В 2024 году атаки с подбором учетных данных стали самым распространённым методом, используемым в 80% случаев при взломе веб-приложений, а миллиарды утекших учетных записей торгуются на криминальных форумах по цене от 10 долларов за актуальный дамп.
Одна из наиболее громких атак 2024 года произошла на клиентов Snowflake, где скомпрометированы 165 тенантов с утечкой сотен миллионов записей, полученных из дампов данных и потоков, собранных инфостилерами и массовыми фишинговыми кампаниями. Эти инциденты существенно увеличивают известность и торговлю украденными учетными данными на чёрном рынке.
Традиционные методы, такие как брутфорс и автоматизированный подбор учетных данных, постепенно уступают место атакам, ориентированным на облачные платформы SaaS. Современная бизнес-среда с сотнями уникальных веб-приложений и распределёнными идентичностями требует создания индивидуальных скриптов для каждой цели, что усложняется разнообразием графических интерфейсов, различными реализациями протоколов HTTP(S) и применением защитных мер типа CAPTCHA, ограничения скорости запросов и блокировок по IP.
Объём скомпрометированных данных достигает 15 миллиардов учетных записей, а лишь за последний месяц инфостилер-логи добавили в базу «Have I Been Pwned?» 244 миллиона новых паролей и 493 миллиона уникальных пар «веб-сайт + адрес электронной почты». При этом анализы данных Push Security выявляют, что менее 1% всех учетных данных оказывается работоспособным, хотя даже устаревшие данные, датированные 2020 годом, могут быть ценными в атаках.
Из-за фрагментированности идентичностей и низкого качества большинства утечек злоумышленники вынуждены фокусироваться на узком круге высокоценностных приложений вместо попытки охватить все 40 тысяч SaaS-сервисов. Для каждого веб-приложения требуется написание специализированного кода, что делает массовую автоматизацию практически невозможной из-за эффективных антибот-систем.
Критическая проблема повторного использования паролей остаётся актуальной: каждый третий сотрудник применяет один и тот же пароль, 9% учетных записей защищены без многофакторной аутентификации, а 10% сервисов единой аутентификации используют идентичные пароли. Такая практика позволяет, используя одну скомпрометированную запись, получить доступ к нескольким сервисам и расширить вектор атаки.
Новый этап развития представляют Computer-Using Agents, такие как OpenAI Operator. Обученный на специализированном датасете и работающий в изолированной сэндбокс-среде, Operator способен выполнять веб-задачи, имитируя действия человека без необходимости дополнительного программирования для каждого нового сайта. Исследователи Push Security продемонстрировали его эффективность: агент обнаруживал компании с существующими тенантами и осуществлял попытки входа с использованием предложенных комбинаций логина и пароля.
Интеграция AI-агентов позволяет масштабировать атаки от ручного подбора до высокоавтоматизированных операций, что делает подобные методы доступными даже для низкоквалифицированных злоумышленников. Возможность оркестрации множества окон Operator посредством API, аналогичной функциональности ChatGPT, возвращает практику массового перебора учетных данных, ранее затрудненную сложностями современных веб-приложений.
Необходимо уделять повышенное внимание защите идентификационного пространства: своевременное выявление и устранение уязвимостей, совершенствование систем аутентификации и применение проспективных защитных мер позволяют снизить риск автоматизированных атак. Push Security предоставляет демонстрационные возможности своей браузерной платформы, а также серии вебинаров и тестирование для повышения понимания уязвимостей и укрепления системы безопасности.
Изображение носит иллюстративный характер
Одна из наиболее громких атак 2024 года произошла на клиентов Snowflake, где скомпрометированы 165 тенантов с утечкой сотен миллионов записей, полученных из дампов данных и потоков, собранных инфостилерами и массовыми фишинговыми кампаниями. Эти инциденты существенно увеличивают известность и торговлю украденными учетными данными на чёрном рынке.
Традиционные методы, такие как брутфорс и автоматизированный подбор учетных данных, постепенно уступают место атакам, ориентированным на облачные платформы SaaS. Современная бизнес-среда с сотнями уникальных веб-приложений и распределёнными идентичностями требует создания индивидуальных скриптов для каждой цели, что усложняется разнообразием графических интерфейсов, различными реализациями протоколов HTTP(S) и применением защитных мер типа CAPTCHA, ограничения скорости запросов и блокировок по IP.
Объём скомпрометированных данных достигает 15 миллиардов учетных записей, а лишь за последний месяц инфостилер-логи добавили в базу «Have I Been Pwned?» 244 миллиона новых паролей и 493 миллиона уникальных пар «веб-сайт + адрес электронной почты». При этом анализы данных Push Security выявляют, что менее 1% всех учетных данных оказывается работоспособным, хотя даже устаревшие данные, датированные 2020 годом, могут быть ценными в атаках.
Из-за фрагментированности идентичностей и низкого качества большинства утечек злоумышленники вынуждены фокусироваться на узком круге высокоценностных приложений вместо попытки охватить все 40 тысяч SaaS-сервисов. Для каждого веб-приложения требуется написание специализированного кода, что делает массовую автоматизацию практически невозможной из-за эффективных антибот-систем.
Критическая проблема повторного использования паролей остаётся актуальной: каждый третий сотрудник применяет один и тот же пароль, 9% учетных записей защищены без многофакторной аутентификации, а 10% сервисов единой аутентификации используют идентичные пароли. Такая практика позволяет, используя одну скомпрометированную запись, получить доступ к нескольким сервисам и расширить вектор атаки.
Новый этап развития представляют Computer-Using Agents, такие как OpenAI Operator. Обученный на специализированном датасете и работающий в изолированной сэндбокс-среде, Operator способен выполнять веб-задачи, имитируя действия человека без необходимости дополнительного программирования для каждого нового сайта. Исследователи Push Security продемонстрировали его эффективность: агент обнаруживал компании с существующими тенантами и осуществлял попытки входа с использованием предложенных комбинаций логина и пароля.
Интеграция AI-агентов позволяет масштабировать атаки от ручного подбора до высокоавтоматизированных операций, что делает подобные методы доступными даже для низкоквалифицированных злоумышленников. Возможность оркестрации множества окон Operator посредством API, аналогичной функциональности ChatGPT, возвращает практику массового перебора учетных данных, ранее затрудненную сложностями современных веб-приложений.
Необходимо уделять повышенное внимание защите идентификационного пространства: своевременное выявление и устранение уязвимостей, совершенствование систем аутентификации и применение проспективных защитных мер позволяют снизить риск автоматизированных атак. Push Security предоставляет демонстрационные возможности своей браузерной платформы, а также серии вебинаров и тестирование для повышения понимания уязвимостей и укрепления системы безопасности.
