Την προηγούμενη εβδομάδα, το FBI προειδοποίησε τις τράπεζες και άλλους οργανισμούς που δραστηριοποιούνται στον χρηματοπιστωτικό τομέα των ΗΠΑ για τις ολοένα αυξανόμενες credential-stuffing επιθέσεις που έχουν ως στόχο τα δίκτυά τους, οδηγώντας σε παραβιάσεις ασφαλείας αλλά και σε σημαντικές οικονομικές απώλειες.
Το “credential-stuffing” είναι ένας όρος που έκανε την εμφάνισή του σχετικά πρόσφατα στο πεδίο της κυβερνοασφάλειας. Πρόκειται για ένα είδος επίθεσης όπου οι χάκερς λαμβάνουν συλλογές usernames και κωδικών πρόσβασης που έχουν διαρρεύσει στο διαδίκτυο στα πλαίσια παραβιάσεων δεδομένων σε άλλες εταιρείες και τις δοκιμάζουν έναντι λογαριασμών σε άλλες διαδικτυακές υπηρεσίες. Αυτές οι επιθέσεις έχουν ως στόχο τον εντοπισμό λογαριασμών όπου οι χρήστες έχουν επαναχρησιμοποιήσει κωδικούς πρόσβασης και, στη συνέχεια, αποκτούν μη εξουσιοδοτημένη πρόσβαση στο προφίλ του χρήστη και στους συνδεδεμένους πόρους.
Οι credential-stuffing επιθέσεις αναδύθηκαν ως απειλή στον κυβερνοχώρο τα τελευταία χρόνια, αφού χάκερς διέρρευσαν δισεκατομμύρια usernames και συνδυασμούς κωδικών πρόσβασης από εκατοντάδες εταιρείες τα τελευταία πέντε χρόνια.
Οι χάκερς άρχισαν να συλλέγουν τα credentials που διέρρευσαν και να τα δοκιμάζουν σε διάφορες διαδικτυακές υπηρεσίες. Αρχικά, είχαν ως στόχο λογαριασμούς online gaming και food delivery, αλλά καθώς η τακτική αποδεικνυόταν ολοένα και πιο επιτυχής, άρχισαν να στοχεύουν επίσης διαδικτυακές τραπεζικές υπηρεσίες καθώς και ανταλλακτήρια κρυπτονομισμάτων, για να κλέψουν χρηματοοικονομικά περιουσιακά στοιχεία.
Σύμφωνα με μία συμβουλευτική ασφαλείας του FBI που έλαβε το ZDNet, οι credential-stuffing επιθέσεις έχουν αυξηθεί τα τελευταία χρόνια και έχουν πλέον εξελιχθεί σε ένα σημαντικό πρόβλημα για τις τράπεζες και άλλους οργανισμούς που δραστηριοποιούνται στον χρηματοπιστωτικό κλάδο. Ενδεικτικά, το FBI έχει λάβει από το 2017 πολλές αναφορές σχετικά με τέτοιες επιθέσεις, στο επίκεντρο των οποίων βρέθηκαν αμερικανικά χρηματοπιστωτικά ιδρύματα, με πάνω από 50.000 λογαριασμούς να έχουν παραβιαστεί συνολικά όλο αυτό το διάστημα. Μεταξύ των θυμάτων των επιθέσεων συγκαταλέγονται τράπεζες, πάροχοι χρηματοοικονομικών υπηρεσιών, ασφαλιστικές εταιρείες και επιχειρήσεις επενδύσεων.
Επιπλέον, το FBI ανέφερε ότι πολλές από αυτές τις επιθέσεις στοχεύουν διεπαφές προγραμματισμού εφαρμογών (API), καθώς αυτά τα συστήματα είναι λιγότερο πιθανό να απαιτούν έλεγχο ταυτότητας πολλών παραγόντων (MFA), ενώ παρακολουθούνται λιγότερο από τα user-facing login συστήματα. Οι credential-stuffing επιθέσεις δεν στοχεύουν μόνο προφίλ χρηστών, αλλά και λογαριασμούς υπαλλήλων, με τους χάκερς να στοχεύουν και λογαριασμούς υψηλών προνομίων. Ορισμένες από αυτές τις επιθέσεις δεν έχουν στεφθεί με επιτυχία, ενώ άλλες πέτυχαν, οδηγώντας τράπεζες και οργανισμούς σε απώλειες πολλών εκατομμυρίων δολαρίων το τελευταίο έτος.
Επίσης, το FBI ανέφερε κάποια πρόσφατα σημαντικά περιστατικά credential-stuffing επιθέσεων. Ενδεικτικά, επισημαίνονται τα ακόλουθα:
- Ιούνιος – Νοέμβριος 2019: μια μικρή hacking ομάδα στόχευσε ένα ίδρυμα χρηματοπιστωτικών υπηρεσιών και τρεις από τους πελάτες του, με αποτέλεσμα την παραβίαση περισσότερων από 4.000 online banking λογαριασμών. Οι χάκερς χρησιμοποίησαν στη συνέχεια υπηρεσίες πληρωμής λογαριασμών για να υποβάλουν “δόλιες” πληρωμές – περίπου 40.000 $ συνολικά – στον εαυτό τους, τις οποίες αργότερα ενέκριναν σε λογαριασμούς ξένων τραπεζών.
- Ιούνιος 2019 – Ιανουάριος 2020: μια εταιρεία επενδύσεων με έδρα τη Νέα Υόρκη και μια διεθνής πλατφόρμα μεταφοράς χρημάτων δέχτηκαν επιθέσεις κατά των mobile APIs τους. Αν και καμία οντότητα δεν ανέφερε απάτη, μία από τις επιθέσεις είχε ως αποτέλεσμα την εκτεταμένη διακοπή του συστήματος που εμπόδισε τη συλλογή εσόδων σχεδόν 2 εκατομμυρίων δολαρίων.
- Ιούλιος 2020: ένα μεσαίου μεγέθους χρηματοπιστωτικό ίδρυμα των ΗΠΑ ανέφερε ότι η Internet banking πλατφόρμα του παρατήρησε πολλές προσπάθειες σύνδεσης με διάφορα ζεύγη credentials, τα οποία εκτιμάται ότι ήταν ενδεικτικά της χρήσης bots. Ακόμη, στο διάστημα μεταξύ Ιανουαρίου και Αυγούστου 2020, άγνωστοι κακόβουλοι παράγοντες χρησιμοποίησαν aggregation software για να συνδέσουν λογαριασμούς που ελέγχονται από χάκερς με λογαριασμούς πελατών που ανήκουν στο ίδιο ίδρυμα. Αυτό είχε ως αποτέλεσμα περισσότερα από 3,5 εκατομμύρια δολάρια σε “δόλιες” αναλήψεις επιταγών και μεταφορές ACH. Ωστόσο, η αναφορά δεν δείχνει εάν οι αυξημένες συνδέσεις και οι “δόλιες” συναλλαγές αποτελούν έργο των ίδιων κακόβουλων παραγόντων.
Ερευνητές ασφαλείας εντόπισαν περισσότερες από 1.500 διευθύνσεις email και 6.000 κωδικούς πρόσβασης που εκτέθηκαν σε περισσότερες από 80 παραβιάσεις δεδομένων. Μερικά από τα credentials ανήκαν στην ηγεσία της εταιρείας, στους διαχειριστές των συστημάτων και σε άλλους υπαλλήλους με προνομιακή πρόσβαση.
Επομένως, το FBI συνιστά στα χρηματοπιστωτικά ιδρύματα να λάβουν προστατευτικά μέτρα για να αντιμετωπίσουν την ολοένα αυξανόμενη απειλή των credential-stuffing επιθέσεων. Μεταξύ των συστάσεών του περιλαμβάνονται βασικές στρατηγικές ανίχνευσης και συμβουλές μετριασμού που μπορούν να εφαρμοστούν καθολικά σε όλους τους τομείς και όχι μόνο σε οργανισμούς που δραστηριοποιούνται στον χρηματοπιστωτικό κλάδο.
