Chương Trình Đào Tạo An Toàn Thông Tin Quốc Tế Tại Việt Nam

Tác nhân AI mới sẽ thay đổi các cuộc tấn công Credential stuffing như thế nào ?

Các cuộc tấn công nhồi nhét thông tin đăng nhập hay Credential stuffing đã gây ra tác động lớn vào năm 2024, được thúc đẩy bởi các vụ nhiễm phần mềm đánh cắp thông tin và rò rỉ dữ liệu. Nhưng mọi thứ có thể trở nên tồi tệ hơn với các Tác nhân Sử…

IT-PRO
10–15 phút

Các cuộc tấn công nhồi nhét thông tin đăng nhập hay Credential stuffing đã gây ra tác động lớn vào năm 2024, được thúc đẩy bởi các vụ nhiễm phần mềm đánh cắp thông tin và rò rỉ dữ liệu. Nhưng mọi thứ có thể trở nên tồi tệ hơn với các Tác nhân Sử dụng Máy tính (Computer-Using Agents), một loại tác nhân AI mới cho phép tự động hóa các tác vụ web thông thường một cách dễ dàng và chi phí thấp — bao gồm cả những tác vụ thường được thực hiện bởi kẻ tấn công

Credential Stuffing Attack là gì?

Credential stuffing là một dạng tấn công tự động trong đó kẻ tấn công sử dụng danh sách thông tin đăng nhập bị rò rỉ (username/password) để thử đăng nhập vào các tài khoản trên nhiều dịch vụ và trang web khác nhau.

🔹 Cách hoạt động của Credential Stuffing:

  1. Thu thập thông tin đăng nhập bị rò rỉ: Hacker lấy dữ liệu từ các vụ rò rỉ dữ liệu (data breach) hoặc mua từ dark web.
  2. Tự động thử đăng nhập: Sử dụng bot hoặc script để thử đăng nhập hàng loạt trên nhiều trang web khác nhau.
  3. Khai thác tài khoản bị xâm nhập: Nếu người dùng tái sử dụng mật khẩu trên nhiều dịch vụ, hacker có thể chiếm đoạt tài khoản thành công và thực hiện các hành vi như:
    • Trộm cắp dữ liệu cá nhân
    • Lạm dụng tài khoản (ví dụ: thanh toán gian lận, chuyển tiền, v.v.)
    • Lợi dụng tài khoản để thực hiện các cuộc tấn công khác

🔹 Sự khác biệt giữa Credential Stuffing và Brute Force Attack:

  • Brute Force: Thử nhiều mật khẩu ngẫu nhiên cho một tài khoản cụ thể.
  • Credential Stuffing: Dùng danh sách thông tin đăng nhập thực tế bị rò rỉ để thử trên nhiều trang web.

🔹 Cách phòng chống Credential Stuffing:
Không sử dụng lại mật khẩu trên nhiều trang web.
Bật xác thực hai yếu tố (2FA) để tăng cường bảo mật.
Sử dụng trình quản lý mật khẩu để tạo và lưu trữ mật khẩu mạnh, duy nhất.
Theo dõi thông tin rò rỉ: Kiểm tra xem tài khoản có bị lộ không trên trang haveibeenpwned.com.
Triển khai cơ chế bảo mật như CAPTCHA, hạn chế số lần đăng nhập thất bại, hoặc sử dụng dịch vụ phát hiện bot.

Thông tin đăng nhập bị đánh cắp: Vũ khí được tội phạm mạng ưa chuộng nhất trong năm 2024

Thông tin đăng nhập bị đánh cắp là hành động tấn công số 1 trong năm 2023/24 và là con đường xâm nhập cho 80% các cuộc tấn công ứng dụng web. Điều này không đáng ngạc nhiên khi xét đến thực tế là hàng tỷ thông tin đăng nhập bị rò rỉ đang lưu hành trực tuyến, và kẻ tấn công có thể mua được những dữ liệu mới nhất với giá chỉ 10 đô la trên các diễn đàn tội phạm. Thị trường ngầm cho thông tin đăng nhập bị đánh cắp đang hưởng lợi từ sự chú ý của công chúng đối với các vụ rò rỉ lớn trong năm 2024, chẳng hạn như các cuộc tấn công vào khách hàng của Snowflake bằng cách sử dụng thông tin đăng nhập được tìm thấy trong các đợt rò rỉ dữ liệu và các nguồn cấp dữ liệu thông tin đăng nhập bị xâm nhập từ các chiến dịch phần mềm đánh cắp thông tin và lừa đảo hàng loạt, dẫn đến việc xâm phạm 165 khách hàng thuê và hàng trăm triệu hồ sơ bị xâm nhập

.

Nhưng bất chấp năm 2024 là một năm chưa từng có về tác động của các cuộc tấn công dựa trên danh tính, vẫn còn rất nhiều tiềm năng chưa được khai thác cho kẻ tấn công

Tự động hóa tấn công bằng thông tin đăng nhập — điều gì đã thay đổi với sự chuyển dịch sang SaaS?

Tấn công vét cạn (Brute forcing) và nhồi nhét thông tin đăng nhập không phải là điều mới mẻ và đã là một thành phần quan trọng trong bộ công cụ của kẻ tấn công mạng trong nhiều thập kỷ. Nhưng việc tự động “rải” thông tin đăng nhập trên các hệ thống không còn dễ dàng như trước

Thay vì một mạng tập trung duy nhất với các ứng dụng và dữ liệu nằm trong một vùng bảo mật cơ sở hạ tầng, CNTT doanh nghiệp hiện được hình thành từ hàng trăm ứng dụng và nền tảng dựa trên web, tạo ra hàng nghìn danh tính cho mỗi tổ chức. Điều này có nghĩa là các danh tính hiện cũng được phân quyền và phân tán trên khắp internet, trái ngược với việc chỉ được lưu trữ trong các hệ thống quản lý danh tính như Active Directory và được triển khai bằng các giao thức và cơ chế chung. Mặc dù HTTP(S) là tiêu chuẩn, nhưng các ứng dụng web hiện đại rất phức tạp và được tùy chỉnh cao, với giao diện đồ họa khác nhau mỗi khi sử dụng. Tệ hơn nữa, các ứng dụng web hiện đại được thiết kế đặc biệt để ngăn chặn tự động hóa độc hại thông qua các biện pháp bảo vệ chống bot như CAPTCHA. Vì vậy, thay vì gặp phải các giao thức tiêu chuẩn và có thể viết một bộ công cụ duy nhất để sử dụng trên mọi tổ chức/môi trường (ví dụ: viết một trình quét DNS một lần, sử dụng một trình quét cổng duy nhất như Nmap cho toàn bộ internet, viết một tập lệnh duy nhất cho mỗi dịch vụ (ví dụ: FTP, SSH, Telnet, v.v.) cho công cụ thử mật khẩu của bạn) — thay vào đó, việc phát triển công cụ tùy chỉnh là cần thiết cho mọi ứng dụng bạn muốn nhắm mục tiêu

Kẻ tấn công không chỉ có nhiều môi trường hơn để đưa vào phạm vi tấn công của họ mà còn có nhiều thông tin đăng nhập hơn để khai thác. Có khoảng 15 tỷ thông tin đăng nhập bị xâm phạm có sẵn trên internet công cộng, chưa bao gồm những thông tin chỉ được tìm thấy trong các kênh/nguồn cấp dữ liệu riêng tư. Danh sách này liên tục tăng lên — ví dụ như 244 triệu mật khẩu chưa từng thấy và 493 triệu cặp địa chỉ trang web và email duy nhất đã được thêm vào Have I Been Pwned từ nhật ký phần mềm đánh cắp thông tin chỉ trong tháng trước. Điều này nghe có vẻ đáng sợ, nhưng kẻ tấn công rất khó khai thác dữ liệu này. Phần lớn các thông tin đăng nhập này đã cũ và không hợp lệ. Một đánh giá gần đây về dữ liệu TI của các nhà nghiên cứu Push Security cho thấy ít hơn 1% thông tin đăng nhập bị đánh cắp có trong nguồn cấp dữ liệu tình báo mối đe dọa từ một bộ dữ liệu đa nhà cung cấp là có thể hành động được — nói cách khác, 99% thông tin đăng nhập bị xâm phạm là dương tính giả. Nhưng không phải tất cả chúng đều vô dụng — như các cuộc tấn công Snowflake đã chứng minh, chúng đã tận dụng thành công các thông tin đăng nhập có từ năm 2020. Vì vậy, rõ ràng là vẫn còn những “kho báu” đang chờ kẻ tấn công khám phá

Việc viết và chạy các tập lệnh python tùy chỉnh cho mọi ứng dụng (có hơn 40 nghìn ứng dụng SaaS trên internet) là không thực tế. Ngay cả khi bạn làm với 100 hoặc 1000 ứng dụng hàng đầu, đó cũng là một nhiệm vụ đáng kể và đòi hỏi bảo trì liên tục, trong khi chỉ mới khai thác một phần rất nhỏ của tổng cơ hội

Ngay cả khi được viết kịch bản đầy đủ và sử dụng mạng botnet để phân tán cuộc tấn công và tránh bị chặn IP, các biện pháp kiểm soát như giới hạn tốc độ, CAPTCHA và khóa tài khoản có thể cản trở việc nhồi nhét thông tin đăng nhập hàng loạt vào một ứng dụng duy nhất. Và một cuộc tấn công tập trung vào một trang web duy nhất sẽ tạo ra lượng truy cập đáng kể nếu bạn muốn thử qua 15 tỷ mật khẩu trong một khoảng thời gian hợp lý, vì vậy rất có khả năng sẽ gây ra cảnh báo

.

Vì vậy, kẻ tấn công có xu hướng nhắm mục tiêu vào một số lượng ứng dụng nhỏ hơn và chỉ tìm kiếm sự trùng khớp trực tiếp về thông tin đăng nhập được thử (ví dụ: thông tin đăng nhập bị đánh cắp phải trực tiếp thuộc về một tài khoản trên ứng dụng mục tiêu). Khi họ tấn công vào một mục tiêu mới, nó thường tập trung vào một ứng dụng/nền tảng cụ thể (ví dụ: Snowflake) hoặc tìm kiếm một tập hợp con thông tin đăng nhập hẹp hơn (ví dụ: thông tin đăng nhập rõ ràng liên quan đến các thiết bị biên, cho các môi trường mạng truyền thống hơn)

.

Một cơ hội bị bỏ lỡ?

Như chúng ta đã xác định, tình hình liên quan đến các cuộc tấn công nhồi nhét thông tin đăng nhập đã khá tệ bất chấp những hạn chế này. Nhưng mọi thứ có thể tồi tệ hơn đáng kể

.

Việc sử dụng lại mật khẩu đồng nghĩa với việc một tài khoản bị xâm phạm có thể biến thành nhiều tài khoản

Nếu kẻ tấn công có thể tăng quy mô tấn công của họ để nhắm mục tiêu vào một số lượng ứng dụng rộng hơn (thay vì tập trung vào một danh sách rút gọn các ứng dụng có giá trị cao), họ có thể tận dụng việc sử dụng lại mật khẩu quá phổ biến. Theo một cuộc điều tra gần đây về dữ liệu danh tính, trung bình

1 trên 3 nhân viên sử dụng lại mật khẩu

9% danh tính có mật khẩu được sử dụng lại VÀ không có MFA

10% tài khoản IdP (được sử dụng cho SSO) có mật khẩu không duy nhất

Điều này có nghĩa là gì? Nếu một thông tin đăng nhập bị đánh cắp hợp lệ, rất có khả năng nó có thể được sử dụng để truy cập nhiều tài khoản trên nhiều ứng dụng (ít nhất là)

.

Hình dung kịch bản: Một vụ rò rỉ thông tin đăng nhập bị xâm phạm gần đây từ các vụ nhiễm phần mềm đánh cắp thông tin hoặc các chiến dịch lừa đảo thông tin đăng nhập cho thấy một tổ hợp tên người dùng và mật khẩu cụ thể hợp lệ trên một ứng dụng cụ thể — giả sử Microsoft 365. Bây giờ, tài khoản này khá an toàn — nó không chỉ có MFA mà còn có các chính sách truy cập có điều kiện hạn chế IP/vị trí mà nó có thể được truy cập. Thông thường, đây là nơi cuộc tấn công sẽ kết thúc và bạn sẽ chuyển sự chú ý sang một thứ khác. Nhưng điều gì sẽ xảy ra nếu bạn có thể “rải” những thông tin đăng nhập này trên mọi ứng dụng kinh doanh khác mà người dùng có tài khoản?

Mở rộng quy mô các cuộc tấn công bằng thông tin đăng nhập với các Tác nhân Sử dụng Máy tính

Cho đến nay, tác động của AI đối với các cuộc tấn công danh tính chỉ giới hạn ở việc sử dụng LLM để tạo email lừa đảo, trong phát triển phần mềm độc hại được hỗ trợ bởi AI và cho các bot truyền thông xã hội — chắc chắn là đáng kể, nhưng không hẳn là mang tính chuyển đổi và đòi hỏi sự giám sát và can thiệp liên tục của con người. Nhưng với sự ra mắt của OpenAI Operator, một loại “Tác nhân Sử dụng Máy tính” mới, điều này có thể sắp thay đổi. Operator được đào tạo trên một tập dữ liệu chuyên biệt và được triển khai trong trình duyệt hộp cát riêng, có nghĩa là nó có thể thực hiện các tác vụ web thông thường như một con người — nhìn và tương tác với các trang như một con người. Không giống như các giải pháp tự động hóa khác, Operator không yêu cầu triển khai hoặc mã hóa tùy chỉnh để có thể tương tác với các trang web mới, khiến nó trở thành một tùy chọn có khả năng mở rộng hơn nhiều cho những kẻ tấn công muốn nhắm mục tiêu vào một loạt các trang web/ứng dụng rộng lớn

.

Demo: Sử dụng Operator để tiến hành các cuộc tấn công nhồi nhét thông tin đăng nhập ở quy mô lớn

Các nhà nghiên cứu tại Push Security đã thử nghiệm các trường hợp sử dụng độc hại của Operator, sử dụng nó để

:

Xác định công ty nào có người thuê hiện tại trên danh sách các ứng dụng

Cố gắng đăng nhập vào nhiều người thuê ứng dụng khác nhau bằng tên người dùng và mật khẩu được cung cấp

Tóm tắt tác động

Kết quả khá đáng kinh ngạc. Operator đã chứng minh rõ ràng khả năng nhắm mục tiêu vào danh sách các ứng dụng bằng thông tin đăng nhập bị xâm phạm và thực hiện các hành động trong ứng dụng. Bây giờ hãy nghĩ về điều này gấp 10, 100, 10.000 lần… Đây không phải là những nhiệm vụ phức tạp. Nhưng giá trị của CUA Operator không nằm ở việc giải quyết sự phức tạp mà là quy mô. Hãy tưởng tượng một thế giới nơi bạn có thể điều phối các cửa sổ Operator thông qua API và yêu cầu nó thực hiện các hành động này đồng thời (chức năng đã tồn tại cho ChatGPT)

.

Nhưng điều này lớn hơn cả Operator — đó là về định hướng của công nghệ. OpenAI có thể thực hiện các hạn chế — các biện pháp bảo vệ trong ứng dụng tốt hơn, giới hạn tỷ lệ về số lượng tác vụ đồng thời và tổng mức sử dụng, v.v.. Nhưng bạn có thể chắc chắn rằng nó sẽ không phải là CUA duy nhất — chỉ là vấn đề thời gian trước khi các sản phẩm tương tự xuất hiện (thậm chí có thể là những sản phẩm vốn đã độc hại) sử dụng cùng một công nghệ

Bình luận về bài viết này

Thịnh hành