क्रेडेंशियल स्टफिंग एक प्रकार का साइबर हमला है जिसमें कई वेबसाइट्स में 'स्टफिंग' चोरी की गई क्रेडेंशियल्स शामिल होती हैं।
बॉट्स जैसे टूल ने हैकर्स को भराई को स्वचालित करने की अनुमति दी है, जिससे उन्हें छोटी अवधि में दर्जनों साइटों के खिलाफ लाखों लॉगिन क्रेडेंशियल्स का परीक्षण करने की अनुमति मिलती है। यहां आपको इस हमले के बारे में जानने की आवश्यकता है और सरल तरीके जिनसे आप अपनी रक्षा कर सकते हैं।
क्रेडेंशियल स्टफिंग क्या है?
क्रेडेंशियल स्टफिंग में कई वेबसाइटों में चोरी के पासवर्ड और उपयोगकर्ता नामों का एक बड़ा संग्रह समेटना शामिल है। वे राक्षस उल्लंघनों पर निर्भर करते हैं और अपने डेटा के लिए डार्क वेब पर पेड लीक करते हैं। लक्ष्य अन्य वेबसाइटों में घुसपैठ करने के लिए पिछले लीक से लाखों लॉगिन और उपयोगकर्ता नाम संयोजन का है।
आप जानते हैं कि के पुन: उपयोग #passwords और की कमी #multifactorauthentication के लिए मार्ग प्रशस्त #credentialstuffing हमला करता है। वास्तव में, एफबीआई का कहना है कि 2017 और 2020 के बीच सभी वित्तीय क्षेत्र के हमलों का 41% क्रेडेंशियल स्टफिंग के कारण था। https://t.co/h99KM6RPL7 pic.twitter.com/4IEEEwbZ2n
– साइमन हेसलोप (@ supersi101) 9 दिसंबर, 2020
वे अपने हमलों को सफल बनाने के लिए एक मानव त्रुटि पर भरोसा करते हैं – एक ही उपयोगकर्ता नाम और / या कई साइटों पर पासवर्ड का उपयोग कर। शोध के अनुसार, सभी उपयोगकर्ताओं में से 85 प्रतिशत अपने पासवर्ड को अलग-अलग खातों पर रीसायकल करते हैं।
और यह इस तरह की सोच है जो साइबर अपराधियों को अन्य सेवाओं में शामिल होने के लिए एक वेबसाइट के उल्लंघन से लॉगिन क्रेडेंशियल्स का उपयोग करने की अनुमति देता है।
सफलता की दर .1 से 2 प्रतिशत कम है। इसका मतलब है कि परीक्षण किए गए प्रत्येक मिलियन लॉगिन क्रेडेंशियल के लिए, अन्य वेबसाइटों में जाने के लिए केवल 1,000 क्रेडेंशियल्स का उपयोग किया जा सकता है। लेकिन उनके प्रयासों को इस लायक बनाया जाता है कि वे जिस डेटा को वे घुसपैठ करते हैं, उससे जुटा सकते हैं।
मान लें कि वे एक हज़ार खातों को हैक करने का प्रबंधन करते हैं और इनमें बैंकिंग जानकारी या क्रेडिट कार्ड क्रेडेंशियल हैं। वे फंडों को छीन सकते हैं या धोखाधड़ी के अन्य रूपों के लिए इनका उपयोग कर सकते हैं। अन्य व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) जैसे सामाजिक सुरक्षा नंबर या कर जानकारी का उपयोग पहचान की चोरी जैसे अपराधों के लिए किया जा सकता है।
साइबर क्रिमिनल प्रत्येक खाते में जो कुछ भी पाते हैं उसका मुद्रीकरण करते हैं जो बहुत कम लॉगिन मिलान दर के बावजूद हमले को लायक बनाता है।
स्टफिंग अटैक कैरी आउट कैसे होता है?
बेशक, हैकर्स मैन्युअल रूप से चोरी की हुई लॉगइन क्रेडेंशियल्स को अलग-अलग वेबसाइटों में एक-एक करके इनपुट नहीं करते हैं क्योंकि उन्हें हमले के लायक बनाने के लिए लाखों (या अरबों) चोरी किए गए लॉग क्रेडेंशियल्स की आवश्यकता होती है।
इसके बजाय, डेटा उल्लंघनों से क्रैक किए गए क्रेडेंशियल्स को बोटनेट में लोड किया जाता है जो स्वचालित लॉगिन प्रयास लॉन्च करते हैं। फिर वे पता लगाने से बचने के लिए आगे के उपकरणों का उपयोग करते हैं।
एक एकल बॉटनेट प्रति घंटे हजारों लॉगिन प्रयास कर सकता है। उदाहरण के लिए, 2016 में एक क्रेडेंशियल स्टफिंग अटैक ने एक बॉटनेट का उपयोग किया, जिसने प्रति घंटे कई साइटों पर 270,000 से अधिक लॉगिन अनुरोध भेजे।
कैसे कर सकते हैं भराई हमलों से बचने का पता लगाने?
जबकि कई साइटें कई दुष्ट लॉगिन का पता लगाने के लिए सुरक्षा उपायों का उपयोग करती हैं, हैकर्स ने इन उपायों को दरकिनार करने के तरीके ढूंढ लिए हैं।
एक प्रॉक्सी सूची का उपयोग स्रोत के चारों ओर के अनुरोधों को उछालने के लिए किया जाता है या स्रोत को मुखौटा बनाया जाता है, लॉगिन अनुरोधों को ऐसा लगता है जैसे वे विभिन्न स्थानों से आ रहे हैं। वे इसे बनाने के लिए अन्य उपकरणों का भी उपयोग करते हैं, जैसे कि यह विभिन्न ब्राउज़रों से आने वाले कई साइन-इन प्रयासों की तरह है।
ऐसा इसलिए किया जाता है क्योंकि केवल एक प्रकार के ब्राउज़र (उदाहरण के लिए प्रति घंटा एक हजार) से एकाधिक लॉगिन प्रयास संदिग्ध लगते हैं और धोखाधड़ी के रूप में चिह्नित होने की अधिक संभावना होती है।
ये सभी तकनीक विभिन्न स्थानों पर हजारों उपयोगकर्ताओं की वैध प्रवेश गतिविधि की नकल करती हैं। यह हमला वेक्टर को सरल बनाता है, फिर भी पता लगाना मुश्किल है।
क्रेडेंशियल स्टफिंग और जानवर बल हमलों के बीच अंतर क्या है?
क्रेडेंशियल स्टफिंग एक उप-प्रकार का जानवर बल का हमला है जो बहुत अधिक शक्तिशाली है क्योंकि यह अधिक लक्षित है।
एक क्रूर बल हमले में अनिवार्य रूप से विभिन्न यादृच्छिक चरित्र संयोजनों का उपयोग करके पासवर्ड का अनुमान लगाना शामिल है। वे पासवर्ड की खोज होने तक कई संभावित संयोजनों का परीक्षण करके कई अनुमान लगाने के लिए स्वचालित सॉफ़्टवेयर का उपयोग करते हैं। यह बिना संदर्भ के किया जाता है।
दूसरी ओर क्रेडेंशियल स्टफिंग, पिछले डेटा उल्लंघनों से लॉगिन विवरण और पासवर्ड का उपयोग करता है। वे एक वेबसाइट से लीक से एक पासवर्ड-उपयोगकर्ता नाम जोड़ी का उपयोग करते हैं और फिर अन्य सेवाओं पर इसका परीक्षण करते हैं।
मजबूत पासवर्ड का उपयोग करते समय आप क्रूर बल के हमलों से बचा सकते हैं, यह बेकार है यदि आप अन्य वेबसाइटों पर उसी पासवर्ड का उपयोग करते हैं, जब एक भराई हमला होता है।
क्रेडेंशियल स्टफिंग और क्रेडेंशियल डंपिंग के बीच अंतर क्या है?
हालांकि यह एक ही लग सकता है, क्रेडेंशियल डंपिंग एक अलग प्रकार का हमला है जो एक नेटवर्क को घुसपैठ करने के लिए एक प्रवेश बिंदु या मशीन को लक्षित करता है।
जबकि अन्य वेबसाइटों में जाने के लिए क्रेडेंशियल स्टफिंग पिछले उल्लंघनों से कई लॉगिन क्रेडेंशियल्स का उपयोग करता है, क्रेडेंशियल डंपिंग में एक मशीन में शामिल होना और कई लॉगिन क्रेडेंशियल निकालना शामिल है।
यह कंप्यूटर की कई रजिस्ट्रियों में कैश्ड क्रेडेंशियल्स तक पहुँचने या सुरक्षा खाता प्रबंधक (एसएएम) डेटाबेस से क्रेडेंशियल्स निकालने के द्वारा किया जाता है। उत्तरार्द्ध में हैश के रूप में सहेजे गए पासवर्ड के साथ बनाए गए सभी खाते हैं।
क्रेडेंशियल डंपिंग अटैक का लक्ष्य नेटवर्क में पैर जमाने या सिस्टम के अन्य कंप्यूटरों में प्रवेश पाने का है। एक मशीन से लॉगिन क्रेडेंशियल खींचने के बाद, एक हैकर डिवाइस को फिर से दर्ज कर सकता है या अधिक नुकसान का कारण बनने के लिए पूरे नेटवर्क तक पहुंच प्राप्त कर सकता है।
भराई के विपरीत, एक क्रेडेंशियल डंपिंग हमले एक प्रविष्टि बिंदु का उपयोग करता है, एक मशीन एक नेटवर्क में घुसपैठ करने के लिए बेजोड़ कमजोरियों के साथ।
तुम एक हमले से खुद को कैसे बचाते हो?
अधिकांश उपयोगकर्ताओं के लिए, अपनी सुरक्षा के लिए सबसे अच्छा और सरल तरीका हर वेबसाइट या खाते के लिए अद्वितीय पासवर्ड का है। बहुत कम से कम, यह उन लोगों के लिए करें जिनके पास आपकी संवेदनशील जानकारी है जैसे बैंकिंग या क्रेडिट कार्ड विवरण।
टू-फैक्टर ऑथेंटिकेशन (2FA) या मल्टीपल-फैक्टर ऑथेंटिकेशन (MFA) को सक्षम करना अकाउंट टेकओवर को हैकर्स के लिए और अधिक कठिन बनाने में मदद करता है। ये सत्यापन के द्वितीयक साधनों पर निर्भर करते हैं, अर्थात आपके फ़ोन नंबर पर एक कोड भेजने के साथ-साथ आपके उपयोगकर्ता नाम और पासवर्ड की आवश्यकता होती है।
यदि आपको कई पासवर्ड और उपयोगकर्ता नाम याद रखना भ्रमित करते हैं तो आप एक विश्वसनीय पासवर्ड मैनेजर का उपयोग कर सकते हैं। यदि आप उनकी सुरक्षा के बारे में अनिश्चित हैं, तो सुरक्षित तरीके पासवर्ड प्रबंधकों का उपयोग करें ।
या एक ओपन-सोर्स पासवर्ड मैनेजर का प्रयास करें ।
अपने पासवर्ड को सुरक्षित रखें
आपका पासवर्ड आपके घर की चाबी की तरह है। यह अद्वितीय, मजबूत और सबसे महत्वपूर्ण होने की आवश्यकता है, आपको इसे हर समय एक सुरक्षित स्थान पर रखने की आवश्यकता है।
ये भी यादगार और सुरक्षित होने की जरूरत है। आप अलग-अलग पासवर्ड टूल का पता लगा सकते हैं, जो हैकर्स को क्रैक करने में मुश्किल होते हैं, फिर भी आपको अद्वितीय बनाने में मदद कर सकते हैं।