LATEST
Πώς οι κλεμμένοι κωδικοί γίνονται «κλειδί» για χιλιάδες λογαριασμούς
Το credential stuffing συγκαταλέγεται σήμερα στις πιο διαδεδομένες και αποτελεσματικές μορφές κυβερνοεπίθεσης. Πρόκειται για μια τεχνική που δεν βασίζεται στο «σπάσιμο» κωδικών, αλλά στην εκμετάλλευση μιας κοινής ψηφιακής συνήθειας: της επαναχρησιμοποίησης του ίδιου κωδικού πρόσβασης σε πολλαπλούς λογαριασμούς.
Όταν ένα site παραβιαστεί, οι κυβερνοεγκληματίες αποκτούν λίστες με ονόματα χρηστών και κωδικούς και τις δοκιμάζουν αυτοματοποιημένα σε χιλιάδες άλλες υπηρεσίες – από e-mail και social media, έως τράπεζες και ηλεκτρονικά καταστήματα. Αν ένας κωδικός «δουλέψει» έστω και μία φορά, η πρόσβαση σε πραγματικό λογαριασμό έχει ήδη επιτευχθεί, ακόμα κι αν το ίδιο το site – στόχος δεν έχει υποστεί παραβίαση. Η αποτελεσματικότητα της μεθόδου εξηγείται εύκολα. Έρευνα της NordPass δείχνει ότι πάνω από το 60% των χρηστών επαναχρησιμοποιεί κωδικούς συστηματικά. Τα αποτελέσματα είναι μετρήσιμα: Το 2022 παραβιάστηκαν περίπου 35.000 λογαριασμοί PayPal, ενώ το 2024 οι επιθέσεις τύπου credential stuffing επηρέασαν δεκάδες εταιρείες-πελάτες της Snowflake.
Η αντιμετώπιση του φαινομένου βασίζεται κυρίως στην πρόληψη. Η χρήση μοναδικού κωδικού για κάθε υπηρεσία, ιδανικά μέσω διαχειριστή κωδικών, περιορίζει δραστικά τον κίνδυνο. Παράλληλα, η επαλήθευση δύο παραγόντων λειτουργεί ως κρίσιμο δεύτερο εμπόδιο, ακόμη και όταν ο κωδικός έχει διαρρεύσει.
Μέχρι να επικρατήσουν πλήρως λύσεις αυθεντικοποίησης χωρίς κωδικό, όπως τα passkeys, το credential stuffing θα συνεχίσει να αξιοποιεί ανθρώπινες συνήθειες και ξεπερασμένα μοντέλα ασφάλειας. Η εγρήγορση και η σωστή διαχείριση διαπιστευτηρίων παραμένουν το πιο αξιόπιστο αντίβαρο.
Για περισσότερες πληροφορίες, επισκεφθείτε την επίσημη ιστοσελίδα της ESET Hellas.