Επαναχρησιμοποίηση κωδικών: Ο αδύναμος κρίκος της κυβερνοασφάλειας

- Advertisement -

Η χρήση του ίδιου κωδικού πρόσβασης σε πολλαπλές υπηρεσίες παραμένει μια από τις πιο διαδεδομένες πρακτικές των χρηστών, αλλά ταυτόχρονα αποτελεί και το βασικό «καύσιμο» για μία από τις πιο αποδοτικές τεχνικές κυβερνοεπίθεσης: το credential stuffing.

«Όταν ένα site παραβιάζεται, οι κυβερνοεγκληματίες δεν σταματούν εκεί», εξηγεί η ESET. «Παίρνουν τα κλεμμένα διαπιστευτήρια και τα δοκιμάζουν αυτόματα σε χιλιάδες άλλα site. Αυτό είναι το credential stuffing».

Πρόκειται για μια μέθοδο που δεν βασίζεται στο “σπάσιμο” κωδικών, αλλά στην εκμετάλλευση υπαρκτών συνηθειών: οι ίδιοι κωδικοί, σε πολλά διαφορετικά ψηφιακά περιβάλλοντα. Στην πράξη, οι επιτιθέμενοι αποκτούν λίστες με usernames και passwords από παλαιότερες παραβιάσεις δεδομένων ή από κακόβουλο λογισμικό τύπου infostealer, το οποίο αντλεί διαπιστευτήρια απευθείας από παραβιασμένες συσκευές και browsers.

Στη συνέχεια, μέσω αυτοματοποιημένων εργαλείων, δοκιμάζουν αυτά τα στοιχεία σε email, social media, τραπεζικούς λογαριασμούς και e-shops. Αρκεί ένας κωδικός να «δουλέψει» σε μία μόνο υπηρεσία για να αποκτήσουν πραγματική πρόσβαση.

Για τον απλό χρήστη, η απειλή αυτή είναι ύπουλη. Ο λογαριασμός του μπορεί να παραβιαστεί χωρίς να έχει κάνει κάποιο λάθος εκείνη τη στιγμή, ακόμη κι αν η πλατφόρμα που χρησιμοποιεί είναι τεχνικά ασφαλής. Το credential stuffing λειτουργεί σαν ένα «κλειδί γενικής χρήσης» που ανοίγει ταυτόχρονα το σπίτι, το γραφείο και το χρηματοκιβώτιο. Και, όπως τονίζει η ESET, η απόκτηση αυτού του κλειδιού είναι συχνά εύκολη και φθηνή.

Εκτεταμένο το πρόβλημα

Η έκταση του προβλήματος αποτυπώνεται και σε αριθμούς. Σύμφωνα με έρευνα της NordPass, το 62% των Αμερικανών παραδέχεται ότι επαναχρησιμοποιεί τον ίδιο κωδικό πρόσβασης «συχνά» ή «πάντα». Το ποσοστό αυτό εξηγεί γιατί η τεχνική παραμένει τόσο αποτελεσματική και κερδοφόρα για τους επιτιθέμενους.

Χαρακτηριστικά είναι και τα πρόσφατα περιστατικά μεγάλης κλίμακας. Το 2022, η PayPal ανακοίνωσε ότι σχεδόν 35.000 λογαριασμοί πελατών παραβιάστηκαν μέσω credential stuffing, χωρίς να έχει παραβιαστεί η ίδια η πλατφόρμα.

Οι δράστες αξιοποίησαν διαπιστευτήρια από παλαιότερες διαρροές, εκμεταλλευόμενοι την επαναχρησιμοποίηση κωδικών. Αντίστοιχα, το 2024, το κύμα επιθέσεων που αφορούσε πελάτες της Snowflake επηρέασε περίπου 165 εταιρείες. Και εδώ, η πλατφόρμα δεν παραβιάστηκε, καθώς οι επιτιθέμενοι χρησιμοποίησαν κλεμμένα credentials από infostealer malware, οδηγώντας ακόμη και σε απαιτήσεις λύτρων.

Η απειλή δεν περιορίζεται στους ιδιώτες. Σήμερα, η παραβίαση διαπιστευτηρίων αποτελεί βασικό παράγοντα για απάτη και κλοπή δεδομένων σε κλάδους όπως το λιανικό εμπόριο, ο χρηματοοικονομικός τομέας, το SaaS και η υγειονομική περίθαλψη. Παρ’ όλα αυτά, πολλές επιχειρήσεις συνεχίζουν να βασίζονται αποκλειστικά σε κωδικούς πρόσβασης, ενώ η ταυτοποίηση δύο παραγόντων, ακόμη και όταν υπάρχει, δεν εφαρμόζεται υποχρεωτικά.

Η μετάβαση σε αυθεντικοποίηση χωρίς κωδικό, όπως τα passkeys, θα μπορούσε να καταστήσει το credential stuffing ουσιαστικά αναποτελεσματικό. Ωστόσο, η υιοθέτηση αυτών των λύσεων παραμένει άνιση, ενώ εκατομμύρια διαρρεύσαντα διαπιστευτήρια παραμένουν ενεργά για μεγάλο χρονικό διάστημα.

Έτσι, το credential stuffing εξακολουθεί να είναι μια χαμηλού κόστους, εξαιρετικά επεκτάσιμη και σταθερά αποδοτική μέθοδος επίθεσης.

Μέχρι να καταργηθούν πλήρως οι κωδικοί πρόσβασης, η άμυνα παραμένει στα χέρια χρηστών και οργανισμών. Η χρήση μοναδικών κωδικών, η ενεργοποίηση 2FA και η συνεχής εγρήγορση δεν αποτελούν πλέον καλές πρακτικές, αλλά αναγκαία προϋπόθεση ψηφιακής επιβίωσης.

ΔΗΜΟΦΙΛΗ ΘΕΜΑΤΑ

Cosmote: Δωρεάν απεριόριστα data και φέτος το τριήμερο του Αγ. Πνεύματος

Δωρεάν απεριόριστα data και αυτό το τριήμερο του Αγίου...

«Hellas Space 2.0»: Το νέο εθνικό διαστημικό πρόγραμμα των 350 εκατ. ευρώ για το...

Greece In Orbit – Η Ελλάδα σε Τροχιά Το πρώτο...

Απλά Ψηφιακά 215: Η ευκαιρία της οπτικοακουστικής βιομηχανίας (Λ. Χριστόπουλος) και οι επόμενες κινήσεις...

Για τη συμβολή του οπτικοακουστικού τομέα στην ελληνική οικονομία,...

Η ελληνική παρουσία πίσω από τη νέα γενιά AI: Οι δύο founders που «τρέχουν»...

Η παγκόσμια κούρσα της τεχνητής νοημοσύνης μετριέται πλέον σε...

Από τη δήλωση του αποτυπώματος άνθρακα προϊόντος σε επαληθεύσιμα δεδομένα: Γιατί η LG electronics...

Στην ευρωπαϊκή αυτοκινητοβιομηχανία, οι προσδοκίες όσον αφορά τη βιωσιμότητα...

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

Πάνω από 92.000 κυβερνοεπιθέσεις μέσω ψεύτικων AI εφαρμογών

Η παγκόσμια έκρηξη της Τεχνητής Νοημοσύνης δεν αλλάζει μόνο...

Το 93% των επενδύσεων σε υποδομές – Μόλις το 7% στην ανάπτυξη εργαζομένων

Με την τεχνητή νοημοσύνη να αλλάζει με καταιγιστικούς ρυθμούς...

Απλά Ψηφιακά 215: Η ευκαιρία της οπτικοακουστικής βιομηχανίας (Λ. Χριστόπουλος) και οι επόμενες κινήσεις στο διάστημα

Για τη συμβολή του οπτικοακουστικού τομέα στην ελληνική οικονομία,...

Physical AI: 400.000 εγκαταστάσεις έως το 2030 σε βιομηχανία και logistics

Σε φάση εκρηκτικής ανάπτυξης εισέρχεται η αγορά της Φυσικής...

Γνωστική AI: Η νέα μάχη για τη νοητική ιδιωτικότητα – Οι τέσσερις απειλές

Μια νέα γενιά κινδύνων για την ιδιωτικότητα, την ανθρώπινη...