In a credential stuffing attack, cybercriminals take advantage of weak and reused passwords. Automated bots will take a list of username/password pairs that have been exposed in data breaches and try them on other online accounts. If the user has the same credentials on multiple sites, this provides the attacker with unauthorized access to a legitimate user account.
Los ataques de relleno de credenciales utilizan grandes listas de pares de nombre de usuario/contraseña que han sido expuestos. En algunas violaciones de datos, el almacenamiento inadecuado de credenciales da como resultado que se filtre toda la base de datos de contraseñas. En otros, los ciberdelincuentes descrían las contraseñas de algunos usuarios a través de ataques de adivinación de contraseñas. Los embutidores de credenciales también pueden obtener acceso a nombres de usuario y contraseñas mediante phishing y ataques similares.
These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.
After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.
Los ataques de contraseña de fuerza bruta son un término general que cubre algunas técnicas de ataque específicas diferentes. En general, un ataque de fuerza bruta significa que el atacante solo está probando diferentes combinaciones para una contraseña hasta que algo funcione.
El término ataque de fuerza bruta se usa más comúnmente para referirse a un ataque en el que el atacante está probando todas las opciones posibles para una contraseña. Por ejemplo, un ataque de fuerza bruta a una contraseña de ocho caracteres puede probar aaaaaaaa, aaaaaaab, aaaaaaac, etc. Si bien este enfoque está garantizado para encontrar la contraseña correcta eventualmente, es lento hasta el punto de ser inviable para una contraseña segura.
El relleno de credenciales adopta un enfoque diferente para adivinar la contraseña de un usuario. En lugar de mirar todas las posibles combinaciones de contraseñas, se centra en aquellas que se sabe que han sido utilizadas por una persona porque fueron expuestas en una violación. Este enfoque para adivinar contraseñas es mucho más rápido que una búsqueda por fuerza bruta, pero supone que las contraseñas se reutilizarán en múltiples sitios. Sin embargo, dado que la mayoría de la gente reutiliza la misma contraseña para varios sitios, esta es una suposición segura.
El relleno de credenciales representa un grave riesgo para la seguridad personal y corporativa. Un ataque de relleno de credenciales exitoso le da al atacante acceso a la cuenta del usuario, que puede contener información confidencial o la capacidad de realizar transacciones financieras u otras acciones privilegiadas en nombre del usuario. Sin embargo, a pesar de la amenaza bien publicitada de la reutilización de contraseñas, la mayoría de las personas no están cambiando sus comportamientos de contraseña.
El relleno de credenciales también puede poner en riesgo a la empresa si las contraseñas se reutilizan en cuentas personales y comerciales. Las empresas pueden tomar algunas medidas diferentes para mitigar el riesgo de ataques de relleno de credenciales, que incluyen:
Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:
Para ver Harmony Browse en acción, mira este vídeo.