W świecie cyberbezpieczeństwa scenariusze ataków lubią się powtarzać. Zgodnie z tą zasadą dane wyciekłe kilka lat temu ponownie pojawiają się na forach i marketplace’ach w dark webie, a cyberprzestępcy wykorzystują je do nowych kampanii przejęć kont.

Autor: 5 min czytania

To właśnie combolisty – ogromne bazy loginów i haseł pochodzących z wcześniejszych wycieków, phishingu czy malware typu infostealer. Problem polega na tym, że mimo upływu czasu dane te nadal okazują się zaskakująco aktualne. I to nie dlatego, że atakujący dysponują zaawansowanymi exploitami. Powód jest znacznie prostszy.

Stare wycieki nadal działają

Cały mechanizm opiera się na jednym bardzo przewidywalnym zachowaniu użytkowników – recyklingu haseł. Jeśli ktoś kilka lat temu używał tego samego hasła w sklepie internetowym, serwisie streamingowym i poczcie mailowej, to wyciek z jednego miejsca może bardzo szybko przełożyć się na przejęcie innych kont – nawet jeśli sam incydent miał miejsce dawno temu.

W praktyce oznacza to, że stare wycieki nigdy do końca nie tracą wartości. Dane krążą po dark webie przez lata, są wielokrotnie przepakowywane, aktualizowane i łączone z nowymi bazami.

Dla cyberprzestępców to wyjątkowo wygodny model działania. Nie muszą łamać zabezpieczeń ani szukać nowych podatności. Wystarczy automatyczne sprawdzanie milionów kombinacji loginów i haseł w popularnych usługach.

Dzisiejsze kampanie credential stuffing praktycznie nie przypominają już prostych skryptów sprzed kilku lat. Ataki są w dużej mierze zautomatyzowane i korzystają z rozbudowanej infrastruktury proxy, botnetów oraz mechanizmów omijania limitów logowania. Z perspektywy organizacji wygląda to często jak zwykły ruch użytkowników. Setki albo tysiące prób logowania rozłożonych na różne adresy IP mogą bardzo skutecznie ukryć faktyczną skalę ataku. Dodatkowo nowoczesne narzędzia używane przez cyberprzestępców potrafią symulować zachowanie normalnego użytkownika, co jeszcze mocniej utrudnia detekcję.

Dark web zmienił się w hurtownię danych

Jeszcze kilka lat temu wyciek danych był jednorazowym incydentem. Dziś funkcjonuje bardziej jak produkt wielokrotnego użytku. Combolisty są stale rozwijane, filtrowane i dostosowywane pod konkretne usługi. Można znaleźć bazy przygotowane specjalnie pod konta Microsoft 365, VPN-y korporacyjne, platformy gamingowe czy usługi streamingowe. Pokazuje to, jak bardzo profesjonalny stał się cały ekosystem cyberprzestępstw. Dane uwierzytelniające przestały być „odpadem” po incydencie. Stały się pełnoprawnym towarem.

Największy problem polega na tym, że credential stuffing bardzo rzadko kończy się na pojedynczym koncie. Jeśli atakujący przejmie dostęp do poczty albo konta firmowego, może wykorzystać je do dalszego poruszania się po organizacji. Bardzo często przejęte konto staje się punktem wejścia do kolejnych systemów, resetowania haseł albo prowadzenia dalszych kampanii phishingowych. I właśnie dlatego nawet niewielki incydent związany z przejęciem danych jednego użytkownika może bardzo szybko przerodzić się w znacznie większy problem bezpieczeństwa.

MFA nadal jest jednym z najlepszych zabezpieczeń

Ogromna część takich ataków mogłaby zostać zatrzymana przez dobrze wdrożone MFA.

Nawet jeśli login i hasło trafiły do combolisty, dodatkowy składnik uwierzytelniania znacząco ogranicza skuteczność automatycznych przejęć kont. W związku z tym cyberprzestępcy coraz częściej próbują omijać MFA poprzez phishing tokenów sesyjnych albo ataki typu MFA fatigue. Pokazuje to, że MFA nie rozwiązuje całego problemu, ale nadal bardzo skutecznie zwiększa koszt ataku.

Słowo na koniec

Detekcja credential stuffingu opiera się dziś głównie na analizie anomalii związanych z logowaniem. Nietypowe wzorce ruchu, gwałtowne skoki błędnych prób logowania czy logowania z wielu lokalizacji w krótkim czasie mogą być pierwszym sygnałem problemu.

Coraz większą rolę odgrywa też analiza reputacji adresów IP, fingerprinting urządzeń i systemy behawioralne, które próbują odróżnić prawdziwego użytkownika od automatycznego narzędzia. Problem polega na tym, że cyberprzestępcy stale poprawiają swoje techniki ukrywania ruchu. A im bardziej „normalnie” wygląda atak, tym trudniej go wykryć.

Paradoksalnie największym problemem nie są same combo listy. Problemem jest to, że dane z wycieków sprzed kilku albo kilkunastu lat nadal pozwalają przejmować konta. Nie dlatego, że cyberprzestępcy są wyjątkowo kreatywni, ale dlatego, że użytkownicy wciąż używają tych samych haseł w wielu miejscach. Dopóki ten nawyk nie zaniknie, combolisty pozostaną jednym z najtańszych i najskuteczniejszych narzędzi współczesnej cyberprzestępczości.