कैसे क्रेडेंशियल स्टफिंग आपकी कंपनी को धमकाता है ... और इसे कैसे रोकें

एक दशक पहले साइबर स्पेस की दुनिया में मुश्किल से एक झटके के साथ, 2018 में कुछ महीनों के भीतर, "क्रेडेंशियल स्टफिंग" ने संयुक्त राज्य अमेरिका में 2.8 बिलियन के स्वचालित बॉट हमलों का सामना किया।

यह प्रति दिन 115 मिलियन से अधिक लॉगिन प्रयासों के बराबर है!

एक स्नोबॉल प्रभाव के कारण एक क्रेडेंशियल स्टफिंग हमले के तहत कई साइटों या खातों पर नुकसान पहुंचाया जा सकता है। उदाहरण के लिए, जब कोई पासवर्ड का पुन: उपयोग करता है या अन्य अनुप्रयोगों के लिए पासवर्ड की भिन्नता का निर्माण करता है, तो एक हैकर इन पर अनुमान लगा सकता है, जिससे कई हैकिंग आसान हो जाती है।

जब हैकर्स संगठनों से लॉगिन और ग्राहक खातों को हाइजैक करने के लिए क्रेडेंशियल्स का उपयोग करते हैं, तो न केवल कंपनी को राजस्व हानि और ब्रांड क्षति का सामना करना पड़ेगा, बल्कि उनके ग्राहक भी कर सकते हैं।

इस ब्लॉग में, हम आपको क्रेडेंशियल दुरुपयोग जीवन चक्र के माध्यम से चलेंगे और हमलों का जवाब देने और आपके व्यवसाय को नुकसान को कम करने के सर्वोत्तम तरीकों पर चर्चा करेंगे।

पहली चीजें पहले।

क्रेडेंशियल स्टफिंग क्या है?

क्रेडेंशियल स्टफिंग एक अपेक्षाकृत नया शब्द है। यह चोरी की गई साख की एक सूची का उपयोग करने की विधि का वर्णन करता है जिसे सुरक्षा उल्लंघनों के दौरान हासिल किया गया था। इन चुराए गए उपयोगकर्ता आईडी और पासवर्ड का उपयोग करके, एक अपराधी कई साइटों तक पहुंच सकता है, आमतौर पर स्वचालित टूल के माध्यम से।

परिणाम?

साइबर अपराधियों ने कंपनियों और उनके ग्राहकों के खातों को अपने कब्जे में ले लिया और व्यापक धोखाधड़ी की।

यदि आप एक संगठन हैं, तो ब्रेंट फोर्स अटैक के रूप में क्रेडेंशियल स्टफिंग के बारे में सोचें जो घुसपैठ करने वाले खातों पर ध्यान केंद्रित करता है। एक हैकर को ऐसा करने के लिए कौशल की आवश्यकता होती है (या किसी अन्य कुशल हैकर से सॉफ़्टवेयर)। एक बार जब कोई हैकर वेब एप्लिकेशन में जाता है, तो वे एक कंपनी के डेटाबेस को खोल सकते हैं जो लाखों उपयोगकर्ता नाम, पासवर्ड और अन्य व्यक्तिगत रूप से पहचाने जाने योग्य जानकारी को ले जाता है।

एक हैकर को वह सभी डेटा मिलने के बाद, वे अनगिनत लोगों को बड़ी क्षति पहुंचाते हैं। जब आप हमले के लिए तैयार नहीं होते हैं तो क्या होता है?

क्रेडेंशियल स्टफिंग के विनाशकारी प्रभाव:

  • बढ़ी हुई सुरक्षा लागत
  • डाउनटाइम से राजस्व खो दिया
  • विमुद्रीकरण लागत और शुल्क
  • कॉल सेंटर और आईटी पर तनाव
  • ग्राहक अविश्वास और मंथन

जैसा कि आप देख सकते हैं, जब कोई व्यवसाय चोरी की साख से पीड़ित होता है, तो यह उन्हें महंगा पड़ सकता है। वास्तव में, यह बताया गया है कि संयुक्त राज्य अमेरिका में, क्रेडेंशियल स्टफिंग में प्रति वर्ष $ 5 बिलियन से अधिक का कारोबार होता है। इसके अलावा, साइबर अपराधियों ने एक कंपनी के संसाधनों और भंडार को भी चुरा लिया है जिसे कहीं और खर्च किया जाना चाहिए।

हालिया हमलों के उदाहरण

नई कमजोरियों और दैनिक शोषण की खोज के साथ, यह स्पष्ट है कि साइबर हमले बढ़ रहे हैं। विभिन्न उदाहरणों से पता चलता है कि प्रत्येक हमला पिछले की तुलना में अधिक परिष्कृत है। आइए कुछ हालिया उदाहरणों को देखें:

  • 24 जुलाई, 2019 को, ब्रिटिश टेल्को स्काई ने घोषणा की कि एक विश्वसनीय भराई हमले के कारण ग्राहक खातों को बंद कर दिया गया था। सुरक्षा एहतियात के तौर पर, स्काई ने ग्राहकों को एक मल्टी-प्रोसेस अनलॉक-एंड-रीसेट प्रक्रिया का पालन करने के लिए कहा।
  • 2019 की पहली तिमाही में, नेटफ्लिक्स, हुलु और स्पॉटिफ़ जैसी लोकप्रिय स्ट्रीमिंग सेवाओं से लगभग एक मिलियन खातों की बिक्री के लिए सिडनी के एक व्यक्ति को ऑस्ट्रेलियाई संघीय पुलिस ने गिरफ्तार किया था।
  • डंकिन 'डोनट्स (एके डंकिन') ने फरवरी 2019 में एक सुरक्षा अधिसूचना जारी की जिसमें कहा गया था कि उनके डीडी पर्कस पुरस्कार कार्यक्रम के उपयोगकर्ताओं को तोड़ दिया गया था और हैकर्स के पास ग्राहक खातों तक पहुंच हो सकती है। इस लोकप्रिय श्रृंखला के लिए इसने तीन महीने में दूसरा हमला किया।
  • अमेरिकी बीमा कंपनी, स्टेट फार्म, को भी 2019 में एक विश्वसनीय भराई का दौरा पड़ा। कंपनी ने खुलासा किया कि हैकर ग्राहक खातों से कई वैध उपयोगकर्ता नाम और पासवर्ड की पुष्टि करने में सक्षम था।

क्रेडेंशियल स्टफिंग अटैक्स का पता कैसे लगाएं

स्वचालित क्रेडेंशियल चोरी में वृद्धि इंगित करती है कि यह अब एकल-हमलावर ऑपरेशन नहीं है। आज, हैकर्स हजारों कमांड का संचालन करने के लिए बॉट की सेना भेजते हैं, जिसके परिणामस्वरूप लाखों डेटा चोरी होते हैं। लेकिन यह खराब हो जाता है। जिसे "उल्लंघनों का सबसे बड़ा संग्रह" कहा जाता है, उसे अरबों चुराए गए रिकॉर्डों को हैकर मंचों पर मुफ्त में संकलित और साझा किया गया। इसमें याहू और लिंक्डइन के डेटा शामिल थे।

तो, आप बॉट हमलों का पता कैसे लगा सकते हैं? यहां चेतावनी के संकेत दिए गए हैं।

  • सीमित समय सीमा के भीतर, कई खातों पर कई लॉगिन प्रयासों जैसे साइट ट्रैफ़िक में परिवर्तन की जाँच करें।
  • कभी भी उन मामलों का उपयोग न करें, जहां आप सामान्य से अधिक लॉगिन विफलता की गवाह हैं।
  • साइट ट्रैफ़िक में वृद्धि के कारण दर्ज किए गए किसी भी डाउनटाइम के बारे में जानकारी रखें।

लेकिन सावधान: ये बॉट डिटेक्शन तकनीक 100% प्रभावी नहीं हैं। आपको इन क्रेडेंशियल-चोरी बॉट्स को रोकने के लिए अतिरिक्त सुरक्षा-बॉट स्क्रीनिंग की आवश्यकता होगी।

बॉट स्क्रीनिंग आपके उपकरणों पर मैलवेयर का पता लगाने के लिए एक परिष्कृत स्क्रीनिंग तकनीक है।

यह बॉट गतिविधि के गप्पी संकेत जैसे प्रयासों की संख्या, विफलताओं की संख्या, असामान्य स्थानों से पहुंच प्रयासों, असामान्य ट्रैफ़िक पैटर्न और असामान्य गति की निगरानी करने के लिए बनाया गया है।

सौभाग्य से, आप एक मजबूत ग्राहक पहचान और पहुंच प्रबंधन समाधान (CIAM) में बॉट का पता लगा लेंगे। एक CIAM प्लेटफ़ॉर्म डिवाइस प्रमाणीकरण और ग्राहक डेटा सुरक्षा भी प्रदान करेगा।

कैसे क्रेडेंशियल स्टफिंग काम करता है

पागलपन के पीछे के तरीकों को जानना चाहते हैं? संक्षेप में, यहाँ एक हैकर प्रक्रिया है:

  • हैकर को चुराया गया डेटा: अपराधी सार्वजनिक वेबसाइटों और डार्क वेब पर डेटा साझा या बेचते हैं।
  • हैकर डेटा का उपयोग करता है: चोरी हुए पासवर्ड और उपयोगकर्ता नाम का उपयोग करते हुए, हैकर्स वेबसाइट लॉगिन का प्रयास करते हैं।
  • हैकर लक्ष्य प्राप्त करता है: किसी पीड़ित की साइट तक पहुंच प्राप्त करने के बाद, हैकर्स को अधिक हमलों के लिए, या बेचने के लिए अधिक मूल्यवान जानकारी मिलती है।

एक हैकर का टूलबॉक्स

आइए इस पर गौर करें कि हैकर्स अपने गंदे कामों के लिए क्या उपयोग करते हैं।

चरण 1: एक कॉम्बो सूची डाउनलोड करें

कॉम्बो सूची पिछले दिनों किए गए कॉर्पोरेट डेटा उल्लंघनों से प्राप्त लीक क्रेडेंशियल्स की एक संयुक्त सूची है। ये अक्सर हैकिंग समुदायों के भीतर मुफ्त में उपलब्ध होते हैं या भूमिगत बाजारों में बिक्री के लिए सूचीबद्ध होते हैं।

चरण 2: एक क्रेडेंशियल स्टफिंग टूल अपलोड करें

परिष्कृत हैकर्स प्लग इन या टूल्स को विकसित करते हैं जिन्हें अकाउंट चेकर टूल कहा जाता है। इनमें कस्टम कॉन्फ़िगरेशन होते हैं जो एक लक्षित वेबसाइट के खिलाफ उपयोगकर्ता नाम / पासवर्ड जोड़े (यानी "क्रेडेंशियल्स") की सूचियों का परीक्षण कर सकते हैं। हैकर्स एक-एक करके या एक ही समय में सैकड़ों साइट्स को हिट करने वाले टूल्स के जरिए साइट्स पर हमला कर सकते हैं।

चरण 3: खातों का विश्लेषण और उपयोग करें

हैकर्स वित्तीय खातों में सफलतापूर्वक लॉग इन करने के लिए खाता-जाँच सॉफ़्टवेयर का उपयोग करते हैं।

चरण 4: खातों से निर्यात परिणाम

मेल मिल गया। आगे क्या होगा? जब एक मैच पाया जाता है, तो वे आसानी से पीड़ित के खाते की शेष राशि देख सकते हैं और नकद, इनाम अंक और / या आभासी मुद्राओं तक पहुंच प्राप्त कर सकते हैं।

चरण 5: धन की चोरी और पहुंच को फिर से बेचना

क्योंकि हैकर्स वास्तविक उपयोगकर्ता क्रेडेंशियल्स का उपयोग करते हैं, वे अवांछित पहुंच प्राप्त करते हैं। निम्न प्रकार पूर्ण खाता अधिग्रहण है। इसके बाद, हमलावर सेकंड में खाते को खाली कर सकता है और / या अन्य साइबर अपराधियों तक पहुंच को पुनर्विक्रय कर सकता है।

क्रेडेंशियल स्टफिंग को कैसे रोकें

इन हमलों को रोकना संभव है। इन युक्तियों का पालन करके अपनी कंपनी को सुरक्षित रखें और ग्राहक डेटा की सुरक्षा करें।

बॉट से वास्तविक उपयोगकर्ताओं को अलग करने के सबसे प्रभावी तरीकों में से एक कैप्चा के साथ है। यह बुनियादी हमलों के खिलाफ रक्षा प्रदान कर सकता है।

लेकिन सावधान रहना: कैप्चा को हल करना भी स्वचालित हो सकता है। ऐसे व्यवसाय हैं जो उन ट्रैफ़िक प्रकाश चित्रों पर क्लिक करके कैप्चा को हल करने के लिए लोगों को भुगतान करते हैं।

इस समस्या से निपटने के लिए, बाजार में reCAPTCHA के रूप में एक नई सेवा जारी की गई है। आप तीन उपलब्ध संस्करणों के बीच चयन कर सकते हैं:

  • क्लासिक "मैं एक रोबोट नहीं हूँ" चेकबॉक्स
  • एक "अदृश्य" बॉक्स, केवल संदिग्ध उपयोगकर्ताओं के लिए प्रदर्शित किया जाता है
  • एक "V3" जो प्रतिष्ठा और व्यवहार पर उपयोगकर्ताओं का मूल्यांकन करता है

दो-कारक या बहु-कारक प्रमाणीकरण (2FA या MFA) खाता हैक का 99.9% ब्लॉक करता है। दो में से, एमएफए अधिक मजबूत है क्योंकि यह उपयोगकर्ता पहचान को सत्यापित करने के लिए अधिक तरीकों का उपयोग करता है। यह क्रेडेंशियल स्टफिंग हमलों को रोकने में एमएफए को बेहतर बनाता है।

यहां बताया गया है कि दो-कारक और बहु-कारक प्रमाणीकरण कैसे काम करते हैं: एक ग्राहक अपने पासवर्ड में प्रवेश करता है, और फिर एक्सेस दिए जाने से पहले अपनी पहचान को फिर से सत्यापित करना चाहिए। 2FA का एक सामान्य उदाहरण आपके फ़ोन पर एक बार कोड प्राप्त करना और पहचान प्रमाणित करने के लिए इसका उपयोग करना है। जबकि एमएफए के साथ, ग्राहक को टेक्स्ट संदेश के माध्यम से एक कोड मिल सकता है, साथ ही एक ईमेल भी, जो इस बात पर निर्भर करता है कि आपकी कंपनी कैसे सेट करती है।

इस कारण से, मल्टी-फैक्टर या टू-फैक्टर ऑथेंटिकेशन हैकर्स के लिए क्रेडेंशियल स्टफिंग अटैक को अंजाम देना बेहद मुश्किल हो जाता है। आप एक हैकर को जितनी अधिक बाधाएँ देंगे, आपकी साइट उतनी ही सुरक्षित होगी।

अपने सभी पासवर्ड इनपुट फ़ील्ड के लिए, लंबाई, वर्ण या विशेष वर्ण सत्यापन जैसे पासवर्ड जटिलता नियम सेट करें। यदि ग्राहक का पासवर्ड डेटा ब्रीच से मेल खाता है, तो उन्हें नया पासवर्ड बनाने के लिए चेतावनी मिलनी चाहिए। इसी तरह, ग्राहकों को उनकी पासवर्ड बनाने की प्रक्रिया के दौरान मजबूत पासवर्ड बनाने के टिप्स दें।

फेसबुक और Google जैसे दिग्गजों ने ऐसी टीमों को नियुक्त किया है जो नवीनतम लीक की तलाश करते हैं और उपयोगकर्ताओं को समान क्रेडेंशियल्स के साथ सूचित करते हैं। यदि आप भी ऐसा ही करना चाहते हैं, तो एक अंतर्निहित पासवर्ड मैनेजर के साथ ग्राहक की पहचान और एक्सेस मैनेजमेंट (CIAM) सॉफ्टवेयर देखें।

ईमेल पते और उपयोगकर्ता आईडी समान नहीं होनी चाहिए। जब एक उपयोगकर्ता नाम केवल एक ईमेल होता है, तो हमलावर इसे आसानी से समझ सकता है। अब उन्हें बस इतना करना है कि पासवर्ड को क्रैक करें-और उन्हें इसे करने के लिए क्रेडेंशियल्स मिल गए हैं।

मूल रूप से, उपयोगकर्ता नाम के लिए ईमेल का उपयोग करना हैकर के काम को बहुत आसान बना देता है। यही कारण है कि आपकी कंपनी की साइट पर, या न्यूज़लेटर्स और सोशल मीडिया में सामग्री रखना बुद्धिमान है, जो आपके ग्राहकों को पासवर्ड सुरक्षा पर सुझाव देते हैं।

जोखिम-आधारित प्रमाणीकरण (RBA) नियमों के पूर्वनिर्धारित सेट के आधार पर जोखिम स्कोर की गणना करता है। ये एक लॉगिन डिवाइस, आईपी प्रतिष्ठा, उपयोगकर्ता पहचान विवरण, जियोलोकेशन, जियो वेलोसिटी, व्यक्तिगत विशेषताओं, डेटा संवेदनशीलता, या विफल प्रयासों के पूर्व निर्धारित राशि से संबंधित होंगे। उच्च-जोखिम वाले परिदृश्यों के मामले में, आपको इस अनुकूलन पासवर्ड सुरक्षा समाधान का उपयोग करने पर विचार करना चाहिए।

जैसा कि आपने जोखिम-आधारित प्रमाणीकरण के साथ देखा है, जब उपयोगकर्ता किसी भी नियम को तोड़ते हैं, तो संगठन अस्थायी खाता लॉकआउट बना सकते हैं। हालाँकि, क्या आप जानते हैं कि एक बार हैक करने के बाद हैकर्स आपको अपने संसाधनों तक पहुंचने से भी वंचित कर सकते हैं। इसीलिए कंपनियां किसी खाते में सुरक्षित पहुंच के लिए वैध उपयोगकर्ता को प्रमाणित करने के लिए पासवर्ड रहित प्रमाणीकरण का उपयोग करती हैं।

फ़िंगरप्रिंटिंग डेटा के संयोजन को इकट्ठा करने की तकनीक है, जिसे जब पूरे के रूप में उपयोग किया जाता है, तो कहीं और नकल नहीं की जा सकती। सामान्य फ़िंगरप्रिंटिंग लाइब्रेरी हैं जहां आप क्लाइंट-साइड टेलीमेट्री एकत्र कर सकते हैं और तुरंत उन पर काम करना शुरू कर सकते हैं।

इस डेटा के साथ, आप ट्रैफ़िक के बड़े स्लाइस में क्लाइंट समानताएँ मैप कर सकते हैं और संदिग्ध पैटर्न के साथ आ सकते हैं जिन्हें आपने अनदेखा कर दिया होगा, अन्यथा।

निष्कर्ष

क्रेडेंशियल स्टफिंग प्रदर्शन करना आसान है, इसलिए अपराधियों के साथ इसकी लोकप्रियता समय के साथ बढ़ेगी। यहां तक ​​कि अगर आपका व्यवसाय अभी तक प्रभावित नहीं हुआ है, तो आपको अपनी वेबसाइट की सुरक्षा करनी चाहिए और उन सभी लाल झंडों को देखना चाहिए जिन्हें हमने इस ब्लॉग में सूचीबद्ध किया है।

यदि आप क्रेडेंशियल स्टफिंग को रोकने में मदद के लिए समाधान ढूंढ रहे हैं, तो LoginRadius में देखें। हमारे मंच को तैनात करना आसान है और जोखिम-आधारित प्रमाणीकरण, बॉट डिटेक्शन, मल्टी-फैक्टर प्रमाणीकरण और अन्य सुरक्षा उपायों सहित मजबूत सुरक्षा प्रदान करता है। हम Google प्रमाणक के साथ भी एकीकरण करते हैं।

मूल रूप से https://www.loginradius.com पर प्रकाशित।