Uppgiftsprovning: Så här fungerar attacken och så försvarar du dig mot den

Radar
Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Läs mer 
  1. Introduktion
  2. Vad är uppgiftsprovning?
  3. Hur fungerar uppgiftsprovning?
  4. Hur skiljer sig uppgiftsprovning från brute force och lösenordssprayning?
  5. Vilka är de tidiga varningssignalerna för en uppgiftsprovningsattack?
  6. Varför är uppgiftsprovning farligt för SaaS- och AI-plattformar?
  7. Hur kan plattformar bekämpa attacker med uppgiftsprovning utan att skada inloggningsupplevelsen?
    1. Nyanserad frekvensbegränsning
    2. Botdetektering och trafikanalys
    3. Kontroll av komprometterade inloggningsuppgifter
    4. Villkorlig flerfaktorsautentisering (MFA)
    5. Obligatorisk MFA för åtgärder med högt värde
  8. Hur Stripe Radar kan hjälpa till

Attacker med uppgiftsprovning använder automatiserade processer för att testa listor med stulna par av användarnamn och lösenord och få obehörig åtkomst till webbplatser och appar. Dessa attacker kan orsaka skador för miljontals dollar. Taktiken lyckas delvis eftersom lösenordspolicyer inte kan ta hänsyn till att människor använder samma inloggningsuppgifter på olika webbplatser eller tjänster, även om användare uppmanas att skapa ett mer komplext lösenord.

Nedan ska vi titta närmare på vad uppgiftsprovning är, hur det skiljer sig från brute force och lösenordssprayning, de typer av bedrägerier som kan följa på ett framgångsrikt övertagande och hur man stoppar uppgiftsprovning genom att bygga upp ett försvar i flera lager.

Viktiga punkter

  • Uppgiftsprovning utnyttjar återanvändning av lösenord för olika konton. Starka lösenordspolicyer är ineffektiva som ett fristående försvar mot den här typen av attacker.

  • SaaS-plattformar och AI-plattformar löper risk för attacker med uppgiftsprovning, inklusive kontoövertaganden, API-missbruk och farming av gratisnivåer.

  • Effektivt försvar kräver flera lager av botdetektering, kontroll av komprometterade inloggningsuppgifter och delade signaler över inloggning, registrering och API-slutpunkter.

Vad är uppgiftsprovning?

Uppgiftsprovning är en cyberattack där brottslingar tar par av användarnamn och lösenord som läckt från tidigare dataintrång och automatiskt testar dem mot andra tjänster. Det fungerar eftersom många människor återanvänder lösenord. Studier visar konsekvent att många använder samma inloggningsuppgifter på flera konton och 72 % av Gen Z uppger att de återanvänder lösenord.

Hur fungerar uppgiftsprovning?

Angripare som utför uppgiftsprovning hämtar listor med inloggningsuppgifter, ibland kallade ”kombolistor”, från databaser med dataintrång på kriminella forum och darknet-marknadsplatser. Vissa av dessa listor innehåller hundratals miljoner verifierade par av användarnamn och lösenord. De läser in listorna i programvara som kan skicka miljontals inloggningsförfrågningar, hantera CAPTCHA (Completely Automated Public Turing tests to tell Computers and Humans Apart), rotera genom proxy-IP-adresser och tolka svar på framgång eller misslyckande.

För att undvika enkla regler för frekvensbegränsning skickar angripare dessa inloggningsförfrågningar från tusentals olika adresser, ofta genom bostadsproxyer som liknar legitim användartrafik. När en inloggning lyckas flaggar verktyget den. Angriparen har nu ett verifierat, fungerande konto och kan extrahera sparade betalningsmetoder, personuppgifter, API-åtkomst eller kontokrediter.

Hur skiljer sig uppgiftsprovning från brute force och lösenordssprayning?

Uppgiftsprovning, brute force-attacker och lösenordssprayning är relaterade, men strukturellt olika. Rätt motåtgärd för det ena stoppar inte nödvändigtvis de andra.

Här är en sammanfattning:

  • Brute force: En brute force-attack testar systematiskt varje möjlig lösenordskombination mot ett specifikt konto. Det är beräkningsmässigt dyrt, långsamt och till stor del opraktiskt mot webbvända inloggningsslutpunkter med policyer för kontoutelåsning.

  • Lösenordssprayning: En attack med lösenordssprayning testar ett eller några få vanliga lösenord (t.ex. Password1!, Welcome2024) på ett stort antal konton. Det är utformat för att hålla sig under utelåsningsgränser per konto samtidigt som det utnyttjar svaga lösenordsval. Lösenordspolicyer kan förhindra att användare har dessa vanliga lösenord från första början och är en hjälpsam motåtgärd.

  • Uppgiftsprovning: Attacker med uppgiftsprovning anses ibland vara en underkategori av brute force-attacker och kör legitima par av användarnamn och lösenord genom obekräftade inloggningssidor och tar kontroll över alla konton de kommer in på. Standardpolicyer för lösenord är inte till mycket hjälp mot uppgiftsprovning eftersom de inte kan förhindra kunder från att återanvända lösenord på olika konton.

Vilka är de tidiga varningssignalerna för en uppgiftsprovningsattack?

Uppgiftsprovningsattacker uppträder sällan som en enda dramatisk topp. De syns oftare som en långsam ackumulering av tecken.

Se upp för följande:

  • Förhöjd andel misslyckade inloggningar för konton: En brute force-attack visar många misslyckanden på ett konto. Uppgiftsprovning visar en måttlig frekvens av misslyckanden utspridda över tusentals konton samtidigt. Om din basfrekvens för misslyckade inloggningar är 2 %–5 % och den plötsligt hoppar till 15 %–20 % över hela tjänsten motiverar den förändringen en omedelbar utredning.

  • En plötslig tillströmning av nya IP-adresser: Bostadsproxynätverk genererar förfrågningar från adresser som ser rena ut på rykteslistor. Men en ökning av IP-adresser som aldrig tidigare kommit till din plattform är en betydande signal när den korreleras med inloggningsaktivitet.

  • Ovanliga geografiska fördelningar: Inloggningar klustrade i regioner som inte matchar ett kontos historiska åtkomstmönster kan indikera automatiserad åtkomst.

  • Konsekventa användare-agent-strängar över många förfrågningar: Legitima användarpopulationer visar enorm variation i webbläsarfingeravtryck. Vid uppgiftsprovningsattacker upprepas ofta samma användare-agent-sträng i tusentals förfrågningar, vilket är ett mönster värt att flagga för.

  • Ett högt förhållande mellan försök och framgång: Normala användare misslyckas en eller två gånger, och lyckas sedan eller återställer. Verktyg för uppgiftsprovning lyckas sällan men genererar många försök per session.

  • Oförklarliga volymtoppar vid inloggningsslutpunkten: Även med IP-rotation ser själva slutpunkten fler totala förfrågningar under uppgiftsprovningsattacker. En enorm ökning utan ett motsvarande marknadsföringsevenemang eller produktlansering är en varningssignal.

Varför är uppgiftsprovning farligt för SaaS- och AI-plattformar?

Angripare som genomför uppgiftsprovning verifierar fungerande inloggningsuppgifter för att bygga upp en portfölj av åtkomst. När de väl kommit in kan de göra ännu mer skada.

Om du driver en SaaS- eller AI-plattform är det här vad du behöver veta:

  • Kontoövertagande och datastöld: När de väl har kommit in på ett kundkonto kan angripare exfiltrera personuppgifter, betalningsuppgifter, privata filer eller kommunikation. Om din plattform hanterar känsliga företagsdata kan ett enda komprometterat konto orsaka exponering bortom angriparens ursprungliga mål.

  • Omedelbar intäktsgenerering av kontot: Angripare kan ta ut pengar från ett komprometterat konto direkt. Kontot kan tömmas på krediter eller användas för bedrägliga köp, eller så kan inloggningsuppgifterna säljas vidare på kriminella forum.

  • Bedrägeri via sparade betalningsmetoder: Konton med sparade betalningsmetoder är högvärdiga mål. Angripare kan initiera köp, överföra krediter eller omdirigera utbetalningar, vilket skapar direkt finansiell exponering för både plattformen och dess användare.

  • Bedrägeri med nya konton: Efter att ha bekräftat att din plattform har tillgängligt värde börjar angripare ofta skapa fler bedrägliga konton. Kostnadsfria provperioder, registreringsbonusar och API-åtkomst kopplade till nya konton är alla mål.

  • Missbruk av gratis provperiod och farming av gratisnivå: Uppgiftsprovning kan förvandlas till andra typer av bedrägeri. Angripare kan löpande använda åtkomst till gratisnivåer över många konton för att undvika användningsgränser. Detta är ett materiellt ekonomiskt problem för AI-plattformar, eftersom det kostar plattformen pengar att ge bort API-anrop och inferenskrediter.

  • API-missbruk: Konton på AI-plattformar har vanligtvis API-åtkomst och användningskvoter. Angripare som tar över konton kan förbruka dessa kvoter, sälja åtkomsten vidare eller använda beräkningsresurserna för egna syften. Allt detta skapar infrastrukturkostnader för plattformen.

  • Supportbörda: Kunder vars konton har komprometterats kräver mycket support. Lösenordsåterställningar, tvister om bedrägeri och arbetsflöden för kontoåterställning tar tid, pengar och andra resurser i anspråk.

  • Skadat rykte: Användare vars konton äventyras på din plattform kan klandra din plattform, oavsett var deras inloggningsuppgifter ursprungligen läckte ut.

Hur kan plattformar bekämpa attacker med uppgiftsprovning utan att skada inloggningsupplevelsen?

Att förebygga uppgiftsprovningsattacker förlitar sig på att skikta flera försvar så att var och en höjer kostnaden för en attack. Här är några av dina alternativ.

Nyanserad frekvensbegränsning

Om du ställer in en allmän frekvensbegränsning per IP-adress kan angripare kringgå det med hjälp av proxyrotation. Mer effektiva metoder begränsar frekvenser per konto (t.ex. hur många misslyckade försök hade detta specifika konto under de senaste 10 minuterna?), enhetsfingeravtryck eller beteendemönster. En kombination är ännu bättre.

Botdetektering och trafikanalys

Implementera en bothanteringslösning som analyserar beteendesignaler (t.ex. musrörelsemönster, tangenttryckningstid, begäranstakt, svar på JavaScript-autentiseringsfrågor). Verktyg som Cloudflare Bot Management eller Akamai Bot Manager poängsätter trafik redan innan den når din autentiseringslogik.

Kontroll av komprometterade inloggningsuppgifter

Modellen k-anonymity låter användare kontrollera om deras lösenord har komprometterats utan att dela med sig av hela lösenordet. Tjänster som Have I Been Pwneds Pwned Passwords-verktyg använder det för att kontrollera om en användares lösenord har dykt upp i kända dataintrång.

Villkorlig flerfaktorsautentisering (MFA)

Istället för att kräva dem vid varje inloggning kan du reservera MFA-uppmaningar för avvikande signaler. Om ett inloggningsförsök kommer från en ny enhet, ett nytt land eller efter en lång period av inaktivitet på kontot är det ett bra tillfälle att kräva en andra faktor. Detta håller upplevelsen effektiv för vanliga användare samtidigt som man fångar in möjliga scenarier för uppgiftsprovning.

Obligatorisk MFA för åtgärder med högt värde

Även om du inte kräver MFA vid inloggning rekommenderas att du kräver det innan en användare kan ändra sin e-postadress, lägga till en ny betalningsmetod eller komma åt API-nycklar. Detta begränsar skadan om ett övertagande skulle ske.

Hur Stripe Radar kan hjälpa till

Stripe Radar använder AI-modeller som tränats på data från Stripes globala nätverk och uppdateras kontinuerligt baserat på de senaste bedrägeritrenderna, vilket skyddar ditt företag när bedrägerierna utvecklas.

Stripe erbjuder även Radar for Fraud Teams, som gör det möjligt för användare att lägga till anpassade regler som hanterar bedrägeriscenarier för just deras företag och få tillgång till avancerade bedrägeriinsikter.
Radar kan hjälpa ditt företag att:

  • Förhindra bedrägeriförluster: Stripe hanterar över 1 biljon USD i betalningar årligen. Denna omfattning gör det möjligt för Radar att på ett korrekt sätt upptäcka och förhindra bedrägerier, vilket sparar pengar.

  • Öka intäkterna: Radars AI-modeller är tränade på verkliga tvistdata, kundinformation, webbläsardata etc. Detta gör att Radar kan identifiera riskabla transaktioner och minska falska positiva resultat, vilket ökar dina intäkter.

  • Spara tid: Radar är inbyggt i Stripe och kan konfigureras med noll kodrader. Du kan också övervaka din bedrägeriprestanda, skriva regler och annat på en enda plattform, vilket ökar effektiviteten.

Läs mer om Stripe Radar eller börja idag.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

  • Ett fel har inträffat. Försök igen eller kontakta supporten.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Radar

Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Dokumentation om Radar

Använd Stripe Radar för att skydda ditt företag mot bedrägerier.