Эксперты Akamai насчитали за вторую половину 2018 года 28 млрд попыток взлома аккаунтов методом подстановки (credential stuffing, CS). Наибольшая часть атак пришлась на торговые, медийные и финансовые организации — мошенники активно присваивают чужие покупки и крадут персональные данные.
Организаторы CS-кампаний пользуются нежеланием юзеров придумывать оригинальные пароли для нескольких ресурсов. Злоумышленники покупают базы учетных данных на черном рынке и скармливают их ботнетам, которые в автоматическом режиме атакуют интернет-площадки, пытаясь авторизоваться на них по скомпрометированным парам логинов и паролей.
Исследователи отметили, что в последние месяцы преступники все чаще используют мощные многофункциональные All-in-One (AIO, «всё-в-одном») ботнеты. Они могут охватить десятки сайтов различных компаний, оставаясь при этом незамеченными.
В отчетный период всего за один день AIO-сети совершили по 115 млн попыток авторизации на одних только сайтах ритейлеров. Общее же количество атак на интернет-магазины в мае — декабре 2018 года превысило 10 млрд. Больше всего пострадали продавцы одежды — на них пришлось 3,7 млрд инцидентов.
Взломанные аккаунты интересуют преступников по двум причинам: сбыт на черном рынке и обналичивание накопленных бонусов. Мошенники заказывают и перепродают одежду, активируют промокоды, перехватывают персональные предложения, занимают чужие места в очередях за эксклюзивными товарами. Примечательно, что ритейлеры могут долгое время не замечать подобные махинации и оправдывать действия взломщиков успехом маркетинговых кампаний. В реальности же злоумышленники лишают продавца контакта с покупателями и искажают представление о существующем спросе, в то время как клиенты несут прямые убытки.
Второе место по популярности у CS-мошенников заняли стриминговые платформы (более 8,1 млрд атак). Если добавить показатели прочих медийных площадок (3,4 млрд), эта категория вытеснит с первого места интернет-продавцов. Эксперты поясняют, что на подобных ресурсах преступников привлекают платежные и демографические данные.
Остальные отрасли существенно отстают от первых двух. На третьей строчке расположились промышленные предприятия — их сайты преступники атаковали около 1,3 млрд раз. На финансовые сервисы пришлось чуть более 1 млрд атак, примерно такие же показатели аналитики увидели в отельной индустрии.
В области B2B CS-кампании нередко помогают собрать информацию для последующих BEC-атак (business e-mail compromise, мошенничество с корпоративной перепиской) — например, данные сотрудников какой-либо организации или ее контрагентов. По словам исследователей, большинство злоумышленников, которые промышляют такими схемами, хорошо понимают потенциал попадающей к ним информации и способны превратить даже незначительную утечку в источник финансовых проблем.
Большинство CS-кампаний пришлось на США. Именно там разрабатываются многие AIO-боты, здесь же происходит основная часть атак (22,5 млрд в отчетный период). Это в 11 раз больше, чем в Китае, который занял второе место рейтинга. За ним идут Индия (1,2 млрд), Германия (0,8 млрд), Канада (0,4 млрд). В РФ пользователи нечасто страдают от CS, зато по активности ботов Россия заняла второе место после США.
Авторы отчета повторяют выводы своего предыдущего исследования, где говорилось о конфликте безопасности и удобства пользователей. Компании могли бы внедрить защитные механизмы, пресекающие подстановку учетных данных. Однако проблема в том, что для сайта действия злоумышленника не отличаются от поведения клиента, который пытается вспомнить свой пароль. Таким образом, организациям следует просвещать клиентов, предостерегая их от повторного использования учетных данных.
Источник: https://threatpost.ru/credential-stuffing-aimed-at-media-and-retail-in-2nd-half-2018/31447/