Подстановка учётных данных
Что такое Подстановка учётных данных?
Подстановка учётных данныхАвтоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей.
Credential stuffing использует огромные combolist-наборы учётных данных, украденных в предыдущих утечках. Термин был введён в 2011 году Сумитом Агарвалом (Sumit Agarwal), а OWASP каталогизирует эту технику как автоматизированную угрозу OAT-008. Злоумышленники прогоняют combolist через автоматизированные фреймворки (Sentry MBA, OpenBullet, Snipr, кастомные скрипты), которые меняют резидентные прокси, решают CAPTCHA и регулируют темп запросов для обхода rate-limit. Поскольку многие пользователи переиспользуют пароли на разных сайтах, даже низкая доля успешных входов (нередко 0,1–2 %) даёт большое количество захваченных аккаунтов, которые затем монетизируются через мошенничество, обналичивание подарочных карт или дальнейшую перепродажу учётных данных.
Эта техника принципиально отличается от brute force: она не подбирает пароли, а воспроизводит те, что уже известны как действительные где-то ещё. Утечка 23andMe 2023 года — хрестоматийный пример: атакующие воспользовались переиспользованными учётными данными, чтобы войти примерно в 14 000 аккаунтов, а затем через функцию «DNA Relatives» собрали данные почти о 7 миллионах человек, ни один из аккаунтов которых не был скомпрометирован напрямую. Похожие кампании годами затрагивают стриминговые, ритейл- и финансовые платформы.
Защита включает MFA (в идеале устойчивую к фишингу FIDO2/passkeys), проверку паролей по корпусам скомпрометированных, таким как Have I Been Pwned, fingerprinting устройств, bot-management, обнаружение «невозможных путешествий» (impossible-travel) и аномалий скорости (velocity), а также прогрессивный throttling или дополнительные проверки (step-up) при подозрительных входах.
flowchart LR
A[Combolist из утечек<br/>пары логин:пароль] --> B[Инструмент автоматизации<br/>OpenBullet / Sentry MBA]
B --> C[Смена резидентных прокси<br/>+ решение CAPTCHA]
C --> D[Повтор входов на<br/>множестве целевых сайтов]
D --> E{Пароль переиспользован?}
E -->|Нет| F[Вход не удался]
E -->|Да| G[Захват аккаунта]
G --> H[Мошенничество / перепродажа / кража данных]● Примеры
- 01
Боты входят в стриминговый сервис по combolist из несвязанных утечек форумов, чтобы перепродавать рабочие аккаунты.
- 02
Ритейлер видит всплеск входов с резидентных IP по тысячам аккаунтов после утечки у стороннего сервиса.
● Частые вопросы
Что такое Подстановка учётных данных?
Автоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Подстановка учётных данных?
Автоматизированная атака, при которой огромные списки логин/пароль, утёкшие из одного сервиса, перебираются на других сервисах, используя повторное использование паролей.
Как защититься от Подстановка учётных данных?
Защита от Подстановка учётных данных обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Подстановка учётных данных?
Распространённые альтернативные названия: Повтор учётных данных, Account checking.