การโจมตีในรูปแบบ Credential stuffing ถูกพบเพิ่มขึ้นเป็นจำนวนมากในช่วงไตรมาสแรกของปี 2565 ซึ่งปริมาณการพยายามเข้าใช้งานบัญชีในลักษณะดังกล่าวแซงหน้าการพยายามเข้าสู่ระบบตามปกติจากผู้ใช้งานทั่วไปในบางประเทศ

การโจมตีประเภทนี้เป็นการใช้ประโยชน์จากรหัสผ่านที่รั่วไหลออกมาจากบริการต่าง ๆ ก่อนหน้านี้ เพื่อพยายามเข้าสู่ระบบในบริการอื่น ๆ ที่ผู้ใช้งานอาจใช้ login name และ password เดียวกัน

รายงานจาก FBI เมื่อเร็ว ๆ นี้พบว่า การโจมตีลักษณะนี้มีจำนวนเพิ่มขึ้นเนื่องจากปริมาณข้อมูลบัญชีผู้ใช้งานจากระบบต่าง ๆ ที่รั่วไหลมากขึ้น และเครื่องมือของแฮ็กเกอร์ที่สามารถนำบัญชีเหล่านั้นนำมาใช้ทดสอบกับเว็บไซต์ต่าง ๆ ได้ง่ายขึ้น

ความพยายามในการเข้าสู่ระบบมากกว่า 1 หมื่นล้านครั้ง

Okta รายงานว่าพบพฤติกรรมการพยายามเข้าสู่ระบบมากกว่า 1 หมื่นล้านครั้งบนแพลตฟอร์มของพวกเขาในช่วง 3 เดือนแรกของปี 2022 โดยคิดเป็นประมาณ 34% ของการเข้าใช้งานทั้งหมด ซึ่งหมายความว่าหนึ่งในสามของความพยายามเข้าสู่ระบบเป็นพฤติกรรมที่เป็นอันตราย

เนื่องจากการโจมตีส่วนใหญ่เป็นการพยายามสุ่มใช้ข้อมูลส่วนตัวจำนวนมากในระยะเวลาอันสั้น แพลตฟอร์มที่ถูกโจมตีจะมีปริมาณของการใช้งานเพิ่มขึ้นอย่างรวดเร็วถึงสิบเท่า

ตัวอย่างในรายงานของ Okta คือการโจมตีอย่างต่อเนื่องเกือบสองเดือน จนสิ้นสุดในเดือนมกราคม 2022

Okta รายงานว่าส่วนใหญ่ความพยายามจะมุ่งเป้าไปที่บัญชีของบริษัทประเภท ค้าปลีก, eCommerce นอกจากนี้ยังมีบัญชีของบริษัทที่เกี่ยวข้องกับการศึกษา พลังงาน บริการทางการเงิน และซอฟต์แวร์

ตัวอย่างล่าสุดของการโจมตีด้วยวิธี credential stuffing บนแพลตฟอร์ม e-commerce กับลูกค้าของ North Face ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของผู้ใช้ได้ประมาณ 200,000 บัญชี

การป้องกันการโจมตีด้วยวิธี credential stuffing เป็นความรับผิดชอบหลักของแพลตฟอร์มต่าง ๆ ที่ควรใช้การตรวจสอบในเชิงรุก เช่น การแบนบัญชีผู้ใช้งานชั่วคราวสำหรับบัญชีที่น่าสงสัย

ส่วนในฝั่งของผู้ใช้งาน ควรเปิดการใช้งาน multi-factor authentication และการตั้งค่ารหัสผ่านที่รัดกุม และไม่ซ้ำกันสำหรับบัญชีออนไลน์ทั้งหมด ซึ่งส่วนใหญ่สามารถป้องกันได้เพียงพอต่อการโจมตีด้วยวิธีนี้

ที่มา : bleepingcomputer

แบรนด์เครื่องแต่งกายชื่อดังอย่าง 'The North Face' ตกเป็นเป้าหมายในการโจมตีด้วยวิธีการ Credential stuffing attack ส่งผลให้บัญชีผู้ใช้งานกว่า 194,905 บัญชีบนเว็บไซต์ thenorthface.

RIPE NCC (Reseaux IP European Network Coordination Center) กำลังประสบปัญหาถูกโจมตีด้วยเทคนิค Credential stuffing attack เพื่อพยายามเข้าถึงบัญชีด้วยระบบ Single Sign-On (SSO)

RIPE NCC คือองค์กรที่ไม่แสวงหาผลกำไรสำหรับรับการลงทะเบียนอินเทอร์เน็ตระดับภูมิภาคสำหรับยุโรป, ตะวันออกกลางและบางส่วนของเอเชียกลาง (EMEA) ซึ่งมีหน้าที่รับผิดชอบในการจัดสรรบล็อกของ IP addresses กับผู้ให้บริการอินเทอร์เน็ต, ผู้ให้บริการโฮสติ้งและองค์กรต่างๆ ในภูมิภาค EMEA

เหตุการณ์การโจมตีถูกเปิดเผยโดย RIPE ซึ่งพบว่าพวกเขาถูกโจมตีด้วยเทคนิค Credential stuffing attack ในช่วงสุดสัปดาห์ที่ผ่านมาและเป้าหมายของการโจมตีมุ่งเป้าไปยังระบบ RIPE NCC Access ซึ่งเป็นระบบ SSO สำหรับการให้บริการผู้ใช้เพื่อล็อกอินเข้าสู่เว็บไซต์ RIPE ทั้งหมดรวมถึง My LIR, Resources, RIPE Database, RIPE Labs, RIPEstat, RIPE Atlas และเว็บไซต์ RIPE Meeting โดยจากการตรวจสอบเบื้องต้นพบเจตนาของผู้ประสงค์ร้ายต้องการให้เกิดการหยุดทำงานบางอย่างของระบบ

ทั้งนี้ RIPE NCC กำลังสอบสวนเหตุการณ์ที่เกิดขึ้นและยังไม่พบว่าบัญชีใด ๆ ในระบบถูกบุกรุก อย่างไรก็ดี RIPE NCC ได้เปิดใช้งานระบบ Two-Factor Authentication (2FA) สำหรับเข้าถึงบัญชีด้วยระบบ SSO และขอให้ผู้ใช้ทุกคนเปิดใช้งานระบบ 2FA ในการเข้าใช้บัญชีด้วยเพื่อป้องกันการบุกรุกจากการโจมตีด้วยข้อมูล Credential ที่อาจถูกบุกรุกและควรใช้รหัสผ่านที่แตกต่างกันในทุกเว็บไซต์เพื่อป้องกันการรั่วไหลจากการใช้ข้อมูล Credential ในการโจมตีเว็บไซต์อื่น ๆ

ที่มา: bleepingcomputer