Ha ezeket a jelszavakat használod, percek alatt kifosztanak az online csalók!

A támadási módszer hatékonyságát jól mutatja, hogy egy friss felmérés szerint az amerikaiak 62%-a be is vallja, hogy „gyakran” vagy „mindig” ugyanazokat a jelszavakat használja. Ilyen környezetben egyetlen adatlopás is lavinaszerű következményekkel járhat: e-mail-fiókok, közösségi oldalak, webáruházak vagy akár banki hozzáférések is veszélybe kerülhetnek.

A credential stuffing támadások különösen veszélyesek, mert nem jelszót törnek fel, hanem már meglévő, érvényes belépési adatokat használnak. A támadók botokkal és automatizált szkriptekkel próbálják ki a megszerzett adatpárokat különböző szolgáltatásoknál. Cikkünk írásakor a haveibeenpwned.com weboldalon több mint 17 milliárd ellopott-kiszivárgott belépési adat található, bárki ellenőrizheti, hogy ő maga érintett volt-e egy korábbi incidensben.

A probléma súlyát jól szemléltetik az elmúlt évek esetei is:

• 2022-ben a PayPal közel 35 ezer felhasználói fiók kompromittálását jelentette, kizárólag korábbi adatlopásokból származó jelszavak újrafelhasználása miatt.
• 2024-ben a Snowflake-ügyfeleket (felhőalapú adatplatform) érintő támadáshullám során mintegy 165 szervezet fiókjához fértek hozzá támadók, akik infostealer kártevőkkel megszerzett belépési adatokat használtak a szolgáltatás rendszereinek feltörése nélkül.

Az automatizáció és az AI tovább növeli a kockázatot

A credential stuffing technika használatának terjedését az is gyorsítja, hogy az adatlopó kártevők (infostealerek) mennyisége robbanásszerűen nő, miközben a támadók egyre gyakrabban használnak AI-támogatott szkripteket, amelyek képesek megkerülni az alapvető botok elleni védelmi megoldásokat.

„A credential stuffing támadások azért különösen veszélyesek, mert a támadók sok esetben nem feltörik a rendszereket, hanem egyszerűen belépnek azokba. Ha egy jelszó több szolgáltatásnál is azonos, akkor egy régi adatlopás következményei évekkel később is visszaköszönhetnek” – mondta Csizmazia-Darab István, az ESET termékeket forgalmazó Sicontact Kft. kiberbiztonsági szakértője.

Egy kattintásos kényelem vagy rejtett kockázat?

Manapság egyre több weboldalon találkozunk azzal az ismerős kérdéssel: „Belépsz Google-lel vagy Apple-lel?” Ezek az úgynevezett többplatformos bejelentkezések kényelmes alternatívát kínálnak a hagyományos regisztráció helyett, aminek egyik legnagyobb előnye, hogy a felhasználó nem adja át jelszavát az adott szolgáltatónak. Ez elsőre megnyugtatónak hangzik – és sok esetben valóban az.

Miben rejlik a kockázat?

A többplatformos bejelentkezés gyors, kényelmes és sok esetben biztonságos megoldás, de tudatos döntést igényel, hogy hol és mikor élünk vele.

Ha valaki hozzáférést szerez a Google-, Apple- vagy Facebook-azonosítónkhoz (felhasználónév és jelszó), akkor elméletben minden olyan szolgáltatáshoz is hozzzáférhet, amely ehhez a fiókhoz kapcsolódik.

Mikor jó választás?

• otthoni, hétköznapi felhasználásra szánt szolgáltatások esetén
• alacsony kockázatú szolgáltatások igénybevételekor
•  olyan platformokon, ahol nem kezelünk érzékeny adatokat
• ahol a kétfaktoros hitelesítés kötelezően be van kapcsolva

Mi az a jelkulcs?

Jelkulccsal a hagyományos jelszavak helyett az adott eszköz beépített hitelesítési megoldásait tudjuk használni. Ennek köszönhetően akár Gmail-, PayPal- vagy iCloud-fiókba is beléphetünk anélkül, hogy egyetlen jelszót be kellene gépelnünk.

Fontos azonban, hogy ehhez nem elég csupán a készülék oldaláról a támogatás – magának a szolgáltatásnak is kompatibilisnek kell lennie a jelkulcsos belépéssel. Amennyiben ez a feltétel teljesül, a bejelentkezés nemcsak kényelmesebbé, hanem jelentősen biztonságosabbá is válik.

Hogyan védekezhetünk a támadások ellen?

Az ESET szakértői szerint a kockázat jelentősen csökkenthető néhány alapvető biztonsági lépéssel:

1. Hosszú, egyedi, erős jelszavakat hozzunk létre minden felületen.
2.  Ha van rá lehetőség, használjunk jelkulcsot (passkey) a belépéshez, ezek egyediek és biztonságosabbak, nem igénylik jelszó megadását és kevésbé vannak kitéve adathalász csalásoknak.
3. Soha ne használjuk ugyanazt a jelszót több szolgáltatásnál, fióknál. Egy jelszókezelő segít erős, egyedi jelszavak létrehozásában, előhívásában és biztonságos tárolásában.
4. Kapcsoljuk be a kétfaktoros hitelesítést (2FA) mindenhol, ahol elérhető, így a jelszó önmagában már nem elég az illetéktelen belépéshez.
5. Érdemes ellenőrizni, hogy e-mail-címünk vagy jelszavaink szerepeltek-e korábbi adatlopásokban, és érintettség esetén azonnal jelszót cserélni.

„A jelszavak újrafelhasználása ma már az egyik legnagyobb biztonsági kockázat. A tudatos jelszóhasználat, a többfaktoros hitelesítés és a jelszómentes megoldások bevezetése nem extra védelem, hanem alapelvárás kell, hogy legyen, mind magánszemélyeknél, mind vállalati környezetben” – tette hozzá Csizmazia-Darab István. Emellett kerülni kell a jelszavak böngészőben való mentését, és gyanakvóan kell kezelni minden olyan kéretlen megkeresést, amely jelszavak megerősítésére vagy megváltoztatására szólít fel.

A credential stuffing azért különösen hatékony támadási módszer, mert nem technológiai gyengeségeket, hanem az emberi tudatosság hiányát használja ki. A jelszavak újrafelhasználása, a ritka jelszócsere és a többfaktoros hitelesítés hiánya lehetővé teszi, hogy egy - akár évekkel ezelőtti - adatlopás később is komoly károkat okozzon.