1,1 triệu tài khoản bị tấn công được tìm thấy tại 17 công ty lớn

Các tài khoản trở thành nạn nhân của các cuộc tấn công nhồi nhét thông tin xác thực (Credential-stuffing) – Theo New York State AG.

 

Theo một cuộc điều tra của bang New York, đã có hơn 1,1 triệu tài khoản trực tuyến bị xâm nhập trong một loạt các cuộc tấn công nhồi nhét thông tin xác thực chống lại 17 công ty khác nhau.

Các cuộc tấn công nhồi nhét thông tin xác thực, chẳng hạn như cuộc tấn công vào Spotify năm ngoái, sử dụng các tập lệnh tự động để thử số lượng lớn tên người dùng và kết hợp mật khẩu chống lại các tài khoản trực tuyến nhằm chiếm lấy chúng. Sau khi xâm nhập, tội phạm mạng có thể sử dụng các tài khoản bị xâm nhập cho các mục đích khác nhau: Như một điểm xoay (pivot point) để thâm nhập sâu hơn vào máy và mạng của nạn nhân; để rút cạn tài khoản của thông tin nhạy cảm (hoặc giá trị tiền tệ); và nếu đó là tài khoản email, chúng có thể mạo danh nạn nhân để tấn công người khác.

Các cuộc tấn công như vậy thường thành công nhờ sử dụng lại mật khẩu và sử dụng mật khẩu phổ biến/ dễ đoán như “123456.” Và chúng rất tốn kém: Báo cáo Chi phí nhồi nhét thông tin xác thực của Viện Ponemon cho thấy rằng các doanh nghiệp mất trung bình 6 triệu đô la mỗi năm cho việc nhồi nhét thông tin xác thực dưới dạng thời gian ngừng hoạt động của ứng dụng, mất khách hàng và tăng chi phí CNTT.

“Với hơn 8,4 tỷ mật khẩu trong tự nhiên và hơn 3,5 tỷ mật khẩu gắn với địa chỉ email thực tế, nó cung cấp điểm khởi đầu và nguồn tấn công dễ dàng cho tội phạm mạng nhằm vào các trang web trực tuyến khác nhau sử dụng tài khoản cho khách hàng của họ.” James McQuiggan – người ủng hộ nhận thức về bảo mật tại KnowBe4, cho biết qua email. “Những kiểu tấn công này cung cấp quyền truy cập vào thông tin cá nhân về người dùng, thông tin thuế của họ và tất nhiên là cả số an sinh xã hội của họ, có thể là gia đình ruột thịt của họ. Ngoài ra, tội phạm mạng nhận ra rằng nhiều tổ chức hoặc người dùng sẽ không thực hiện các biện pháp bảo mật bổ sung và sử dụng cùng một mật khẩu trên các tài khoản trang web khác nhau”.

Để xem xét mức độ của vấn đề, Văn phòng AG đã bắt tay vào kiểm tra hoạt động kéo dài nhiều tháng trong các diễn đàn tội phạm mạng ngầm dành riêng cho việc nhồi nhét thông tin xác thực.

“OAG đã tìm thấy hàng nghìn bài đăng chứa thông tin đăng nhập của khách hàng mà những kẻ tấn công đã kiểm tra trong một cuộc tấn công nhồi nhét thông tin xác thực và xác nhận có thể được sử dụng để truy cập tài khoản khách hàng tại các trang web hoặc trên ứng dụng.” theo một tuyên bố truyền thông.

17 tổ chức bị ảnh hưởng là “các nhà bán lẻ trực tuyến nổi tiếng, chuỗi nhà hàng và dịch vụ giao đồ ăn.” văn phòng cho biết thêm.

OAG đã thông báo cho các công ty liên quan để có thể đặt lại mật khẩu và người tiêu dùng có thể được thông báo. Các cuộc điều tra nội bộ của chính các công ty cho thấy hầu hết các cuộc tấn công trước đây chưa được phát hiện, vì vậy gần như tất cả các công ty đã triển khai hoặc lập kế hoạch triển khai các biện pháp bảo vệ bổ sung, bao gồm: dịch vụ phát hiện bot; xác thực đa yếu tố; và xác thực không cần mật khẩu.

“Hiện tại, có hơn 15 tỷ thông tin đăng nhập bị đánh cắp đang được lưu hành trên internet, vì thông tin cá nhân của người dùng đang gặp nguy hiểm.” Tổng chưởng lý New York Letitia James cho biết. “Các doanh nghiệp có trách nhiệm thực hiện hành động thích hợp để bảo vệ tài khoản trực tuyến của khách hàng và hướng dẫn này đưa ra các biện pháp bảo vệ quan trọng mà các công ty có thể sử dụng trong cuộc chiến chống lại việc nhồi nhét thông tin xác thực. Chúng tôi phải làm mọi thứ có thể để bảo vệ thông tin cá nhân của người tiêu dùng và quyền riêng tư của họ”.

Các nhà nghiên cứu cho biết thêm, người dùng cũng nên cẩn thận với các cuộc tấn công tiếp theo.

Ron Bradley, phó chủ tịch của Shared Assessments, cho biết: “Giống như nhiều người ngày nay, tôi có một ứng dụng theo dõi hàng xóm, thông báo cho tôi về những điều đang xảy ra trong cộng đồng của tôi”. “Thông thường mọi người sẽ đăng video về những kẻ đe dọa đang kiểm tra ổ khóa trên ô tô và cửa nhà… việc kiểm tra chu vi ‘tay nắm cửa’ này tương tự như thông báo gần đây của OAG New York. Thực tế là có hàng tỷ thông tin đăng nhập bị xâm phạm dễ dàng có sẵn trên internet. Các tác nhân đe dọa sẽ liên tục sử dụng các tài nguyên này để cố gắng xâm phạm tài sản kỹ thuật số”.

 

Cách bảo vệ chống lại các cuộc tấn công nhồi nhét thông tin đăng nhập

Bradley đưa ra lời khuyên bổ sung: “Trong trường hợp này, tầm quan trọng của quản lý danh tính và truy cập (IAM) không thể bị phóng đại. Các tổ chức hoàn toàn phải thực thi nhiều lớp bảo vệ, đặc biệt là khi truy cập vào dữ liệu nhạy cảm. Phương trình để chống lại vấn đề này là trực tiếp.”

Ông nói: Cách tiếp cận lý tưởng bao gồm những điều sau:

  • Mật khẩu mạnh là tốt, nhưng mật khẩu tổ hợp chữ cái (passphrases) thì tốt hơn
  • Quyền truy cập đặc quyền phải luôn đi kèm với xác thực đa yếu tố
  • Điều chỉnh các ứng dụng tiếp xúc với internet để ngăn chặn các nỗ lực đăng nhập thô bạo
  • Các cơ chế phát hiện và phản ứng phải được triển khai và xác nhận thường xuyên

Bradley kết luận: “Đây chỉ là một vài trong số các biện pháp kiểm soát cơ bản cần thiết để bảo vệ dữ liệu của bạn. “Điều quan trọng cần nhớ là ranh giới tài sản kỹ thuật số của bạn giống như bóp một quả bóng. Bạn có thể thắt chặt một bên, nhưng bên kia lại mở rộng. Thách thức là tìm ra điểm trung bình. Khi có sự tham gia của các bên thứ ba, nhiệm vụ ngày càng trở nên khó khăn hơn vì bạn phải đảm bảo họ đang tuân thủ không ít hơn các biện pháp kiểm soát mà bạn đã chỉ định”.

Mọi người cũng nên ngừng sử dụng mật khẩu cũ có liên quan đến vi phạm dữ liệu, McQuiggan lưu ý: “Cách dễ nhất để xem liệu tài khoản của một người có liên quan đến vi phạm hay không là kiểm tra trang web HaveIBeenPwned.com, nơi theo dõi địa chỉ email và số điện thoại có đã bị vi phạm dữ liệu trong mười lăm năm qua hay không.”

Nguồn: Tara Seals.