- Sme frustrovaní z hesiel. Pozdávajú sa vám passkeys?
- 75 centov sú náklady na kybernetický útok!
- Ľudská prevádzka na internete klesá. „Zlé“ boty tam majú čoraz viacej práce
- Pohovorme si o tom, ako softvér sleduje zamestnancov. Téma je to delikátna
- Únia zvyšuje požiadavky v kybernetickej bezpečnosti. Už teraz ukázala záťažové testy a simuláciu incidentu na európskej úrovni
- Úniky údajov v zdravotníctve? Kybernetické útoky, ale aj neporiadok
- Je tu škandál s mega únikom údajov. Vynára sa hrozivé podozrenie
- Kybernetický zločin mení usporiadanie sveta. Tieto trendy si pamätajte
- Bezpečnostné agentúry bijú na poplach. AI boostuje kyberzločin nečakaným spôsobom
- Postkvantové šifrovanie už teraz? A v našom smartfóne? Zajtra už bude neskoro
- Čo znamená v kyberbezpečnosti, že „obuvníkove deti chodia bosé“? Microsoft vie
- Pätica globálnych rizík to potvrdzuje: Z technológií sa stávajú – zbrane
- Prvú vládu prechádza trpezlivosť: Zákaz SIM fariem!
- Plánujete si budúcnosť? V kyberbezpečnosti sa točia veľké peniaze – ak niečo viete
- Umelá inteligencia hazarduje s vaším súkromím: Bard ide na prevýchovu
- Hackni si satelit! A ak by si na to nemal rozpočet, tak aspoň železnice
- Viete, ako si kyberzločinci vykrmujú prasiatko?
- Európski vyšetrovatelia hackli nedotknuteľnú šifrovanú sieť. Úlovok je mega
- Že je niečo šifrované, ešte to neznamená, že je to tajné
- Že online fraudy rastú, nie je prekvapivé. Pozoruhodné je, ako sa to deje.
- Médiá sa nadchýnajú útokmi, profesionáli zraniteľnosťami. Lebo o tom je kyberzločin
- Umelá inteligencia sa stále zlepšuje, lebo ju kŕmime všetci. A kyberbezpečnosť sa otriasa v základoch
- Internetové blackouty. Ďalší nový normál?
- Čo nás čaká v kyberbezpečnosti: viac útokov, umelá inteligencia a zrýchlenie
05/2023
Report bezpečnosti
Že online fraudy rastú, nie je prekvapivé. Pozoruhodné je, ako sa to deje.
Online podvody alebo, ak chcete, online fraudy za posledné roky rastú a ich záber sa výrazne mení. Už dávno to nie sú len ukradnuté kreditné karty a bankové účty. Tu už hovoríme o ohrození webových aplikácií, na ktorých stojí postpandemický svet. A pripomíname, že automatizované útočné nástroje sú drajvované umelou inteligenciou či strojovým učením.
Zločinci expandovali do online priestoru, a tak výška škôd rastie. Federálna obchodná komisia (FTC) uvádza, že v roku 2022 spotrebitelia nahlásili ujmu takmer 8,8 miliardy dolárov v dôsledku digitálnych podvodov, čo predstavuje nárast viac ako 30 percent v porovnaní s predchádzajúcim rokom.
Určite by sa to dalo lepšie minúť
Podľa výročnej správy FBI o internetovej kriminalite sa v roku 2022 v dôsledku online podvodov „stratilo“ 10,6 miliardy dolárov. V porovnaní so stratami vo výške 6,9 miliardy dolárov v roku 2021 ide o nárast o 46 percent.
Drastický medziročný rast o viac ako 3,5 miliardy dolárov spôsobili najmä podvody s kryptomenami. Správa uvádza, že investičné podvody boli celkovo najnákladnejšou schémou. Podvody simulujúce call centrá predstavovali celkové straty viac ako 1 miliardu dolárov. Z tejto miliardy patrilo 724 miliónov dolárov obetiam vo veku viac ako 60 rokov.
Podvody na báze Business email compromise predstavovali straty 2,7 miliardy dolárov. Sem patri zneužitie biznisových e-mailových adries používateľov a následný pokus s využitím techník sociálneho inžinierstva na oklamanie obete, aby previedla finančné prostriedky. A aj keď ransomvérové útoky v roku 2022 klesli, stále predstavovali straty vo výške 34,3 milióna dolárov.
Autori správy však upozorňujú, že uvedené údaje pochádzajú z viac ako 800-tisíc sťažností podaných v roku 2022. Čísla sú preto pravdepodobne ešte vyššie, pretože časť obetí podvodov útoky a škody neoznámi.
Sumarizácia našich slabých stránok
Je čoraz viac digitálnych transakcií, za ktoré sa môžu útočníci vydávať, viac účtov, ktoré sa dajú ukradnúť, viac príležitostí zneužitia, či už ide o online bankovníctvo, nákupy na webe alebo podávanie daňových priznaní.
Plocha hrozieb sa exponenciálne rozšírila používaním smartfónov, mobilných zariadení a internetu vecí. Navyše tieto mobilné zariadenia ani aplikácie sociálnych médií nie je ľahké zabezpečiť.
Taktiky botových útokov sú kreatívne a vyvíjajú sa. Takzvané prelomenie hesla hrubou silou je už pomerne dostupné masám útočníkov a spôsoby ochrany sa stále zlepšujú. Technika credential stuffing je však pri prienikoch omnoho sofistikovanejšia a využíva automatizované testovanie prihlasovacích údajov, ktoré pochádzajú z uniknutých databáz.
Zločinecké gangy sú dobre organizované a ich operácie sú často riadené rovnako ako legálne podniky. Očakáva sa, že používanie pokročilých nástrojov a automatizovaných útokov, ako sú botnety a malvér, v roku 2023 bude rásť, keďže služby Fraud as a Service sú ľahko dostupné na dark webe.
Ako fungujú útoky typu credential stuffing
Útočné gangy nakúpia používateľské účty, ktoré pochádzajú z únikov, prenajmú si infraštruktúru botov na automatizáciu útokov a v ďalšej etape sa sústreďujú na vektor útoku.
Credential stuffing je metóda kybernetického útoku, pri ktorej útočníci používajú zoznamy kompromitovaných používateľských účtov na prienik do systému. Na rozdiel od ostatných útokov útočník sa v tomto prípade nesnaží uhádnuť správne heslo od konkrétneho účtu. Práve naopak, spolieha sa na to, že ľudia často používajú rovnaké prihlasovacie mená a heslá na viacerých stránkach a do viacerých aplikácií.
Útok využíva masívne nasadenie botov, ktoré sa pokúšajú o prienik do firemných a bankových aplikácií. Bot tu proste dostane jednoduchý príkaz: „Napĺňaj prihlasovací formulár z databázy existujúcich účtov“ a systematicky a opakovane to všade skúša. Štatistiky ukazujú, že približne 0,1 percenta pokusov o narušenie vyústi do úspešného prihlásenia.
Útočník monitoruje úspešné prihlásenia a získava osobné údaje alebo iné cenné údaje z kompromitovaných účtov. Bot si uchováva informácie o účte na budúce použitie, napríklad na phishingové útoky alebo iné transakcie umožnené kompromitovanou službou.
Credential stuffing je rastúcim vektorom hrozby z dvoch hlavných dôvodov
- Široká dostupnosť databáz prihlasovacích údajov či používateľských účtov
Napríklad databáza Collection #1-5 otvorene sprístupnila hackerskej komunite 22 miliárd kombinácií používateľských mien a hesiel.
- Čoraz sofistikovanejšie boty
Čo odlišuje credential stuffing a útoky hrubou silou
- Útoky hrubou silou sa pokúšajú uhádnuť prihlasovacie údaje bez kontextu pomocou náhodných reťazcov, bežne používaných vzorov hesiel alebo slovníkov bežných fráz.
- Útoky hrubou silou sú úspešné, ak majú používatelia jednoduché, uhádnuteľné heslá.
- Pri útokoch hrubou silou chýba kontext a údaje z predchádzajúcich narušení, a preto je ich úspešnosť prihlásenia oveľa nižšia.
Vo webovej aplikácii so základnými bezpečnostnými opatreniami útoky hrubou silou pravdepodobne zlyhajú, zatiaľ čo útoky typu credential stuffing môžu byť úspešné. Aj keď si zamestnávatelia alebo služby vynútia silné heslá, používatelia heslo zdieľajú medzi službami, čo v prípade narušenia vedie ku kompromitácii všetkých služieb naraz.
Záverom? Neprepadáme panike
Odhaduje sa, že v roku 2023 bude ukradnutých viac ako 33 miliárd osobných údajov. Neprepadajte depresii, organizácie nie sú pri ochrane digitálnej infraštruktúry úplne bezmocné. Rastúca agresia so sebou prenáša tlak na to, aby bol kód pre počítačové a mobilné aplikácie zašifrovaný s náležitou silou.
* Poznámka: Bezhlavičkový prehliadač je webový prehliadač, ktorý nie je nakonfigurovaný s grafickým používateľským rozhraním – GUI. Väčšinou ho používajú softvéroví inžinieri na testovanie, pretože prehliadače bez GUI fungujú rýchlejšie, keďže nemusia vykresľovať vizuálny obsah.
Zdroje
Lexis Nexis: Future Fraud Trends 2023
Cybercompetence: Credential Stuffing
Preemptive: Shocking Hacks That´ve Already Happened in 2023
Forbes: Cybersecurity Trends & Statistics for 2023; What You Need To Know
Imperva: Mitigating account takeover