F5 משחררת את המהדורה השלישית של דוח Credential Stuffing Report - המחקר המקיף ביותר מסוגו העוקב אחר כל מחזור החיים של ניצול הרשאות של משתמשים
מספר אירועי זליגת ההרשאות (Credential Spill) השנתי כמעט הוכפל מ-2016 ל-2020, זאת על פי דוח Credential Stuffing Report1 האחרון של F5. המחקר המקיף ביותר מסוגו מדווח, עם זאת, על ירידה של 46% בהיקף ההרשאות שזלגו באותה תקופה. גודל הדליפה הממוצע ירד גם הוא מ-63 מיליון בשנת 2016 ל-17 מיליון אשתקד. גודל הזליגה החציוני לשנת 2020 (שני מיליון) היווה עלייה של 234% לעומת 2019 והיה הגבוה ביותר מאז 2016 (2.75 מיליון).
"התקפות Credential Stuffing – 'דחיסת הרשאות', הכוללות ניצול מספר גדול של צמדי הרשאות של שם משתמש ו/או דוא"ל וסיסמה, מהוות בעיה עולמית הולכת וגוברת", אמר סורין בויאנגיו, מהנדס מערכות בחברת F5 בישראל. "הודעת Private Industry Notification, שהוציא ה-FBI בשנה שעברה, הזהירה כי זהו איום המייצג את ההיקף הגדול ביותר של אירועי אבטחה נגד המגזר הפיננסי בארה"ב בין השנים 2017-2020 (41%)".
"התוקפים אוספים מיליארדי הרשאות במשך שנים. דליפות של הרשאות הן כמו דליפות נפט - לאחר שדלפו, קשה מאוד לנקות אותן מכיוון שההרשאות אינן משתנות על ידי צרכנים תמימים, ופתרונות כנגד Credential Stuffing טרם אומצו על ידי ארגונים. אין זה מפתיע שבתקופת מחקר זו ראינו שינוי בסוג ההתקפה המוביל, מהתקפות HTTP להתקפות Credential Stuffing. לסוג התקפה זה קיימת השפעה ארוכת טווח על אבטחת היישומים והוא לא ישתנה בקרוב", אמרה שרה בודי, המנהלת הבכירה של מעבדות F5. "אם אתם מודאגים מפריצה, סביר להניח שהיא תקרה כתוצאה מ-Credential Stuffing"
אופיר קפלושניק, מהנדס פתרונות בכיר ב-F5 מפציר בפני ארגונים לשמור על עירנות. "אמנם ההיקף הכללי של אירועי זליגת ההרשאות וגודלן ירדו בשנת 2020, אבל בהחלט לא צריך לחגוג עדיין" הוא מזהיר, "מתקפות Account takeover – המכילות מתקפות Credential Stuffing ו-Phishing - הן כיום הגורם מספר אחת לפרצות, וברור לכולם שצוותי האבטחה והסייבר לא ינצחו במלחמה נגד דליפת מידע וההונאות, אך נראה כי השוק מתייצב ומגיע לבשלות גדולה יותר".
אחסון סיסמאות לקוי ותחכום גובר של התוקפים
למרות שקיימת הסכמה לגבי שיטות עבודה מומלצות בתעשייה, אחד הממצאים החשובים של הדוח הוא שאחסון לקוי של סיסמאות נותר כסוגיה בעייתית. אף על פי שרוב הארגונים אינם חושפים אלגוריתמים של גיבוב סיסמאות (hashing), F5 הצליחה ללמוד 90 אירועים ספציפיים על מנת להבין מי יכולים להיות האשמים הסבירים ביותר בזליגת סיסמאות.
בשלוש השנים האחרונות, 42.6% מזליגות ההרשאות היו ללא הגנה והסיסמאות נשמרו כטקסט רגיל. בהמשך לכך, 20% מההרשאות הקשורות לאלגוריתם גיבוב הסיסמה SHA-1 שהיו 'unsalted' (כלומר, חסרים ערך ייחודי שניתן להוסיף בסוף הסיסמה כדי ליצור ערך hash שונה). אלגוריתם ה- bcrypt ה'salted' היה שלישי עם 16.7%.
ממצא בולט נוסף בדוח הוא שהתוקפים משתמשים יותר ויותר בטכניקת fuzzing כדי לייעל את ההצלחה בניצול ההרשאות. F5 מצאה כי מרבית ההתקפות הללו התרחשו לפני שחרורן הפומבי של ההרשאות שנגנבו, דבר שמרמז כי טכניקה זאת נפוצה יותר בקרב תוקפים מתוחכמים.
זיהוי זליגת נתונים
בדוח 2018 Credential Stuffing Report דיווחה F5 כי נדרשו 15 חודשים בממוצע עד שזליגת נתונים הפכה לידע ציבורי. נתון זה השתפר בשלוש השנים האחרונות. הזמן הממוצע לאיתור אירועים, כאשר ידוע גם תאריך האירוע וגם תאריך הגילוי, הוא בסביבות 11 חודשים. עם זאת, מספר זה מוטה על ידי קומץ אירועים בהם זמן האיתור היה שלוש שנים או יותר. הזמן החציוני לאיתור אירועים הוא 120 יום. חשוב לציין כי לעתים קרובות מזוהה זליגת נתונים ברשת האפלה לפני שארגונים חושפים את הפריצה.
הרשת האפלה באור הזרקורים
ההודעה על דליפת נתונים מגיעה בדרך כלל עם הופעת ההרשאות בפורומים של הרשת האפלה. בדוח 2020 Credentials Stuffing Reportניתחה F5 באופן ספציפי את התקופה המכריעה בין גניבת ההרשאות לפרסומן ברשת האפלה.
החוקרים ערכו ניתוח היסטורי תוך שימוש במדגם של כמעט 9 מיליארד הרשאות מאלפי פריצות לנתונים נפרדות, שהתיחסו אליו כאל "Collection X". ההרשאות פורסמו בפורומים של הרשת האפלה בתחילת ינואר 2019.
F5 השוותה את ההרשאות ב"Collection X" לשמות המשתמש שעשו בהם שימוש בהתקפות Credential Stuffing נגד קבוצת לקוחות שישה חודשים לפני ואחרי תאריך ההכרזה (כלומר, הפעם הראשונה שזליגת ההרשאות הופכת לידע ציבורי). נחקרו ארבעה לקוחות פורצ'ן 500 - שני בנקים, חברה קמעונאית וחברת מזון ומשקאות - המייצגים 72 מיליארד טרנזקציות במשך 21 חודשים. באמצעות טכנולוגיית Shape Security הצליחו החוקרים 'להתחקות' אחר הרשאות גנובות דרך גניבה, מכירה ושימוש בהן.
במהלך 12 חודשים נעשה שימוש ב-2.9 מיליארד הרשאות שונות, הן בטרנזקציות לגיטימיות והן בהתקפות על ארבעת האתרים. כמעט שליש (900 מיליון) מההרשאות נפגעו. ההרשאות הגנובות הופיעו בתדירות הגבוהה ביותר בטרנזקציות אנושיות לגיטימיות בבנקים (35% ו- 25% מהמקרים, בהתאמה). 10% מההתקפות התמקדו בארגוני קמעונאות, כאשר כ-5% התמקדו בעסקי המזון והמשקאות.
חמישה שלבים של ניצול לרעה
בהתבסס על המחקר, דוח2020 Credential Stuffingזיהה חמישה שלבים נפרדים של ניצוללרעה של הרשאות:
• איטי ושקט: שימוש חשאי בהרשאות שנגנבו עד חודש לפני הודעה פומבית. בממוצע, נעשה שימוש בכל הרשאה 15-20 פעמים ביום בהתקפות בארבעת האתרים.
• הגברה: ב-30 הימים שלפני ההודעה הפומבית, F5 ראתה את ההרשאות מסתובבות ברשת האפלה. תוקפים נוספים קיבלו גישה אליהן, ולכן מספר ההתקפות ליום גדל בהתמדה.
• הבליץ: כאשר ההרשאות הפכו לידע ציבורי, 'ילדי סקריפט' וחובבים אחרים החלו להשתמש בהם בכל נכסי האינטרנט הגדולים ביותר. השבוע הראשון היה פעיל במיוחד, כאשר כל חשבון הותקף בממוצע מעל 130 פעמים ביום.
• ירידה / שיווי משקל חדש: לאחר החודש הראשון, F5 זיהתה שיווי משקל חדש של כ-28 התקפות לכל שם משתמש ליום. מעניין ששיווי המשקל החדש גבוה יותר מהמצב המקורי של 15 התקפות בשלב 'איטי ושקט'. הסיבה לכך היא תת קבוצה של תוקפים טירונים שעדיין מכוונים לחברות בעלות ערך גבוה עם הרשאות ישנות.
• גלגול נשמות: לאחר ביצוע התקפות מילוי אישורים על מגוון מאפייני אינטרנט, קבוצת משנה של עבריינים החלה לארוז מחדש את אישורי האישור כדי להאריך את חיי המדף הניתנים לניצול.
מזעור האיום
"התקפות Credential Stuffing יהוו איום כל עוד אנו דורשים מהמשתמשים להתחבר לחשבונות באופן מקוון," הוסיפה בודי. "התוקפים ימשיכו לשנות את ההתקפות שלהם לטכניקות הגנה מפני הונאה, דבר שיוצר צורך והזדמנות לבקרות אדפטיביות המופעלות על ידי AI, הקשורות ל-Credential Stuffing והונאה. אי אפשר לזהות באופן מיידי 100% מהתקיפות. מה שאפשר הוך להפוך את ההתקפות לכל כך יקרות עד שהרמאים מרימים ידיים. אם יש דבר אחד שמתקיים ברחבי העולמות של פושעי סייבר ואנשי עסקים גם יחד, הוא שזמן שווה כסף".
1 הגרסה הקודמת של הדוח נקראה "Credential Spilling Report". הוא פורסם על ידי Shape Security, המהווה כיום חלק מ-F5, כדי למפות ולהבין את כל מחזור החיים של ניצול ההרשאות.