Credential Stuffing Attack

M8gu96mB76을 Netflix 비밀번호로 설정한 다음 Amazon, New York Times 가입 및 은행 계좌의 비밀번호로 재사용한다고 가정해 보겠습니다. 해커가 이러한 시스템중 하나에 침입하여 암호를 얻으면 암호를 사용하여 나머지 모든 시스템에 액세스 할 수 있습니다.

 

Credential Stuffing 공격은 계정 탈취의 한 형태이며, 그 결과는 불편함 (계정에서 가입자를 잠그는 Disney + 해킹에서와 같이)에서 혼란스럽고 사악한 범죄 (예 : 해커가 홈카메라로 침입하여 어린이를 몰래 감시)에 이르기까지 다양합니다.

 

Credential Stuffing 공격이 일반적으로 작동하는 방법은 다음과 같습니다.

 

▶ 1 단계 : 해커가 사용자 이름과 비밀번호가 포함된 데이터베이스에 액세스합니다. 이 초기 사이버 공격은 정교한 해킹에서부터 데이터베이스에 대한 액세스 권한이 있는 관리자에 대한 피싱 공격, 공개적으로 액세스할 수 있는 영역에 남겨진 보호되지 않은 레코드에 이르기까지 다양한 방식으로 발생할 수 있습니다.

 

▶ 2 단계 : 해커는 이 정보를 복사하여 다른 해커가 사용할 수 있도록 정보를 판매하거나 게시합니다 (일반적으로 다크웹에 게시).

 

▶ 3 단계 : 사이버 범죄자는 한 사이트의 사용자 이름과 비밀번호를 사용하여 다른 사이트에 액세스하려고 시도합니다. 성공률은 상대적으로 낮기 때문에 해커는 자동화에 의존합니다. 봇넷은 액세스 권한을 부여할 때까지 수백만개의 사용자 이름-암호 조합을 시도합니다.

 

해커가 피해자 사이트에 액세스하면 다양한 형태의 장난을 일으킬 수 있습니다. 다음은 가장 일반적인 3가지입니다.

 

▶ 손상된 계정에 대한 액세스 판매 : 특히 스트리밍 미디어 서비스에 일반적입니다. Disney+, Netflix 및 Spotify는 해커가 구독 비용보다 적은 비용으로 사용자 계정에 대한 액세스 권한을 판매한 공격의 피해자입니다.

 

▶ 전자 상거래 사기 : 해커는 소매 웹사이트에서 합법적인 사용자를 사칭하여 사용 또는 재판매를 위해 고가의 제품을 주문할 수 있습니다. 이것은 일반적인 신원 도용의 형태로, 소매업은 자격증 소지에 가장 취약한 업종입니다.

 

▶ 회사 및 기관 도용 : 위의 2가지는 회사와 고객에게 심각한 결과를 초래하지만 이 공격은 비즈니스에 가장 치명적일 수 있습니다. 공격자가 직원이나 관리자의 계정을 도용하면 모든 종류의 민감한 내부 데이터에 액세스하여 최고 입찰자에게 판매할 수 있습니다. 당연히, 손상된 데이터에는 사용자 이름 및 비밀번호 데이터베이스가 포함될 수 있습니다.