מחקר: הרשאות גנובות משמשות בחלק ניכר מהמתקפות נגד חשבונות בנק
F5 משחררת את המהדורה השלישית של דוח Credential Stuffing Report - מחקר מקיף העוקב אחר כל מחזור החיים של ניצול הרשאות של משתמשים
עמי רוחקס דומבה
| 09/03/2021
אופיר קפלושניק, מהנדס פתרונות בכיר ב-F5. קרדיט צילום: F5
מספר אירועי זליגת ההרשאות (Credential Spill) השנתי כמעט הוכפל מ-2016 ל-2020, זאת על פי דוח Credential Stuffing Report1 האחרון של F5. המחקר חושף, עם זאת, ירידה של 46% בהיקף ההרשאות שזלגו באותה תקופה.
גודל הדליפה הממוצע ירד גם הוא מ-63 מיליון בשנת 2016 ל-17 מיליון אשתקד. גודל הזליגה החציוני לשנת 2020 (שני מיליון) היווה עלייה של 234% לעומת 2019 והיה הגבוה ביותר מאז 2016 (2.75 מיליון).
"התקפות Credential Stuffing – 'דחיסת הרשאות', הכוללות ניצול מספר גדול של צמדי הרשאות של שם משתמש ו/או דוא"ל וסיסמה, מהוות בעיה עולמית הולכת וגוברת", אמר סורין בויאנגיו, מהנדס מערכות בחברת F5 בישראל. "הודעת Private Industry Notification, שהוציא ה-FBI בשנה שעברה, הזהירה כי זהו איום המייצג את ההיקף הגדול ביותר של אירועי אבטחה נגד המגזר הפיננסי בארה"ב בין השנים 2017-2020 (41%).
"התוקפים אוספים מיליארדי הרשאות במשך שנים. דליפות של הרשאות הן כמו דליפות נפט - לאחר שדלפו, קשה מאוד לנקות אותן מכיוון שההרשאות אינן משתנות על ידי צרכנים תמימים, ופתרונות כנגד Credential Stuffing טרם אומצו על ידי ארגונים. אין זה מפתיע שבתקופת מחקר זו ראינו שינוי בסוג ההתקפה המוביל, מהתקפות HTTP להתקפות Credential Stuffing.
״לסוג התקפה זה קיימת השפעה ארוכת טווח על אבטחת היישומים והוא לא ישתנה בקרוב", אמרה שרה בודי, המנהלת הבכירה של מעבדות F5. "אם אתם מודאגים מפריצה, סביר להניח שהיא תקרה כתוצאה מ-Credential Stuffing."
אופיר קפלושניק, מהנדס פתרונות בכיר ב-F5 מפציר בפני ארגונים לשמור על עירנות. "אמנם ההיקף הכללי של אירועי זליגת ההרשאות וגודלן ירדו בשנת 2020, אבל בהחלט לא צריך לחגוג עדיין" הוא מזהיר. "מתקפות Account takeover – המכילות מתקפות Credential Stuffing ו-Phishing - הן כיום הגורם מספר אחת לפרצות, וברור לכולם שצוותי האבטחה והסייבר לא ינצחו במלחמה נגד דליפת מידע וההונאות, אך נראה כי השוק מתייצב ומגיע לבשלות גדולה יותר".
אחסון סיסמאות לקוי ותחכום גובר של התוקפים
למרות שקיימת הסכמה לגבי שיטות עבודה מומלצות בתעשייה, אחד הממצאים החשובים של הדוח הוא שאחסון לקוי של סיסמאות נותר כסוגיה בעייתית. אף על פי שרוב הארגונים אינם חושפים אלגוריתמים של גיבוב סיסמאות (hashing), F5 הצליחה ללמוד 90 אירועים ספציפיים על מנת להבין מי יכולים להיות האשמים הסבירים ביותר בזליגת סיסמאות.
בשלוש השנים האחרונות, 42.6% מזליגות ההרשאות היו ללא הגנה והסיסמאות נשמרו כטקסט רגיל. בהמשך לכך, 20% מההרשאות הקשורות לאלגוריתם גיבוב הסיסמה SHA-1 שהיו 'unsalted' (כלומר, חסרים ערך ייחודי שניתן להוסיף בסוף הסיסמה כדי ליצור ערך hash שונה). אלגוריתם ה- bcrypt ה'salted' היה שלישי עם 16.7%.
ממצא בולט נוסף בדוח הוא שהתוקפים משתמשים יותר ויותר בטכניקת fuzzing כדי לייעל את ההצלחה בניצול ההרשאות. F5 מצאה כי מרבית ההתקפות הללו התרחשו לפני שחרורן הפומבי של ההרשאות שנגנבו, דבר שמרמז כי טכניקה זאת נפוצה יותר בקרב תוקפים מתוחכמים.
זיהוי זליגת נתונים
בדוח 2018 Credential Stuffing Report דיווחה F5 כי נדרשו 15 חודשים בממוצע עד שזליגת נתונים הפכה לידע ציבורי. נתון זה השתפר בשלוש השנים האחרונות. הזמן הממוצע לאיתור אירועים, כאשר ידוע גם תאריך האירוע וגם תאריך הגילוי, הוא בסביבות 11 חודשים.
עם זאת, מספר זה מוטה על ידי קומץ אירועים בהם זמן האיתור היה שלוש שנים או יותר. הזמן החציוני לאיתור אירועים הוא 120 יום. חשוב לציין כי לעתים קרובות מזוהה זליגת נתונים ברשת האפלה לפני שארגונים חושפים את הפריצה.
הרשת האפלה באור הזרקורים
ההודעה על דליפת נתונים מגיעה בדרך כלל עם הופעת ההרשאות בפורומים של הרשת האפלה. בדוח 2020 Credentials Stuffing Report ניתחה F5 באופן ספציפי את התקופה המכריעה בין גניבת ההרשאות לפרסומן ברשת האפלה.
החוקרים ערכו ניתוח היסטורי תוך שימוש במדגם של כמעט 9 מיליארד הרשאות מאלפי פריצות לנתונים נפרדות, שהתיחסו אליו כאל "Collection X". ההרשאות פורסמו בפורומים של הרשת האפלה בתחילת ינואר 2019.
F5 השוותה את ההרשאות ב"Collection X" לשמות המשתמש שעשו בהם שימוש בהתקפות Credential Stuffing נגד קבוצת לקוחות שישה חודשים לפני ואחרי תאריך ההכרזה (כלומר, הפעם הראשונה שזליגת ההרשאות הופכת לידע ציבורי).
נחקרו ארבעה לקוחות פורצ'ן 500 - שני בנקים, חברה קמעונאית וחברת מזון ומשקאות - המייצגים 72 מיליארד טרנזקציות במשך 21 חודשים. באמצעות טכנולוגיית Shape Security הצליחו החוקרים 'להתחקות' אחר הרשאות גנובות דרך גניבה, מכירה ושימוש בהן.
במהלך 12 חודשים נעשה שימוש ב-2.9 מיליארד הרשאות שונות, הן בטרנזקציות לגיטימיות והן בהתקפות על ארבעת האתרים. כמעט שליש (900 מיליון) מההרשאות נפגעו. ההרשאות הגנובות הופיעו בתדירות הגבוהה ביותר בטרנזקציות אנושיות לגיטימיות בבנקים (35% ו- 25% מהמקרים, בהתאמה). 10% מההתקפות התמקדו בארגוני קמעונאות, כאשר כ-5% התמקדו בעסקי המזון והמשקאות.
הורד את הדוח המלא בלינק.
F5 משחררת את המהדורה השלישית של דוח Credential Stuffing Report - מחקר מקיף העוקב אחר כל מחזור החיים של ניצול הרשאות של משתמשים
אופיר קפלושניק, מהנדס פתרונות בכיר ב-F5. קרדיט צילום: F5
מספר אירועי זליגת ההרשאות (Credential Spill) השנתי כמעט הוכפל מ-2016 ל-2020, זאת על פי דוח Credential Stuffing Report1 האחרון של F5. המחקר חושף, עם זאת, ירידה של 46% בהיקף ההרשאות שזלגו באותה תקופה.
גודל הדליפה הממוצע ירד גם הוא מ-63 מיליון בשנת 2016 ל-17 מיליון אשתקד. גודל הזליגה החציוני לשנת 2020 (שני מיליון) היווה עלייה של 234% לעומת 2019 והיה הגבוה ביותר מאז 2016 (2.75 מיליון).
"התקפות Credential Stuffing – 'דחיסת הרשאות', הכוללות ניצול מספר גדול של צמדי הרשאות של שם משתמש ו/או דוא"ל וסיסמה, מהוות בעיה עולמית הולכת וגוברת", אמר סורין בויאנגיו, מהנדס מערכות בחברת F5 בישראל. "הודעת Private Industry Notification, שהוציא ה-FBI בשנה שעברה, הזהירה כי זהו איום המייצג את ההיקף הגדול ביותר של אירועי אבטחה נגד המגזר הפיננסי בארה"ב בין השנים 2017-2020 (41%).
"התוקפים אוספים מיליארדי הרשאות במשך שנים. דליפות של הרשאות הן כמו דליפות נפט - לאחר שדלפו, קשה מאוד לנקות אותן מכיוון שההרשאות אינן משתנות על ידי צרכנים תמימים, ופתרונות כנגד Credential Stuffing טרם אומצו על ידי ארגונים. אין זה מפתיע שבתקופת מחקר זו ראינו שינוי בסוג ההתקפה המוביל, מהתקפות HTTP להתקפות Credential Stuffing.
״לסוג התקפה זה קיימת השפעה ארוכת טווח על אבטחת היישומים והוא לא ישתנה בקרוב", אמרה שרה בודי, המנהלת הבכירה של מעבדות F5. "אם אתם מודאגים מפריצה, סביר להניח שהיא תקרה כתוצאה מ-Credential Stuffing."
אופיר קפלושניק, מהנדס פתרונות בכיר ב-F5 מפציר בפני ארגונים לשמור על עירנות. "אמנם ההיקף הכללי של אירועי זליגת ההרשאות וגודלן ירדו בשנת 2020, אבל בהחלט לא צריך לחגוג עדיין" הוא מזהיר. "מתקפות Account takeover – המכילות מתקפות Credential Stuffing ו-Phishing - הן כיום הגורם מספר אחת לפרצות, וברור לכולם שצוותי האבטחה והסייבר לא ינצחו במלחמה נגד דליפת מידע וההונאות, אך נראה כי השוק מתייצב ומגיע לבשלות גדולה יותר".
אחסון סיסמאות לקוי ותחכום גובר של התוקפים
למרות שקיימת הסכמה לגבי שיטות עבודה מומלצות בתעשייה, אחד הממצאים החשובים של הדוח הוא שאחסון לקוי של סיסמאות נותר כסוגיה בעייתית. אף על פי שרוב הארגונים אינם חושפים אלגוריתמים של גיבוב סיסמאות (hashing), F5 הצליחה ללמוד 90 אירועים ספציפיים על מנת להבין מי יכולים להיות האשמים הסבירים ביותר בזליגת סיסמאות.
בשלוש השנים האחרונות, 42.6% מזליגות ההרשאות היו ללא הגנה והסיסמאות נשמרו כטקסט רגיל. בהמשך לכך, 20% מההרשאות הקשורות לאלגוריתם גיבוב הסיסמה SHA-1 שהיו 'unsalted' (כלומר, חסרים ערך ייחודי שניתן להוסיף בסוף הסיסמה כדי ליצור ערך hash שונה). אלגוריתם ה- bcrypt ה'salted' היה שלישי עם 16.7%.
ממצא בולט נוסף בדוח הוא שהתוקפים משתמשים יותר ויותר בטכניקת fuzzing כדי לייעל את ההצלחה בניצול ההרשאות. F5 מצאה כי מרבית ההתקפות הללו התרחשו לפני שחרורן הפומבי של ההרשאות שנגנבו, דבר שמרמז כי טכניקה זאת נפוצה יותר בקרב תוקפים מתוחכמים.
זיהוי זליגת נתונים
בדוח 2018 Credential Stuffing Report דיווחה F5 כי נדרשו 15 חודשים בממוצע עד שזליגת נתונים הפכה לידע ציבורי. נתון זה השתפר בשלוש השנים האחרונות. הזמן הממוצע לאיתור אירועים, כאשר ידוע גם תאריך האירוע וגם תאריך הגילוי, הוא בסביבות 11 חודשים.
עם זאת, מספר זה מוטה על ידי קומץ אירועים בהם זמן האיתור היה שלוש שנים או יותר. הזמן החציוני לאיתור אירועים הוא 120 יום. חשוב לציין כי לעתים קרובות מזוהה זליגת נתונים ברשת האפלה לפני שארגונים חושפים את הפריצה.
הרשת האפלה באור הזרקורים
ההודעה על דליפת נתונים מגיעה בדרך כלל עם הופעת ההרשאות בפורומים של הרשת האפלה. בדוח 2020 Credentials Stuffing Report ניתחה F5 באופן ספציפי את התקופה המכריעה בין גניבת ההרשאות לפרסומן ברשת האפלה.
החוקרים ערכו ניתוח היסטורי תוך שימוש במדגם של כמעט 9 מיליארד הרשאות מאלפי פריצות לנתונים נפרדות, שהתיחסו אליו כאל "Collection X". ההרשאות פורסמו בפורומים של הרשת האפלה בתחילת ינואר 2019.
F5 השוותה את ההרשאות ב"Collection X" לשמות המשתמש שעשו בהם שימוש בהתקפות Credential Stuffing נגד קבוצת לקוחות שישה חודשים לפני ואחרי תאריך ההכרזה (כלומר, הפעם הראשונה שזליגת ההרשאות הופכת לידע ציבורי).
נחקרו ארבעה לקוחות פורצ'ן 500 - שני בנקים, חברה קמעונאית וחברת מזון ומשקאות - המייצגים 72 מיליארד טרנזקציות במשך 21 חודשים. באמצעות טכנולוגיית Shape Security הצליחו החוקרים 'להתחקות' אחר הרשאות גנובות דרך גניבה, מכירה ושימוש בהן.
במהלך 12 חודשים נעשה שימוש ב-2.9 מיליארד הרשאות שונות, הן בטרנזקציות לגיטימיות והן בהתקפות על ארבעת האתרים. כמעט שליש (900 מיליון) מההרשאות נפגעו. ההרשאות הגנובות הופיעו בתדירות הגבוהה ביותר בטרנזקציות אנושיות לגיטימיות בבנקים (35% ו- 25% מהמקרים, בהתאמה). 10% מההתקפות התמקדו בארגוני קמעונאות, כאשר כ-5% התמקדו בעסקי המזון והמשקאות.
הורד את הדוח המלא בלינק.
