What is a credential stuffing attack?

Credential stuffing is an automated attack where stolen username and password pairs from one data breach are tested against other websites and services. Attackers use bots to try millions of credentials at scale, exploiting the fact that 65% of people reuse passwords across accounts. Unlike brute force attacks that guess passwords, credential stuffing uses real credentials that users chose themselves, making them far more likely to succeed.

How can I tell if my credentials have been compromised in a breach?

You can check if your email or passwords appear in known breaches using services like Have I Been Pwned (haveibeenpwned.com), which indexes over 13 billion breached accounts. Many password managers also include built-in breach monitoring that alerts you when saved credentials appear in new leaks. If you find compromised credentials, change the password immediately on that service and on every other account where you used the same password.

Обізнаність щодо credential stuffing

See how breached passwords fuel automated attacks.

Що ви дізнаєтесь у Обізнаність щодо credential stuffing

Пояснити, як працюють атаки credential stuffing та чому повторне використання паролів для особистих та корпоративних акаунтів є першопричиною
Визначати ознаки атаки credential stuffing на панелях моніторингу входу, включаючи масові невдалі входи та географічні аномалії
Перевіряти особисті та робочі адреси електронної пошти у відомих базах витоків для оцінки схильності
Реагувати на підтверджений інцидент credential stuffing шляхом ізоляції скомпрометованих акаунтів, примусового скидання паролів та увімкнення додаткових контролів
Впроваджувати практику унікальних паролів для кожного акаунта з підтримкою менеджера паролів для повного усунення повторного використання

Обізнаність щодо credential stuffing — Кроки навчання

Ласкаво просимо до TechNova Solutions

Ви серйозно ставитесь до безпеки – завжди блокуєте свій комп’ютер і ніколи не натискаєте підозрілих посилань. Але, як і у багатьох людей, у вас є улюблений пароль, який ви використовуєте для кількох облікових записів. Він досить складний, щоб бути безпечним, то чому б не використати його повторно?
Звичайний вівторковий ранок

Ранок вівторка. Ви працюєте над випуском функції, коли з’являється сповіщення електронною поштою — щось про підозрілу активність у вашому обліковому записі. Ви не пригадуєте, щоб робили щось незвичайне. Має бути звичайне сповіщення безпеки.
Тривожні подробиці

Твоє серце падає. Бухарест? Ви там ніколи не були. І 47 невдалих спроб після успішного входу о 3:47 ранку? Хтось точно отримав доступ до вашого облікового запису. Але як? Ви не натискали жодних підозрілих посилань. Ви нікому не передали свій пароль. Тоді ви пам’ятаєте: минулого місяця ви отримали електронний лист про витік даних у StreamFlix, службі потокового відео, на яку ви зареєструвалися багато років тому. Ви використовуєте там той самий пароль, що й для свого облікового запису TechNova...
З’єднання точок

Ви прогортаєте свої старі електронні листи та знаходите сповіщення про порушення безпеки StreamFlix три тижні тому. Зазначається, що адреси електронної пошти та паролі були розкриті. У той час ви змінили свій пароль StreamFlix, але не подумали оновити інші облікові записи, які використовували той самий пароль. Тепер ви розумієте: зловмисники взяли ці витоку облікових даних і перевірили їх на інших службах, включаючи TechNova.
Червоний прапор, який ви пропустили

Знову переглядаючи електронний лист StreamFlix, ви помічаєте важливе попередження, яке ви тоді замовчили.
Звернення до IT Security

Аліса повинна негайно повідомити про це. Вона бере телефон, щоб зателефонувати в IT Security, використовуючи розширення з оригінального сповіщення, а не будь-який номер із зовнішніх електронних листів.
Подальші дії від IT Security

Після дзвінка IT Security надсилає Алісі електронний лист із інструкціями щодо подальших дій.
Розслідування починається

IT Security підтверджує, що доступ до вашого облікового запису було здійснено з Румунії за допомогою дійсних облікових даних. Зловмисник отримав доступ до вашої електронної пошти, завантажив кілька документів і спробував отримати доступ до VPN компанії, перш ніж системи безпеки помітили незвичну поведінку. На щастя, служба безпеки швидко виявила вторгнення. Але оцінка збитків ще триває.
Розуміння атаки

Аналітик безпеки пояснює, як працює надсилання облікових даних: 1. Порушення даних: зловмисники отримують витік облікових даних через порушення (наприклад, StreamFlix) 2. Списки облікових даних: вони складають величезні списки комбінацій електронної пошти та пароля 3. Автоматичне тестування: боти перевіряють ці облікові дані на тисячах інших сайтів 4. Захоплення облікового запису: коли облікові дані працюють, вони отримують доступ до цих облікових записів і використовують їх Це не цілеспрямований злом – це автоматизоване масове тестування вкрадених облікових даних.
Подання звіту про подію

IT Security просить Алісу подати офіційний звіт про інцидент, щоб задокументувати компрометацію та допомогти захистити інших.

Що ви дізнаєтесь у Обізнаність щодо credential stuffing

Обізнаність щодо credential stuffing — Кроки навчання

Ласкаво просимо до TechNova Solutions

Звичайний вівторковий ранок

Тривожні подробиці

З’єднання точок

Червоний прапор, який ви пропустили

Звернення до IT Security

Подальші дії від IT Security

Розслідування починається

Розуміння атаки

Подання звіту про подію