지난달부터 수백 명의 Nintendo 사용자가 자신의 계정이 해킹당해 원격 위치에서 액세스했다고 보고했습니다. 5,00,000개 이상의 Zoom 계정이 다크 웹에서 호스팅되는 해커 포럼에 떠돌고 있습니다. 최근 연구원들은 해커가 피해자의 데이터를 긁는 데 사용하는 700개 이상의 악성 Netflix 및 Disney Plus 클론을 확인했습니다. 이러한 사기성 클론 웹사이트는 가짜 구독을 통해 돈을 훔치거나 사용자의 데이터를 수집하여 은행 세부 정보 및 기타 로그인 자격 증명을 수집합니다.
최근의 이러한 모든 데이터 도난 사기에는 한 가지 공통점이 있다는 것을 알고 계십니까? 글쎄요, 지금까지 이러한 모든 사기가 회사 수준의 위반 결과라는 징후는 없었지만, 오히려 Credential Stuffing Attack 때문이었습니다. . 계정을 탈취하기 위해 자동화된 방식으로 웹사이트에 대해 사용자 이름과 비밀번호를 테스트하는 무차별 대입 공격 유형입니다.
1부 - 크리덴셜 스터핑 작업
주목할 가치가 있는 한 가지 중요한 측면은 오늘날 사용자가 디지털 개인 정보 보호와 관련하여 매우 보호적이라는 것입니다. 요즘 사람들은 대문자와 소문자에 숫자와 특수 문자를 조합한 '복잡한 비밀번호'를 유지하는 경향이 있습니다. 하지만 유감스럽게도 사람들은 하나의 강력한 비밀번호를 갖고 나면 다른 사이트 및 서비스에 대해 고유한 비밀번호를 갖는 데 어려움을 겪습니다.
결국 그들은 모두에게 동일한 비밀번호를 유지하게 됩니다. 즉, 이제 해커는 자격 증명 스터핑을 수행하기 위해 특별한 데이터베이스가 필요하지 않습니다. 그들은 단순히 일부 대규모 데이터베이스를 참조하고 해당 데이터베이스의 사용자 이름과 비밀번호를 사용하여 Netflix, Nintendo, Zoom 또는 기타 서비스에 액세스하려고 시도할 수 있습니다.
연구원들에 따르면, “Zoom 관련 크리덴셜 스터핑을 수행하기 위해 'OpenBullet'이 사용되었습니다. 기준 OpenBullet GitHub 페이지 은 사용자 데이터를 스크랩하고 구문 분석하는 데 전용으로 사용되는 온라인 테스트 도구입니다. 크리덴셜 스터핑 공격을 쉽고 간단하게 만드는 오픈 소스 도구입니다."
이제 더 이상 고민하지 않고 크리덴셜 스터핑 공격의 해부, 작동 방식 및 이를 방지하기 위해 무엇을 할 수 있는지 살펴보겠습니다.
2부 - 자격 증명 스터핑의 구조
글쎄요, Credential Stuffing Attack은 사용자 계정을 탈취하기 위한 간단한 해결 방법일 뿐입니다. 여러 번 사용되는 유사한 자격 증명은 공격에 대한 위협을 노출시키고 무단 액세스를 얻습니다. 공격을 시작하는 것이 어려워 보이지만 초보 해커라도 인터넷에서 쉽게 구할 수 있는 특정 온라인 도구를 통해 사이버 공격을 수행할 수 있습니다.
최근 연구에 따르면 충격적인 43% 웹사이트를 통해 제출된 로그인 자격 증명 중 일부는 계정 탈취 시도일 뿐입니다. Credential Stuffing의 유일한 이유는 비밀번호 재사용입니다.
Credential Stuffing Attacks의 가장 표적이 된 조직은 전자 상거래, 금융, 엔터테인먼트 및 소셜 미디어, IT, 통신, 운송 및 소매 산업입니다.
성공적인 Credential Stuffing 공격의 결과는 계정 탈취이며, 도난당한 유효한 자격 증명은 계정에 저장된 가치를 빼내거나 데이터를 훔치기 위해 제3자에게 판매됩니다.
자격 증명 남용 및 계정 탈취 개요
3부 - 크리덴셜 스터핑 공격은 어떻게 작동합니까?
공격자가 크리덴셜 스터핑을 수행하는 일반적인 프로세스는 다음과 같습니다.
공격자:
1단계- IP 주소를 위조하면서 여러 계정에 자동으로 로그인하도록 작동하는 봇을 만들고 설정합니다.
2단계- 또한 도난당한 자격 증명이 여러 웹 사이트에서 작동 가능한지 여부를 확인하기 위해 자동화된 프로세스를 실행합니다. 웹에서 요청을 반송하고 다른 IP 주소에서 오는 것처럼 보이게 하는 '프록시 목록'을 통합하는 악성 플랫폼에서 사용할 수 있는 다양한 자격 증명 스터핑 도구가 있습니다.
3단계- 그들은 정기적으로 모니터링하여 수익성 있는 자격 증명을 찾고 은행 세부 정보 및 기타 개인 정보 관련 데이터와 같은 개인 식별 정보(PII)를 얻습니다.
4단계- 피싱 공격을 대상으로 하는 것과 같이 나중에 사용할 수 있도록 계정 정보를 유지합니다. 그들은 심지어 데이터를 복사하여 다른 해커가 사용할 수 있도록 판매하거나 게시(대부분 다크 웹에 게시)합니다.
공격자가 피해자의 데이터에 액세스하면 손상된 계정에 대한 액세스 판매(Netflix 및 Disney+와 같은)와 같은 다양한 유형의 장난, 합법적인 사용자로 가장하고 전자 상거래 사기를 저지르는 데 사용합니다. 위의 두 범죄 모두 고객에게 심각한 결과를 초래하지만 또 다른 사기인 '기업/기관 간첩 및 절도'는 기업에 가장 큰 피해를 줄 가능성이 있습니다.
공격자가 직원 또는 관리자의 데이터에 액세스하는 경우 모든 종류의 민감한 내부 정보를 알아낼 수 있으며 최고 입찰자에게 판매할 수 있습니다.
- 기업을 위한 사이버 보안은 기업에서 어떤 의미가 있습니까?
- 기업은 사이버 공격에 대비하고 있습니까?
4부 - 크리덴셜 스터핑이 해커들 사이에서 인기를 얻고 있는 이유
간단히 말해서, 이 기술이 완전히 자동화되고 간단하며 간단하기 때문에 Credential Stuffing Attack이 증가하고 있습니다. 시장이 복잡한 기능을 가진 Top Internet Security Solution으로 가득 차면서 정교하고 선진적인 방법으로 시스템에 대한 해킹이 활발해지고 있습니다. 따라서 Credential Stuffing에 들어가는 것은 비용 효율적이고 효과적인 기본 기술을 사용하여 시스템에 침입하기 쉽습니다.
사용자가 스마트 및 고급 보안 탐지 및 보호 솔루션에 의존하더라도 위험한 방식으로 행동하면 보안 허점이 항상 생성됩니다.
크리덴셜 스터핑 공격에서 사용자는 피해자가 되기 위해 여러 계정에 대해 동일한 비밀번호를 설정하기만 하면 됩니다. 다양한 연구원에 따르면 일반적인 비밀번호를 유지하는 것은 사용자가 저지르는 가장 흔한 실수 중 하나이며 해커가 빠른 악용을 구현할 수 있는 기회를 제공합니다.
5부 - 크리덴셜 스터핑 공격을 방지하기 위해 채택할 수 있는 조치
크리덴셜 스터핑 공격으로부터 자신을 보호하는 것은 매우 간단하며 따라야 할 몇 가지 보안 관행이 필요합니다.
1. 우수한 비밀번호 위생 유지
각 계정에 동일한 비밀번호를 사용하지 마십시오. 이러한 유형의 공격은 사용자가 여러 계정에 동일하거나 유사한 비밀번호를 설정하는 경향이 있기 때문에 수행됩니다.
2. 모든 계정에 대해 다단계 인증 사용
사이버 범죄자들은 개인 데이터 및 기타 개인 정보 관련 추적을 추출하기 위해 더 우수하고 정교한 기술을 개발하고 있습니다. 이를 방지하기 위해 다계층 보안 접근 방식이 사용 가능한 훌륭한 해결 방법입니다.
3. 주기적으로 비밀번호 재설정
더 나은 보안 및 개인 정보 보호를 위해 필수 작업으로 만드는 것을 고려해야 합니다. 이전에 사용한 비밀번호를 사용하지 않도록 하십시오.
4. 개인 계정과 전문가 계정에 동일한 비밀번호를 사용하지 않도록 하십시오.
직원들에게 정기적인 디지털 정리를 수행하도록 권장하는 여러 회사가 있습니다. 즉, 6개월마다 비밀번호를 변경하고 업무 및 개인 용도를 위해 다르게 유지하도록 의무화했습니다.
5. 사용 중인 위협 방지 서비스가 완벽한지 확인
바이러스 백신 솔루션을 시스템 상단의 보호막으로 유지하는 것이 오늘날 매우 중요하다는 것을 이해하기 위해 천재일 필요는 없습니다. 우리는 독자들이 Windows, Mac, Android, iPhone 및 기타 장치를 위한 동급 최고의 안티바이러스 보호로 시스템을 보호할 것을 촉구합니다.
파트 6- Systweak이 크리덴셜 스터핑 공격 및 계정 탈취로부터 사용자를 보호하는 방법
Systweak은 사용자가 가장 정교한 공격을 방어할 수 있도록 도와주는 가장 진보된 솔루션 중 하나를 제공합니다!
우선 전용 비밀번호 관리 앱인 TweakPass를 제공합니다. AES-256-Bit Encryption, PBKDF2 SHA-256 및 HMac으로 보호되는 특수 볼트를 제공하여 자격 증명 및 개인 데이터를 360도 보호합니다. 동일한 비밀번호를 재사용하면 Credential Stuffing의 위험이 증가한다는 것을 배웠기 때문입니다. 모든 계정, 웹 사이트 및 서비스에 대해 복잡하고 고유한 암호를 제안하는 암호 생성기 기능을 제공합니다. 또한 TweakPass가 알아서 해주기 때문에 길고 강력한 암호를 모두 배울 필요는 없습니다. 자격 증명 및 기타 개인 데이터를 몇 초 만에 자동 완성할 수도 있습니다.
여기에서 Password Manager 앱에 대해 자세히 알아보세요!
For ultimate identity protection &security, they have Advanced Identity Protector. It is a sophisticated tool that helps users freely transact over multiple sites while keeping their data confidential. It performs a single scan over your machine &detects all the sensitive information related to your identity that may pose a threat &easily be available for hackers to commit crimes in your name. Once you find the hidden traces like Social Security Number, Credit Card Details, Contact Information etc., you can choose the store them in a Secure Vault or get rid of them completely, so that it doesn’t go into wrong hands.
To Know More About This Robust Utility, Click Here!
Part 7 – Bottom Line
There is no scarcity of Internet threats which puts the end consumers at risk and keeps IT Professionals busy. Credential Stuffing is one of the scariest risks that brings a significant threat to users. For these reasons, every individual is advised to use unique passwords, protect their accounts with multi-factor authentication &maintain digital hygiene, especially when they suspect they are using any of the fraudulent websites or services.
MUST-READ:
- Best VPN Solutions For Windows 2020
- Best VPN Clients For Mac Users 2020
- Best VPN Services For Android Devices 2020
- Best Free VPN Apps For iPhone &iPad 2020