Cybersecurity News Privacy

Credential Stuffing กับความพยายามในการล็อคอินของแฮกเกอร์

ในปี 2018 มีความพยายามในการแฮกบัญชีมากกว่า 30,000 ล้านครั้งเกิดขึ้นทั่วโลก

ผู้ใช้บริการเครือข่าย Akamai บอกว่าตลอดปี 2018 แฮกเกอร์มีความพยายามในการล็อคอินมากกว่า 30,000 ล้านครั้ง จำนวนนี้รวมทั้งความพยายามที่จะขโมยหรือข้อมูลที่หลุดออกมา

การโจมตีด้วยระบบอัตโนมัติที่เรียกว่า ‘Credential Stuffing’ โดยการนำฐานข้อมูลชื่อผู้ใช้และรหัสผ่าน มากรอกด้วยระบบอัตโนมัติ เพื่อให้ได้มาซึ่งการเข้าถึงบัญชีของผู้อื่น และอีกหนึ่งปัญหาก็คือมีคนไม่น้อยเลยที่ใช้ชื่อผู้ใช้และรหัสผ่านเดียวกันในหลายบริการหรือโซเชี่ยลมีเดีย

ทาง Akamai บอกว่า 43% ของความพยายามในการล็อคอินนั้นมีจุดประสงค์ไม่ดี และมีโอกาสที่จะสำเร็จประมาณ 0.1%-2% นอกจากที่แฮกเกอร์จะได้เข้าถึงบัญชีแล้ว พวกเขายังรวบรวมข้อมูลส่วนตัว เพื่อเอาไปดำเนินแผนการอื่น อย่างการส่งสแปม หรือกิจกรรมอันตรายอื่นๆ

ในรายงาน The 2019 State of the Internet / Security: Credential Stuffing: Attacks and Economies — Special Media Report ชี้ว่ามีการสอนการโจมตีด้วย Credential Stuffing แบบเป็นขั้นเป็นตอนบน Youtube อย่างเช่นการใช้โปรแกรม ‘checker programs’

ในสหรัฐฯ รัสเซีย และแคนาดาเป็นสามประเทศที่เป็นต้นสายการโจมตีมากที่สุด และเป้าหมายสามอันดับแรกก็คือ สหรัฐฯ อินเดียและแคนาดา

“แฮกเกอร์มีเป้าหมายเป็นผู้ที่มีชื่อเสียงและบริการสตรีมมิ่งที่ทำเงิน” ผู้อำนวยการกลยุทธ์และเทคโนโลยีความปลอดภัยของ Akamai กล่าว

องค์กรในวงการเกมส์ สื่อ และความบันเทิงมีความพยายามในการล็อคอินที่อันตรายกว่า 116,000 ล้านครั้งในช่วง พฤษภาคมถึงธันวาคม 2018 และจุดพีคอยู่ที่ 200 ล้านเกิดขึ้นกับสื่อวิดีโออย่างเดียว และเชื่อว่าส่วนหนึ่งเป็นการทดสอบก่อนการขาย

วิธีป้องกันที่มีประสิทธิภาพในการรับมือการโจมตีแบบนี้ก็คือ Two-factor Authentication (2FA) หรือการยืนยันตัวตนสองขั้นตอน และอีกวิธีการหนึ่งก็คือการใช้รหัสผ่านที่ซับซ้อนหรือคาดเดายาก

Author: Tomáš Foltýn
Source:
https://www.welivesecurity.com/2019/04/10/credential-stuffing-attacks-login/
Translated by: Worapon H.

%d bloggers like this: