Refolosirea parolelor poate părea o scurtătură inofensivă – până când o singură breșă deschide calea către toate conturile dvs. Oricât de comodă este reutilizarea aceleiași parole pentru mai multe conturi, vă expune unor riscuri care pot avea un efect de domino asupra întregii dvs. experiențe digitale. Acest obicei (prost) alimentează amenințarea de tip credential stuffing, o tehnică prin care atacatorii preiau liste de credențiale expuse anterior și introduc sistematic combinațiile de user și parolă în câmpurile de logare ale diverselor servicii online. Iar dacă refolosiți aceleași date de acces pe mai multe conturi, o singură combinație compromisă le poate oferi atacatorilor acces la servicii online aparent fără legătură între ele.

Într-adevăr, credential stuffing este echivalentul digital al descoperirii unei chei universale care deschide casa, biroul și seiful – totul dintr-o singură mișcare. Găsirea acestei chei nu este deloc dificilă: poate fi obținută din breșe de date anterioare și piața neagră digitală sau prin utilizarea așa-numitului malware infostealer, care extrage datele de acces de pe dispozitive compromise și din browserele web.

Ce face ca atacurile de tip credential stuffing să fie atât de periculoase și eficiente?

O astfel de amenințare este extrem de profitabilă pentru atacatori din cauza obiceiului larg răspândit de a refolosi parolele pe mai multe conturi – inclusiv pe unele importante, precum serviciile de online banking, email, rețele sociale sau platforme de shopping. Pentru a ilustra cât de des întâlnit este acest comportament riscant, NordPass a publicat recent un sondaj care arată că 62% dintre americani recunosc că reutilizează o parolă „frecvent” sau „întotdeauna”.

Odată ce un atacator găsește date de autentificare într-un singur loc, le poate testa peste tot. Apoi, ar putea folosi boți sau instrumente automatizate pentru a „îndesa” (stuff) aceste date în formularele de autentificare sau în interfețele API, rotind uneori adresele IP și imitând comportamentul utilizatorilor legitimi pentru a rămâne sub radar.

Spre deosebire de atacurile de tip brute-force, în care atacatorii încearcă să ghicească o parolă folosind combinații aleatorii sau des folosite, credential stuffing este mai simplu: se bazează pe ceea ce utilizatorii înșiși sau serviciile online folosite de ei au expus deja, adesea cu ani în urmă. Totodată, spre deosebire de atacurile brute-force, unde încercările repetate de autentificare pot declanșa alarme, credential stuffing folosește date care sunt deja valide, astfel încât atacurile pot trece neobservate.

Deși fenomenul de credential stuffing nu este deloc nou, câteva tendințe recente au agravat problema. Volumul de malware de tip info‑stealer a explodat, sustrăgând în liniște datele de autentificare direct din browserele web, și poate reprezenta o amenințare chiar și pentru aplicațiile de tip manager de parole. În același timp, atacatorii pot folosi scripturi (asistate de AI) care simulează comportamentul uman normal și trec de sistemele de apărare anti-bot de bază, reușind astfel să testeze perechile de credențiale mult mai discret și la o scară mult mai mare.

Iată amploarea la care pot fi desfășurate atacurile de tip credential stuffing:
– În 2022, PayPal a raportat că aproape 35.000 de conturi ale clienților au fost compromise prin credential stuffing. Compania fintech în sine nu a suferit o breșă – atacatorii pur și simplu s-au folosit de credențiale provenite din scurgeri de date mai vechi și au accesat conturile utilizatorilor care refolosiseră aceleași parole pe mai multe platforme.
– Valul de atacuri din 2024 care a vizat clienții Snowflake a arătat o altă dimensiune a problemei. Serviciul de stocare și procesare a datelor nu a fost el însuși compromis, însă incidentul a afectat aproximativ 165 de organizații care îi erau clienți. Atacul a fost posibil după ce infractorii au folosit date de acces sustrase anterior prin intermediul malware-ului de tip infostealer pentru a accesa multiplele conturi Snowflake ale firmelor, unele victime primind ulterior cereri de răscumpărare pentru datele furate.

Cum vă protejați

Iată câțiva pași practici pentru a vă menține siguranța online:
– Nu reutilizați aceeași parolă pe mai multe site-uri sau servicii. Un manager de parole vă ajută să generați și să stocați parole puternice și unice pentru fiecare cont.
– Activați autentificarea în doi pași (2FA) ori de câte ori este posibil. Chiar dacă atacatorii vă cunosc parola, nu se vor putea autentifica fără al doilea factor.
– Fiți vigilent și verificați-vă conturile. Folosiți servicii precum haveibeenpwned.com pentru a vedea dacă emailul sau credențialele dvs. au fost expuse în breșe anterioare. Dacă da, schimbați imediat parolele, mai ales pentru conturile care stochează date sensibile.

Cum vă apărați organizația

În prezent, credential stuffing reprezintă un vector major pentru preluarea conturilor, fraude și furturi de date la scară largă în sectoare precum retail, finanțe, SaaS sau sănătate. Multe organizații încă se bazează exclusiv pe parole, iar autentificarea în doi pași (2FA) nu este întotdeauna aplicată în mod automat. Pentru a reduce riscurile, companiile ar trebui să limiteze încercările de autentificare eșuate, să folosească liste de permisiuni pentru rețea sau IP whitelisting, să monitorizeze activitatea de login neobișnuită, să implementeze sisteme de detectare a boților sau CAPTCHA pentru a bloca abuzurile automatizate.

În plus, multe organizații trec acum la autentificări fără parolă, cum sunt cheile de acces (passkeys), care fac atacurile de tip credential stuffing practic inutile. Cu toate acestea, adoptarea rămâne neuniformă, iar obiceiurile vechi dispar greu; prin urmare, nu este de mirare că acest tip de atac continuă să ofere un randament ridicat pentru atacatori, cu un minimum de efort.

În același timp, milioane de credențiale compromise rămân valide mult timp după o breșă, mai ales când utilizatorii nu își schimbă parolele. De aceea, credential stuffing este o metodă cu costuri reduse, ușor de scalat și constant eficientă pentru infractorii cibernetici.

Concluzii

Credential stuffing este o tehnică de atac surprinzător de simplă, ieftină și scalabilă. Funcționează deoarece ne folosește propriile obiceiuri proaste împotriva noastră și subminează sistemele de protecție învechite. Dacă nu doriți să renunțați complet la parole, riscul de spargere a conturilor poate fi neutralizat prin practici de utilizare a parolelor bine gândite. Acestea nu sunt opționale – ele trebuie să devină practici standard.