דף הבית הודעות לעיתונות אינטרנט ומחשבים מספר אירועי זליגת ההרשאות הכפיל את עצמו עם העליה בתחכום של ההאקרים
מספר אירועי זליגת ההרשאות הכפיל את עצמו עם העליה בתחכום של ההאקרים
איריס וינשטיין 07/03/21 |  צפיות: 1210

F5 משחררת את המהדורה השלישית של דוח Credential Stuffing Report - המחקר המקיף ביותר מסוגו העוקב אחר כל מחזור החיים של ניצול הרשאות של משתמשים

מספר אירועי זליגת ההרשאות (Credential Spill) השנתי כמעט הוכפל מ-2016 ל-2020, זאת על פי דוח Credential Stuffing Report1 האחרון של F5. המחקר המקיף ביותר מסוגו מדווח, עם זאת, על ירידה של 46% בהיקף ההרשאות שזלגו באותה תקופה. גודל הדליפה הממוצע ירד גם הוא מ-63 מיליון בשנת 2016 ל-17 מיליון אשתקד. גודל הזליגה החציוני לשנת 2020 (שני מיליון) היווה עלייה של 234% לעומת 2019 והיה הגבוה ביותר מאז 2016 (2.75 מיליון).

"התקפות Credential Stuffing – 'דחיסת הרשאות', הכוללות ניצול מספר גדול של צמדי הרשאות של שם משתמש ו/או דוא"ל וסיסמה, מהוות בעיה עולמית הולכת וגוברת", אמר סורין בויאנגיו, מהנדס מערכות בחברת F5 בישראל. "הודעת Private Industry Notification, שהוציא ה-FBI בשנה שעברה, הזהירה כי זהו איום המייצג את ההיקף הגדול ביותר של אירועי אבטחה נגד המגזר הפיננסי בארה"ב בין השנים 2017-2020 (41%)".

"התוקפים אוספים מיליארדי הרשאות במשך שנים. דליפות של הרשאות הן כמו דליפות נפט - לאחר שדלפו, קשה מאוד לנקות אותן מכיוון שההרשאות אינן משתנות על ידי צרכנים תמימים, ופתרונות כנגד Credential Stuffing טרם אומצו על ידי ארגונים. אין זה מפתיע שבתקופת מחקר זו ראינו שינוי בסוג ההתקפה המוביל, מהתקפות HTTP להתקפות Credential Stuffing. לסוג התקפה זה קיימת השפעה ארוכת טווח על אבטחת היישומים והוא לא ישתנה בקרוב", אמרה שרה בודי, המנהלת הבכירה של מעבדות F5. "אם אתם מודאגים מפריצה, סביר להניח שהיא תקרה כתוצאה מ-Credential Stuffing"

אופיר קפלושניק, מהנדס פתרונות בכיר ב-F5 מפציר בפני ארגונים לשמור על עירנות. "אמנם ההיקף הכללי של אירועי זליגת ההרשאות וגודלן ירדו בשנת 2020, אבל בהחלט לא צריך לחגוג עדיין" הוא מזהיר, "מתקפות Account takeover – המכילות מתקפות Credential Stuffing ו-Phishing - הן כיום הגורם מספר אחת לפרצות, וברור לכולם שצוותי האבטחה והסייבר לא ינצחו במלחמה נגד דליפת מידע וההונאות, אך נראה כי השוק מתייצב ומגיע לבשלות גדולה יותר".

אחסון סיסמאות לקוי ותחכום גובר של התוקפים

למרות שקיימת הסכמה לגבי שיטות עבודה מומלצות בתעשייה, אחד הממצאים החשובים של הדוח הוא שאחסון לקוי של סיסמאות נותר כסוגיה בעייתית. אף על פי שרוב הארגונים אינם חושפים אלגוריתמים של גיבוב סיסמאות (hashing), F5 הצליחה ללמוד 90 אירועים ספציפיים על מנת להבין מי יכולים להיות האשמים הסבירים ביותר בזליגת סיסמאות.

בשלוש השנים האחרונות, 42.6% מזליגות ההרשאות היו ללא הגנה והסיסמאות נשמרו כטקסט רגיל. בהמשך לכך, 20% מההרשאות הקשורות לאלגוריתם גיבוב הסיסמה SHA-1 שהיו 'unsalted' (כלומר, חסרים ערך ייחודי שניתן להוסיף בסוף הסיסמה כדי ליצור ערך hash שונה). אלגוריתם ה- bcrypt ה'salted' היה שלישי עם 16.7%.

ממצא בולט נוסף בדוח הוא שהתוקפים משתמשים יותר ויותר בטכניקת fuzzing כדי לייעל את ההצלחה בניצול ההרשאות. F5 מצאה כי מרבית ההתקפות הללו התרחשו לפני שחרורן הפומבי של ההרשאות שנגנבו, דבר שמרמז כי טכניקה זאת נפוצה יותר בקרב תוקפים מתוחכמים.

זיהוי זליגת נתונים

בדוח 2018 Credential Stuffing Report דיווחה F5 כי נדרשו 15 חודשים בממוצע עד שזליגת נתונים הפכה לידע ציבורי. נתון זה השתפר בשלוש השנים האחרונות. הזמן הממוצע לאיתור אירועים, כאשר ידוע גם תאריך האירוע וגם תאריך הגילוי, הוא בסביבות 11 חודשים. עם זאת, מספר זה מוטה על ידי קומץ אירועים בהם זמן האיתור היה שלוש שנים או יותר. הזמן החציוני לאיתור אירועים הוא 120 יום. חשוב לציין כי לעתים קרובות מזוהה זליגת נתונים ברשת האפלה לפני שארגונים חושפים את הפריצה.

הרשת האפלה באור הזרקורים

ההודעה על דליפת נתונים מגיעה בדרך כלל עם הופעת ההרשאות בפורומים של הרשת האפלה. בדוח 2020 Credentials Stuffing Reportניתחה F5 באופן ספציפי את התקופה המכריעה בין גניבת ההרשאות לפרסומן ברשת האפלה.

החוקרים ערכו ניתוח היסטורי תוך שימוש במדגם של כמעט 9 מיליארד הרשאות מאלפי פריצות לנתונים נפרדות, שהתיחסו אליו כאל "Collection X". ההרשאות פורסמו בפורומים של הרשת האפלה בתחילת ינואר 2019.

F5 השוותה את ההרשאות ב"Collection X" לשמות המשתמש שעשו בהם שימוש בהתקפות Credential Stuffing נגד קבוצת לקוחות שישה חודשים לפני ואחרי תאריך ההכרזה (כלומר, הפעם הראשונה שזליגת ההרשאות הופכת לידע ציבורי). נחקרו ארבעה לקוחות פורצ'ן 500 - שני בנקים, חברה קמעונאית וחברת מזון ומשקאות - המייצגים 72 מיליארד טרנזקציות במשך 21 חודשים. באמצעות טכנולוגיית Shape Security הצליחו החוקרים 'להתחקות' אחר הרשאות גנובות דרך גניבה, מכירה ושימוש בהן.

במהלך 12 חודשים נעשה שימוש ב-2.9 מיליארד הרשאות שונות, הן בטרנזקציות לגיטימיות והן בהתקפות על ארבעת האתרים. כמעט שליש (900 מיליון) מההרשאות נפגעו. ההרשאות הגנובות הופיעו בתדירות הגבוהה ביותר בטרנזקציות אנושיות לגיטימיות בבנקים (35% ו- 25% מהמקרים, בהתאמה). 10% מההתקפות התמקדו בארגוני קמעונאות, כאשר כ-5% התמקדו בעסקי המזון והמשקאות.

חמישה שלבים של ניצול לרעה

בהתבסס על המחקר, דוח2020 Credential Stuffingזיהה חמישה שלבים נפרדים של ניצוללרעה של הרשאות:

• איטי ושקט: שימוש חשאי בהרשאות שנגנבו עד חודש לפני הודעה פומבית. בממוצע, נעשה שימוש בכל הרשאה 15-20 פעמים ביום בהתקפות בארבעת האתרים.

• הגברה: ב-30 הימים שלפני ההודעה הפומבית, F5 ראתה את ההרשאות מסתובבות ברשת האפלה. תוקפים נוספים קיבלו גישה אליהן, ולכן מספר ההתקפות ליום גדל בהתמדה.

• הבליץ: כאשר ההרשאות הפכו לידע ציבורי, 'ילדי סקריפט' וחובבים אחרים החלו להשתמש בהם בכל נכסי האינטרנט הגדולים ביותר. השבוע הראשון היה פעיל במיוחד, כאשר כל חשבון הותקף בממוצע מעל 130 פעמים ביום.

• ירידה / שיווי משקל חדש: לאחר החודש הראשון, F5 זיהתה שיווי משקל חדש של כ-28 התקפות לכל שם משתמש ליום. מעניין ששיווי המשקל החדש גבוה יותר מהמצב המקורי של 15 התקפות בשלב 'איטי ושקט'. הסיבה לכך היא תת קבוצה של תוקפים טירונים שעדיין מכוונים לחברות בעלות ערך גבוה עם הרשאות ישנות.

• גלגול נשמות: לאחר ביצוע התקפות מילוי אישורים על מגוון מאפייני אינטרנט, קבוצת משנה של עבריינים החלה לארוז מחדש את אישורי האישור כדי להאריך את חיי המדף הניתנים לניצול.

מזעור האיום

"התקפות Credential Stuffing יהוו איום כל עוד אנו דורשים מהמשתמשים להתחבר לחשבונות באופן מקוון," הוסיפה בודי. "התוקפים ימשיכו לשנות את ההתקפות שלהם לטכניקות הגנה מפני הונאה, דבר שיוצר צורך והזדמנות לבקרות אדפטיביות המופעלות על ידי AI, הקשורות ל-Credential Stuffing והונאה. אי אפשר לזהות באופן מיידי 100% מהתקיפות. מה שאפשר הוך להפוך את ההתקפות לכל כך יקרות עד שהרמאים מרימים ידיים. אם יש דבר אחד שמתקיים ברחבי העולמות של פושעי סייבר ואנשי עסקים גם יחד, הוא שזמן שווה כסף".

 

1 הגרסה הקודמת של הדוח נקראה "Credential Spilling Report". הוא פורסם על ידי Shape Security, המהווה כיום חלק מ-F5, כדי למפות ולהבין את כל מחזור החיים של ניצול ההרשאות.


דירוג המאמר:

תגיות של המאמר:

 איריס וינשטיין


 


מאמרים נוספים מאת איריס וינשטיין
 
משרדי יחסי הציבור קו ישיר ו-MSCOMMS משיקים את NewStory Group – מותג המשלב את מומחיותם בתחומי ההייטק והתעשייה המסורתית
חברות היעוץ התקשורתי קו ישיר בבעלות איריס וינשטיין ו-MSCOMMS בבעלות איריס בנדיט, מהוותיקות והמנוסות בישראל בתחומי הטכנולוגיה והתעשייה לשוק ה-B2B ו-B2C, הודיעו על הקמת NewStory Group, מותג יחסי ציבור ובית תוכן, המשלב את פעילות שתי החברות.

חברת F5 משדרגת את החוויה הדיגיטלית עם הגנה מקיפה מפני השתלטות על חשבונות
F5 (NASDAQ: FFIV) מכריזה על סט פתרונות אבטחת מידע, המיועד לשיפור שיתוף הפעולה בין צוותי אבטחת המידע ומניעת הונאות, תוך מתן כלים מתקדמים להתמודדות עם מגוון רחב של איומים מורכבים. הפתרונות החדשים מרחיבים את הפורטפוליו של Shape Security מבית F5 הכולל שירותי SaaS ושירותים מנוהלים, כדי להגן על לקוחות, יישומים וממשקי API מפני השתלטות על חשבונות (ATO) ומאפשרים חוויה דיגיטלית טובה יותר.

חברת שירותי הענן YouCC מונתה לשותפה של F5
חברת YouCC, מובילה בשירותי ענן, טרנספורמציה דיגיטלית ואבטחת מידע, מונתה לשותפה על ידי חברת F5 הגלובלית. F5 בחרה בחברת YouCC בשל ניסיונה המוכח ורב השנים בהובלת פרויקטי ענן אסטרטגיים בארגונים ממגזרים מגוונים ויכולתה לספק מענה מקיף בתחום ה-Cloud Security וחווית המשתמש, כמו גם בשל צוות המומחים האיכותי, המלווה את הלקוחות בכל שלבי תהליכי היישום והטמעת הפתרונות בצורה מאובטחת.

Infinidat מחזקת את המחויבות לרשת השותפים עם הרחבה משמעותית
חברת Infinidat, ספקית מובילה של פתרונות אחסון נתונים לארגוני אנטרפרייז, הודיעה היום כי השלימה אבני דרך משמעותיות בהרחבה אגרסיבית של יוזמות ממוקדות שותפים. Infinidat השקיעה רבות בהרחבת תכנית השותפים לדירוג של חמישה כוכבים, הגדלת הכנסות השותפים והמרווחים, מימון משותף לפיתוח השיווק (MDF) ואירועים משותפים.

חברת Gina Life בוחרת ב- Data Science Group (DSG) לזרוע פיתוח מודל הבינה המלאכותית לאבחון ביתי מוקדם של סרטן השחלות
חברת Gina Life, המפתחת שיטה חדשנית לאבחון ביתי מוקדם של סרטן השחלות, בוחרת ב-Data Science Group (DSG) לזרוע פיתוח מודל הבינה המלאכותית (AI) שלה. מודל זה, המשתלב בשיטת האבחון של החברה, מאפשר מעקב אישי של כל אישה אחר סמנים ביולוגיים ויכולת לחזות סיכון להתפתחות המחלה בשלבים התחלתיים.

Black Friday/Cyber Monday: נתונים ומגמות בזירת הסייבר לקראת הסופ"ש הסוער של חגיגות הקניות
חברת F5 מזהירה צרכנים וקמעונאים מעליה בהונאות מסחר אלקטרוני ופשעי סייבר בחגיגת הקניות של Black Friday/Cyber Monday המתקיימת בסוף השבוע הקרוב.

חברת Infinidat מינתה את ריצ'רד ברדבורי לסגן נשיא בכיר למכירות בינלאומיות לאזורי EMEA ו-APJ
Infinidat, ספקית מובילה של פתרונות אחסון נתונים לארגוני אנטרפרייז, ממנה את ריצ'רד ברדבורי לסגן נשיא בכיר למכירות בינלאומיות לאזורי EMEA ו-APJ. ברדבורי יהיה אחראי על האצת הצמיחה והגדלת העסקים של Infinidat בארגוני אנטרפרייז ברחבי בריטניה, אירופה, המזרח התיכון, יפן, אוסטרליה, ניו זילנד והשווקים המתעוררים, תוך מינוף הניסיון הרב שלו בתחום אחסון הנתונים ב-Hitachi וב-EMC. ברדבורי מדווח ישירות למנכ"ל Infinidat, פיל באלינג'ר.

חברת COMAX מרחיבה את אבטחת המידע ללקוחות הקמעונאיים בענן עם פתרונות F5
חברת COMAX, המתמחה בפתרונות מחשוב בענן לעסקים ולארגונים בעולם הקמעונאות, מרחיבה את אבטחת המידע שלה עם פתרונות F5. בפרויקט, שהחל לפני מספר חודשים והסתיים לאחרונה, הטמיעה החברה את פתרון ה-WAF המתקדם של F5 (Advanced Web Application Firewall) למטרת חיזוק ההגנה האפליקטיבית למערכות הליבה והפתרונות העננים, כדי לספק ללקוחותיה שירות ענני מהיר ומאובטח. הפרויקט בוצע בשיתוף פעולה עם חברת איירון קלאד מערכות.

aQurate מרחיבה את רשת השותפים שלה וממנה את נס דיגיטל כשותפה
aQurate, מקבוצת UCL, מרחיבה את רשת השותפים שלה וממנה את נס דיגיטל כשותפה. נס דיגיטל תשווק את מגוון הפתרונות לניהול נתונים הנמצאים בפורטפוליו החברה. החברה פתחה בתהליך הכשרה, לצוות נס דיגיטל בו יכירו את הפתרונות המובילים של החברה ביניהם: Talend לניהול ואינטגרציית נתונים, Trifecta להכנת נתונים ו- HVR לשכפול והפצת נתונים בזמן אמת.

חברת ThetaRay זכתה בתחרות "The Search" אבו דאבי ותייצג את ישראל בתחרות הגלובאלית, שמאתרת את הסטרטאפים המובילים בעולם בתחומי הפינטק והסייבר
חברת ThetaRay זכתה בתחרות "The Search" אבו דאבי ותייצג את ישראל בתחרות הגלובאלית, שמאתרת את הסטרטאפים המובילים בעולם בתחומי הפינטק והסייבר
     
 
שיווק באינטרנט על ידי WSI