jak podejścia oparte na ponownym uwierzytelnianiu. Ponadto wiele z tych usług jest w stanie analizować tylko transakcje kartami kredytowymi i nie można ich wdrożyć z innymi metodami płatności.
    
3. Łagodzenie skutków inżynierii społecznej
   W pewnych okolicznościach atakujący mogą ominąć skuteczne zabezpieczenia, manipulując lub oszukując przedstawicieli obsługi klienta za pomocą techniki znanej jako inżynieria społeczna. W jednym z wykrytych przez OAG przykładów atakujący byli w stanie wielokrotnie omijać MFA sprzedawcy internetowego, przekonując personel obsługi klienta do wysłania kodu uwierzytelniającego za pośrednictwem czatu wsparcia online, zamiast pocztą elektroniczną. Atakujący wykorzystywali kod uwierzytelniający do składania zamówień na nowy adres wysyłki przy użyciu przechowywanych informacji o karcie kredytowej klienta. W innym przykładzie atakujący ominęli ponowne uwierzytelnienie, które normalnie byłoby wymagane do dostawy na nowy adres, dzwoniąc do obsługi klienta i żądając dostawy na nowy adres po zakończeniu zakupu.
   
   Większość firm powinna opracować zasady, które przewidują ataki socjotechniczne i przeszkolić odpowiedni personel w zakresie tych zasad. W opisanych powyżej przykładach zasady, które zabraniały personelowi obsługi klienta ujawniania kodów uwierzytelniających za pośrednictwem czatu online lub przekierowywania zamówień bez ponownego uwierzytelnienia, prawdopodobnie ograniczyłyby oszukańcze transakcje. Firmy mogą przetestować skuteczność tych zasad i szkoleń poprzez symulowane ataki socjotechniczne.
    
4. Zapobieganie kradzieży kart podarunkowych
   Markowe karty o przechowywanej wartości, zwane również kartami podarunkowymi, mogą być atrakcyjnym celem dla atakujących. W przeciwieństwie do kart kredytowych, karty upominkowe nie są nierozerwalnie związane z konkretnym klientem, więc często mogą być używane przez każdego, kto je posiada. Co więcej, niektórzy sprzedawcy detaliczni zezwalają na przelewanie kart podarunkowych lub sald na kartach podarunkowych bezpośrednio z jednego konta klienta na drugie. Ponadto firmy w przeszłości stosowały słabsze środki w celu zabezpieczenia kart podarunkowych, zezwalając na ich przekazywanie i używanie bez ponownego uwierzytelniania klienta lub próby ustalenia, czy transakcja jest nieuczciwa. W rezultacie atakujący byli w stanie sprzedawać skradzione karty podarunkowe lub salda kart podarunkowych w ciemnej sieci, a nawet na legalnych stronach internetowych, które odsprzedają karty podarunkowe.
   
   Firmy powinny upewnić się, że utrzymują odpowiednie zabezpieczenia, aby zapobiec kradzieży kart o przechowywanej wartości i powiązanych z nimi środków. Co najważniejsze, przenoszenie kart podarunkowych między kontami klientów i przenoszenie środków między kartami podarunkowymi powinno być ograniczone lub wymagać ponownego uwierzytelnienia. Ponadto firmy powinny ukrywać numery kart podarunkowych, na przykład wyświetlając tylko cztery ostatnie cyfry numeru karty podarunkowej, podobnie jak w przypadku numeru karty kredytowej.

D. Reagowanie na incydenty

Każda firma powinna posiadać pisemny plan reagowania na incydenty, który obejmuje procesy reagowania na ataki polegające na fałszowaniu danych uwierzytelniających. Procesy te powinny obejmować co najmniej dochodzenie, środki zaradcze i^{zawiadomienie7.}

1. Dochodzenie
   Gdy firma ma powody, by sądzić, że konta klientów były celem ataku, powinna przeprowadzić dochodzenie w odpowiednim czasie. Dochodzenie powinno mieć na celu co najmniej ustalenie, czy dostęp do kont klientów został uzyskany bez autoryzacji, a jeśli tak, to których kont to dotyczyło i w jaki sposób atakujący byli w stanie ominąć istniejące zabezpieczenia.
   
   Skuteczne monitorowanie może znacznie skrócić czas i zasoby niezbędne do przeprowadzenia dochodzenia. Na przykład niektóre technologie wykrywania botów można skonfigurować tak, aby umożliwić szybką identyfikację kont klientów, które zostały dotknięte atakiem.
    
2. Remediacja
   Gdy firma ustali, że dostęp do kont klientów został uzyskany lub istnieje uzasadnione prawdopodobieństwo, że został uzyskany bez autoryzacji, powinna działać szybko, aby zablokować atakującym dalszy dostęp do kont. W większości przypadków wymaga to natychmiastowego zresetowania haseł do kont, które prawdopodobnie ucierpiały w wyniku ataków. W niektórych przypadkach właściwe może być również zamrożenie odpowiednich kont.
   
   W niektórych sytuacjach firma może nie być w stanie ustalić z całą pewnością, czy atakujący uzyskali dostęp do określonych kont lub danych. W takich przypadkach firma powinna traktować jako naruszone wszelkie konta lub dane, co do których istnieje uzasadnione prawdopodobieństwo, że zostały naruszone.
   
   Firma powinna również podjąć kroki w celu obrony przed podobnymi atakami w przyszłości, usuwając wszelkie luki w istniejących zabezpieczeniach, które atakujący wykorzystali do uzyskania dostępu do kont klientów.
    
3. Powiadamianie klientów
   W większości przypadków firmy powinny szybko powiadomić każdego klienta, do którego konta uzyskano dostęp lub istnieje uzasadnione prawdopodobieństwo, że uzyskano dostęp bez autoryzacji. Powiadomienie umożliwia klientom podjęcie kroków w celu ochrony, takich jak sprawdzenie swoich kont internetowych i powiązanych kont finansowych pod kątem oszustw oraz zabezpieczenie innych kont internetowych, które korzystają z tych samych naruszonych danych logowania.
   
   Powiadomienie powinno jasno i dokładnie przekazywać istotne informacje dotyczące ataku, które są odpowiednio zindywidualizowane dla klienta^.8 Wymagałoby to co najmniej ujawnienia, czy dostęp do konta konkretnego klienta został uzyskany bez autoryzacji, a bardziej ogólnie, czasu ataku, informacji o kliencie, do których uzyskano dostęp, oraz działań podjętych w celu ochrony klienta.
   
   W niektórych przypadkach właściwe może być skontaktowanie się z klientami przed zakończeniem dochodzenia. W takich przypadkach firma powinna ujawnić, że dochodzenie jest w toku i, w stosownych przypadkach, że niektóre ustalenia są wstępne i mogą ulec zmianie w miarę uzyskiwania dalszych informacji.

Wniosek

Gwałtowny wzrost zjawiska upychania danych uwierzytelniających nie wykazuje żadnych oznak osłabienia, napędzany przez stale rosnącą liczbę skradzionych danych uwierzytelniających, które są dostępne dla atakujących. Firmy mogą jednak znacznie złagodzić ryzyko wypychania danych uwierzytelniających dla swojej firmy i klientów, utrzymując kompleksowy program bezpieczeństwa danych z odpowiednią kombinacją środków cyberbezpieczeństwa.

¹ Digital Shadows, Od ekspozycji do przejęcia: The 15 billion stolen credentials allowing account takeover (2020), https://resources. digitalshadows.com/whitepapers-and-reports/from-exposure-to-takeover

² Akamai, Phishing for Finance (maj 2021), https://www.akamai.com/content/dam/site/en/documents/state-of-the-internet/soti-securityphishing- for-finance-report-2021.pdf

³ Ponemon Institute, The Cost of Credential Stuffing (2017)

⁴ Niniejszy przewodnik nie ma na celu zastąpienia istniejących federalnych lub stanowych praw lub przepisów dotyczących bezpieczeństwa danych.

⁵ Atakujący, którzy maskują źródło próby logowania, na przykład obracając się przez wiele adresów IP proxy, mogą często omijać kontrole ograniczające szybkość.

⁶ Niski wolumen oszustw zgłaszanych przez klientów nie jest wiarygodnym wskaźnikiem, że nie doszło do "credential stuffing". Niektórzy atakujący spieniężają skompromitowane konta bez przyciągania uwagi klientów.

⁷ Niniejszy dokument nie ma być kompleksowym przewodnikiem po reagowaniu na incydenty i obejmuje tylko te aspekty reagowania na incydenty, które są unikalne dla ataków typu credential stuffing.

⁸ W pewnych okolicznościach obowiązujące prawo federalne i stanowe może narzucić sposób, treść i termin powiadomienia. Niniejszy przewodnik powinien być interpretowany w sposób zgodny z tymi przepisami.