מילוי אישורים אינו DDoS!
שמעתי זאת פעמים רבות במהלך השנים האחרונות: מישהו חווה מתקפת DDoS כבדה באתר שלו. כשאני שואל אותם איזה סוג של התקפה הם חווים, התשובה בדרך כלל היא שהפושעים שולחים אליהם אלפי ואפילו מיליוני בקשות POST. כשאני שואל לאן מועדות בקשות אלו, התשובה לעיתים קרובות היא דף ההרשמה או ההתחברות!
התקפות Credential stuffing אינן התקפות DDoS מסוג HTTP flood והן מסוכנות הרבה יותר. התקפות אלו עשויות לעלות לארגונים מיליוני דולרים בהפסדי נתונים ונזק למוניטין. בעוד שהתקפת DDoS מסוג HTTP flood מציפה אתר בתנועה, דבר המעמיס ומקריס את השרת, התקפת credential stuffing היא צורה ממוקדת ומסוכנת יותר של מתקפת סייבר. בהתקפת credential stuffing, hackers use automated bots to try thousands or millions of stolen usernames and passwords on website login pages to gain unauthorized access to users’ accounts. Currently, sale of stolen credentials are one of the most profitable businesses for criminals and those credentials are being used for credential stuffing attacks.
Unlike HTTP flood DDoS attacks, which are primarily aimed at disrupting website operations, credential stuffing attacks focus on stealing sensitive data, such as personal and financial data from compromised user accounts. These attacks can have a significant impact on a company’s bottom line as it can lead to data loss, regulatory damages, and even legal liability. Credential stuffing attacks can be particularly devastating for organizations that store sensitive customer data, כגון המגזר הפיננסי, ספקי שירותי בריאות, וחברות מסחר אלקטרוני. אם האקר יקבל גישה לחשבונך, הוא יכול לגנוב מידע על כרטיסי אשראי, מספרי ביטוח לאומי, ומידע רגיש אחר.
בנוסף להפסדים הכלכליים הישירים מהתקפות מילוי הרשאות, קיימים גם עלויות עקיפות כמו איבוד אמון הלקוחות ונזק למוניטין הארגון. לקוחות עשויים להסס לעשות עסקים עם חברות שנפגעו מפריצות נתונים בולטות, והפרסום השלילי הקשור להתקפות עשוי להיות קשה להתגבר עליו.
כדי להגן מפני התקפות מילוי הרשאות, על ארגונים ליישם אמצעי אימות חזקים כגון אימות דו-שלבי ו-CAPTCHAs כדי למנוע ממכשירים אוטומטיים לקבל גישה בלתי מורשית לחשבונות משתמשים. עליך גם לנטר את המערכת שלך לגבי סימנים לפעילות חשודה ולהתריע מראש למשתמשים על פוטנציאל פריצה לחשבונם. כדאי שתהיה תוכנית תגובה לאירועים חזקה במקרה שמתרחש אירוע כזה.
פרסם כתב ויתור
הנופים, מידע, או שהדעות המובעות הן אך ורק של המחבר ואינן מייצגות בהכרח את אלה של מעסיקו או של הארגונים שעמם הוא קשור.
המידע הכלול בפוסט זה הוא למטרות מידע כללי בלבד. המידע מסופק על ידי פרהאד מופידי ובעוד הוא שואף לשמור על עדכניות ודיוק המידע, הוא אינו מציג כל מצג או אחריות מכל סוג שהוא, מפורש או משתמע, לגבי השלמות, דיוק, מהימנות, התאמה או זמינות של האתר. פרהאד אינו מציג כל מצג או אחריות. או כל מידע, מוצרים או גרפיקה קשורה הכלולים בכל פוסט לכל מטרה.
גם, AI עשוי לשמש ככלי כדי לספק הצעות ולשפר חלק מהתכנים או המשפטים. הרעיונות, מחשבות, דעות, והתוצרים הסופיים מקוריים ומיוצרים על ידי המחבר.