การยัดข้อมูลประจำตัวใช้กระบวนการอัตโนมัติในการนำชุดข้อมูลชื่อผู้ใช้และรหัสผ่านที่ถูกขโมยมาจับคู่กันแล้วทดลองเข้าสู่ระบบ และทำการเข้าถึงเว็บไซต์และแอปโดยไม่ได้รับอนุญาต การโจมตีเหล่านี้สามารถสร้างความเสียหายมูลค่าหลายล้านดอลลาร์ เหตุผลที่กลยุทธ์นี้ได้ผลส่วนหนึ่งเป็นเพราะ แม้ผู้ใช้อาจได้รับแจ้งให้สร้างรหัสผ่านที่ซับซ้อนขึ้น แต่นโยบายการตั้งรหัสผ่านให้ซับซ้อนก็ไม่มีวิธีที่จะป้องกันการนำข้อมูลชุดเดิมไปใช้ซ้ำกับหลายเว็บไซต์หรือหลายบริการได้
ด้านล่างนี้ เราจะมาลงลึกยิ่งขึ้นว่าการยัดข้อมูลประจำตัวคืออะไร แตกต่างจากการโจมตีด้วยกำลังและการใช้รหัสผ่านเดียวกับหลายบัญชีอย่างไร หลังจากการเข้ายึดบัญชีสำเร็จจะมีการฉ้อโกงประเภทใดเกิดขึ้นได้บ้าง และวิธีหยุดยั้งการยัดข้อมูลประจำตัวโดยใช้การป้องกันหลายชั้น
ประเด็นสำคัญ
การยัดข้อมูลประจำตัวใช้ประโยชน์จากการที่คนมักใช้รหัสผ่านซ้ำในบัญชีต่างๆ แม้จะมีนโยบายการตั้งรหัสผ่านที่รัดกุมก็ไม่มีประสิทธิภาพพอที่จะป้องกันการโจมตีประเภทนี้ได้
การให้บริการระบบซอฟต์แวร์ (SaaS) และปัญญาประดิษฐ์ (AI) ต้องเผชิญกับความเสี่ยงที่เกิดจากการโจมตีแบบการยัดข้อมูลประจำตัว ซึ่งรวมถึงการเข้ายึดบัญชี การละเมิดอินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชัน (API) และการปั่นใช้งานแพ็กเกจระดับฟรี
การป้องกันที่มีประสิทธิภาพต้องมีการตรวจจับบอท การคัดกรองข้อมูลประจำตัวที่ถูกเจาะ และสัญญาณที่แชร์ระหว่างการเข้าสู่ระบบ การลงทะเบียน และปลายทาง API ซ้อนกัน
การยัดข้อมูลประจำตัวคืออะไร
การยัดข้อมูลประจำตัวเป็นการโจมตีทางไซเบอร์ที่อาชญากรจะนำชุดข้อมูลชื่อผู้ใช้และรหัสผ่านที่รั่วไหลจากการละเมิดข้อมูลที่ผ่านมา แล้วนำมาจับคู่ทดสอบเข้าสู่ระบบในบริการอื่นๆ โดยอัตโนมัติ วิธีนี้ได้ผลเนื่องจากมักมีการใช้รหัสผ่านซ้ำกันบ่อยครั้ง โดยการวิจัยแสดงให้เห็นอย่างต่อเนื่องว่าผู้คนจำนวนมากมักใช้ข้อมูลประจำตัวเดียวกันในหลายบัญชี โดย 72% ของประชากรเจน Z รายงานว่าตนใช้รหัสผ่านซ้ำ
การยัดข้อมูลประจำตัวทำงานอย่างไร
ผู้โจมตีแบบการยัดข้อมูลประจำตัวจะจัดหาชุดข้อมูลประจำตัว ซึ่งบางครั้งเรียกว่า "รายการคู่ข้อมูล" จากฐานข้อมูลที่รั่วไหลในฟอรัมอาชญากรและตลาดมืด รายการเหล่านี้บางส่วนมีคู่ชื่อผู้ใช้และรหัสผ่านที่ได้รับการยืนยันแล้วหลายร้อยล้านคู่ โดยอาชญากรจะโหลดรายการเหล่านี้ลงในซอฟต์แวร์ที่สามารถส่งคำขอเข้าสู่ระบบได้หลายล้านรายการ รับมือกับการทดสอบอัตโนมัติแบบสมบูรณ์ที่เปิดให้สาธารณะใช้ เพื่อแยกความแตกต่างระหว่างคอมพิวเตอร์กับมนุษย์ (CAPTCHA) หมุนเวียนใช้ที่อยู่อินเทอร์เน็ตโปรโตคอล (IP) ของพร็อกซีต่างๆ และแยกวิเคราะห์การตอบกลับที่สำเร็จหรือล้มเหลว
ผู้โจมตีจะหลีกเลี่ยงกฎการจำกัดอัตราแบบง่ายๆ โดยการส่งคำขอเข้าสู่ระบบเหล่านี้จากที่อยู่หลายพันแห่ง ซึ่งมักจะเป็นพร็อกซีสำหรับที่พักอาศัยที่คล้ายกับการรับส่งข้อมูลของผู้ใช้จริง เมื่อเข้าสู่ระบบสำเร็จ เครื่องมือจะทำสัญญาณเอาไว้ ซึ่งทำให้ตอนนี้ผู้โจมตีมีบัญชีที่ใช้งานได้และได้รับการยืนยันแล้ว และสามารถดึงข้อมูลวิธีการชำระเงินที่จัดเก็บไว้, ข้อมูลส่วนบุคคล, การเข้าถึง API หรือเครดิตบัญชีออกมาได้
การยัดข้อมูลประจำตัวแตกต่างจากการโจมตีด้วยกำลัง (Brute Force) และการใช้รหัสผ่านเดียวกับหลายบัญชี (Password Spraying) อย่างไร
การยัดข้อมูลประจำตัว การโจมตีด้วยกำลังและการใช้รหัสผ่านเดียวกับหลายบัญชีมีความเกี่ยวข้องกัน แต่มีโครงสร้างที่แตกต่างกัน มาตรการรับมือที่เหมาะสมสำหรับประเภทหนึ่งอาจไม่สามารถหยุดประเภทหนึ่งได้เสมอไป
โปรดดูสรุปข้อมูลต่อไปนี้
การโจมตีด้วยกำลัง: การโจมตีด้วยกำลังจะเป็นการพยายามลองใส่รหัสผ่านทุกรูปแบบที่เป็นไปได้อย่างเป็นระบบกับบัญชีที่เฉพาะเจาะจง ซึ่งใช้ทรัพยากรในการประมวลผลสูง ใช้เวลานาน และส่วนใหญ่ไม่สามารถใช้ได้จริงกับปลายทางที่ใช้การเข้าสู่ระบบบนเว็บที่มีนโยบายล็อกบัญชี
การใช้รหัสผ่านเดียวกับหลายบัญชี: การโจมตีแบบการใช้รหัสผ่านเดียวกับหลายบัญชี จะเป็นการลองใส่รหัสผ่านทั่วไปจำนวน 1-2 รหัส (เช่น Password1!, Welcome2024) ในบัญชีจำนวนมาก ซึ่งออกแบบมาหลบเลี่ยงกลไกการถูกล็อกบัญชีของแต่ละบัญชี พร้อมใช้ประโยชน์จากการที่ผู้คนตั้งรหัสผ่านที่คาดเดาง่าย นโยบายการตั้งรหัสผ่านสามารถป้องกันไม่ให้ผู้ใช้มีรหัสผ่านที่คาดเดาได้ง่ายได้ตั้งแต่ต้น และเป็นมาตรการรับมือมีประสิทธิภาพ
การยัดข้อมูลประจำตัว: บางครั้งถือเป็นประเภทย่อยของการโจมตีด้วยกำลัง โดยการโจมตีแบบการยัดข้อมูลประจำตัวคือการนำชุดข้อมูลชื่อผู้ใช้และรหัสผ่านจริงมาจับคู่เพื่อทดลองเข้าสู่ระบบกับหน้าการเข้าสู่ระบบที่ไม่ได้รับการยืนยัน และเข้าควบคุมบัญชีที่เข้าถึงได้สำเร็จ นโยบายการตั้งรหัสผ่านทั่วไปแทบไม่สามารถช่วยป้องกันการยัดข้อมูลประจำตัวได้ เพราะไม่สามารถป้องกันไม่ให้ลูกค้านำรหัสผ่านกลับไปใช้ซ้ำกับหลายบัญชีได้
สัญญาณเตือนแนวโน้มของการโจมตีแบบการยัดข้อมูลประจำตัวมีอะไรบ้าง
การโจมตีแบบการยัดข้อมูลประจำตัวจะไม่ค่อยปรากฏให้เห็นจำนวนมากในครั้งเดียว แต่มักจะมองเห็นได้จากการค่อยๆ นำสัญญาณต่างๆ มาพิจารณาร่วมกัน
นี่คือข้อควรพิจารณา
อัตราการเข้าสู่ระบบล้มเหลวที่เพิ่มสูงขึ้นในหลายบัญชี: การโจมตีด้วยกำลังมักจะแสดงให้เห็นการพยายามเข้าสู่ระบบล้มเหลวจำนวนมากในบัญชีเดียว ขณะที่การยัดข้อมูลประจำตัวจะแสดงอัตราการเข้าสู่ระบบไม่สำเร็จในระดับปานกลางโดยกระจายไปในหลายพันบัญชีพร้อมกัน หากอัตราการเข้าสู่ระบบไม่สำเร็จในระดับพื้นฐานของคุณคือ 2%–5% แล้วก็เพิ่มขึ้นเป็น 15%–20% ในระยะอันสั้นในภาพรวมทั้งหมด การเปลี่ยนแปลงลักษณะนี้ควรได้รับการตรวจสอบทันที
มี IP ใหม่จำนวนมากผิดปกติเข้ามาพร้อมกัน: เครือข่ายพร็อกซีในที่พักอาศัยจะสร้างคำขอจากที่ดูน่าเชื่อถือและไม่มีประวัติเสี่ยงในระบบรายการชื่อเสียง แต่การมี IP ที่ไม่เคยเข้ามาที่แพลตฟอร์มของคุณมาก่อนไหลเข้ามาเป็นจำนวนมาก และเมื่อมีความเกี่ยวข้องกับการเข้าสู่ระบบก็จะถือเป็นสัญญาณสำคัญที่ควรเฝ้าระวัง
การกระจายตัวของตำแหน่งทางภูมิศาสตร์ที่ผิดปกติ: การเข้าสู่ระบบที่มีลักษณะรวมกลุ่มกันในภูมิภาคที่ไม่ตรงกับรูปแบบการเข้าถึงที่ผ่านมาของบัญชีอาจเป็นสัญญาณของการเข้าถึงที่ดำเนินการอัตโนมัติ
พบสตริง user-agent เดิมซ้ำๆ ในคำขอจำนวนมาก: ผู้ใช้งานจริงมักมีร่องรอยการใช้เบราว์เซอร์ที่มีความหลากหลายอย่างมาก แต่ในการโจมตีแบบการยัดข้อมูลประจำตัวมักจะมีสตริง user-agent รายการเดิมซ้ำกันหลายพันคำขอ ซึ่งเป็นรูปแบบที่ถูกตรวจจับและแจ้งเตือนทันที
มีอัตราส่วนระหว่างการพยายามการเข้าสู่ระบบกับการเข้าสู่ระบบสำเร็จที่สูง: ผู้ใช้ปกติจะล้มเหลว 1-2 ครั้ง จากนั้นก็จะเข้าสู่ระบบสำเร็จหรือทำการรีเซ็ต แต่เครื่องมือการยัดข้อมูลประจำตัวจะเข้าสู่ระบบสำเร็จไม่บ่อยนัก แต่จะทำการพยายามเข้าจำนวนหลายครั้งต่อเซสชัน
ปริมาณที่พุ่งสูงขึ้นอย่างอธิบายไม่ได้ที่ปลายทางการเข้าสู่ระบบ: แม้จะมีการหมุนเวียน IP แต่ปลายทางก็จะเห็นคำขอทั้งหมดเพิ่มขึ้นหากมีการโจมตีแบบการยัดข้อมูลประจำตัว การที่คำขอเพิ่มขึ้นอย่างมากโดยไม่ได้มีแคมเปญการตลาดหรือการเปิดตัวผลิตภัณฑ์ใดๆ ที่สอดคล้องกับช่วงนี้ก็ถือเป็นสัญญาณเตือนอย่างหนึ่ง
เหตุใดการยัดข้อมูลประจำตัวจึงเป็นอันตรายต่อแพลตฟอร์ม SaaS และ AI
ผู้โจมตีที่โดยการยัดข้อมูลประจำตัวจะนำข้อมูลประจำตัวที่ใช้งานได้ไปทำการยืนยันเพื่อสร้างช่องทางการเข้าถึง หลังจากที่เข้าระบบได้แล้ว ก็ยิ่งสามารถสร้างความเสียหายได้มากขึ้น
หากคุณดำเนินการแพลตฟอร์ม SaaS หรือแพลตฟอร์ม AI สิ่งที่คุณควรรู้มีดังต่อไปนี้
การเข้ายึดบัญชีและการขโมยข้อมูล: เมื่อผู้โจมตีเข้าไปในบัญชีลูกค้าได้แล้ว จะสามารถดึงข้อมูลส่วนบุคคล รายละเอียดการชำระเงิน ไฟล์ส่วนตัว หรือการสื่อสารออกมาได้ หากแพลตฟอร์มของคุณดำเนินการกับข้อมูลธุรกิจที่ละเอียดอ่อน บัญชีที่ถูกบุกรุกเพียงบัญชีเดียวก็อาจทำให้ข้อมูลถูกเปิดเผยได้มากเกินกว่าเป้าหมายเดิมของผู้โจมตีได้
การทำรายได้จากบัญชีในทันที: ผู้โจมตีอาจนำเงินออกจากบัญชีที่ถูกเจาะโดยทันที โดยบัญชีอาจถูกดึงเครดิตออกหรือถูกนำไปใช้สำหรับการซื้อที่เป็นการฉ้อโกง หรืออาจนำข้อมูลประจำตัวไปขายต่อในฟอรัมอาชญากร
การฉ้อโกงผ่านวิธีการชำระเงินที่จัดเก็บไว้: บัญชีที่มีการบันทึกวิธีการชำระเงินไว้ เป็นเป้าหมายที่มีมูลค่าสูง โดยผู้โจมตีสามารถเริ่มทำการซื้อ โอนเครดิต หรือเปลี่ยนเส้นทางการเบิกจ่ายเงิน ซึ่งจะสร้างความเสี่ยงทางการเงินโดยตรงต่อทั้งแพลตฟอร์มและผู้ใช้
การฉ้อโกงบัญชีใหม่: หลังจากที่ยืนยันว่าแพลตฟอร์มของคุณมีมูลค่าพอที่ควรให้เข้าถึง ผู้โจมตีมักจะเริ่มสร้างบัญชีฉ้อโกงเพิ่มขึ้น โดยมีเป้าหมายคือการทดลองใช้ฟรี โบนัสการลงทะเบียน และการเข้าถึง API ที่เชื่อมโยงกับบัญชีใหม่
การละเมิดทดลองใช้ฟรีและการปั่นใช้งานแพ็กเกจระดับฟรี: การยัดข้อมูลประจำตัวสามารถกลายเป็นการฉ้อโกงรูปแบบอื่นต่อได้ ผู้โจมตีอาจหมุนเวียนใช้การเข้าถึงระดับฟรีเป็นจำนวนหลายบัญชีเพื่อหลีกเลี่ยงข้อจำกัดการใช้งาน ซึ่งเป็นปัญหาทางการเงินที่สำคัญสำหรับแพลตฟอร์ม AI เนื่องจากการที่แพลตฟอร์มแจกจ่ายการเรียกใช้ API และเครดิตการประมวลผล จะทำให้แพลตฟอร์มเสียค่าใช้จ่ายโดยตรง
การละเมิด API: ปกติแล้วบัญชีในแพลตฟอร์ม AI จะมาพร้อมกับสิทธิ์ในการเข้าถึง API และโควตาการใช้งานต่างๆ ผู้โจมตีที่เข้ายึดบัญชีสามารถใช้โควตาเหล่านั้นจนหมด นำสิทธิ์การเข้าถึงไปขายต่อ หรือใช้ทรัพยากรการประมวลผลของแพลตฟอร์มเพื่อวัตถุประสงค์ของตนเอง ทั้งหมดนี้ล้วนทำให้แพลตฟอร์มสูญเสียค่าใช้จ่ายด้านโครงสร้างพื้นฐาน
ภาระในการสนับสนุน: ลูกค้าที่บัญชีถูกเจาะจำเป็นต้องได้รับการสนับสนุนอย่างมาก โดยกระบวนการที่จะกินเวลา เงิน และทรัพยากรอื่นๆ มีทั้ง การรีเซ็ตรหัสผ่าน การสร้างข้อโต้แย้งเกี่ยวกับการการฉ้อโกง และขั้นตอนการกู้คืนบัญชี
ชื่อเสียงเสียหาย: ผู้ใช้ที่บัญชีถูกเจาะบนแพลตฟอร์มของคุณอาจตำหนิแพลตฟอร์มของคุณได้ โดยไม่สำคัญว่าข้อมูลประจำตัวของตนรั่วไหลมาจากที่ใดในตอนแรก
แพลตฟอร์มจะต่อสู้กับการโจมตีแบบการยัดข้อมูลประจำตัวโดยไม่ทำลายประสบการณ์การเข้าสู่ระบบได้อย่างไร
การป้องกันการโจมตีแบบการยัดข้อมูลประจำตัวจะใช้การป้องกันหลายชั้น เพื่อให้แต่ละชั้นเพิ่มความยากในการโจมตี ตัวเลือกบางรายการที่คุณใช้ได้มีดังนี้
การจำกัดอัตราที่ปรับตามสถานการณ์
หากคุณตั้งค่าการจำกัดอัตราแบบครอบคลุมตาม IP ผู้โจมตีอาจหลบเลี่ยงได้โดยใช้การหมุนเวียนพร็อกซี วิธีการที่มีประสิทธิภาพมากกว่าคือการจำกัดอัตราตามบัญชี (เช่น บัญชีนี้มีการเข้าสู่ระบบล้มเหลวกี่ครั้งภายใน 10 นาทีที่ผ่านมา) ร่องรอยการใช้งานของอุปกรณ์ หรือรูปแบบพฤติกรรม โดยหากใช้ผสมผสานกันก็จะดียิ่งขึ้นไปอีก
การตรวจจับบอทและการวิเคราะห์การรับส่งข้อมูล
ปรับใช้โซลูชันการจัดการบอทที่วิเคราะห์สัญญาณด้านพฤติกรรม (เช่น รูปแบบการเคลื่อนไหวของเมาส์, ช่วงจังหวะการกดแป้นพิมพ์, จังหวะการส่งคำขอ, การตอบสนองต่อคำถามตรวจสอบสิทธิ์, JavaScript) เครื่องมือต่างๆ เช่น Cloudflare Bot Management หรือ Akamai Bot Manager จะให้คะแนนการรับส่งข้อมูลก่อนที่จะดำเนินการไปถึงตรรกะการตรวจสอบสิทธิ์ของคุณ
การคัดกรองข้อมูลประจำตัวที่ถูกเจาะ
รูปแบบ k-anonymity ช่วยให้ผู้ใช้สามารถตรวจสอบได้ว่ารหัสผ่านของตนถูกเจาะหรือไม่โดยไม่ต้องแชร์รหัสผ่านทั้งหมดก็ได้ บริการต่างๆ เช่น เครื่องมือ Pwned Passwords ของ Have I Been Pwned สามารถใช้ตรวจสอบได้ว่ารหัสผ่านของผู้ใช้ปรากฏในชุดข้อมูลที่ทราบว่ารั่วไหลหรือไม่
การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ตามเงื่อนไข
แทนที่จะต้องระบุทุกครั้งที่เข้าสู่ระบบ ให้ส่งข้อความแจ้งของ MFA เฉพาะกับสัญญาณที่ผิดปกติ หากมีการพยายามเข้าสู่ระบบจากอุปกรณ์ใหม่ ประเทศใหม่ หรือมีการเข้าสู่ระบบหลังจากที่ไม่มีการใช้งานบัญชีมาเป็นเวลานาน นั่นคือช่วงเวลาที่เหมาะสมในการขอการยืนยันตัวแบบ 2 ปัจจัย วิธีนี้ช่วยให้ผู้ใช้ทั่วไปยังคงได้รับประสบการณ์ ขณะเดียวกันก็ช่วยตรวจจับตาดูสถานการณ์ที่อาจเป็นการโจมตีแบบการยัดข้อมูลประจำตัวได้ด้วย
บังคับให้ใช้ MFA สำหรับการดำเนินการที่มีมูลค่าสูง
แม้ว่าคุณจะไม่ได้บังคับใช้ MFA ในขั้นตอนการเข้าสู่ระบบ ก็ควรกำหนดให้มีการยืนยันตัวตนหลายขั้นตอนก่อนที่ผู้ใช้จะสามารถเปลี่ยนอีเมล เพิ่มวิธีการชำระเงินใหม่ หรือเข้าถึงคีย์ API ได้ วิธีนี้จะจำกัดความเสียหายได้หากเกิดเหตุการณ์การเข้ายึดบัญชี
Stripe Radar ช่วยอะไรได้บ้าง
Stripe Radar ใช้โมเดล AI ในการตรวจจับและป้องกันการฉ้อโกง โดยฝึกด้วยข้อมูลจากเครือข่ายทั่วโลกของ Stripe โมเดลเหล่านี้จะได้รับการอัปเดตอย่างต่อเนื่องตามแนวโน้มการฉ้อโกงล่าสุด เพื่อปกป้องธุรกิจของคุณเมื่อการฉ้อโกงพัฒนา
Stripe ยังมี Radar for Fraud Teams ซึ่งช่วยให้ผู้ใช้เพิ่มกฎที่กำหนดเองเพื่อจัดการกับสถานการณ์การฉ้อโกงเฉพาะสำหรับธุรกิจของตนและเข้าถึงข้อมูลเชิงลึกเกี่ยวกับการฉ้อโกงที่ล้ำสมัย
Radar สามารถช่วยธุรกิจของคุณได้ดังนี้
ป้องกันการสูญเสียจากการฉ้อโกง: Stripe ประมวลผลการชำระเงินมากกว่า 1 ล้านล้านดอลลาร์ต่อปี ปริมาณที่มากเช่นนี้ช่วยให้ Radar ตรวจจับและป้องกันการฉ้อโกงได้อย่างแม่นยำ ซึ่งช่วยประหยัดเงินให้คุณ
เพิ่มรายรับ: โมเดล AI ของ Radar ได้รับการฝึกฝนจากข้อมูลการโต้แย้งการชำระเงินที่เกิดขึ้นจริง ข้อมูลลูกค้า ข้อมูลการเรียกดู และอื่นๆ ซึ่งทำให้ Radar สามารถค้นหาธุรกรรมที่มีความเสี่ยงและลดการตรวจพบที่ผิดพลาดได้ ซึ่งส่งผลให้คุณมีรายรับเพิ่มขึ้น
ประหยัดเวลา: Radar ถูกสร้างขึ้นใน Stripe และไม่ต้องใช้โค้ดในการตั้งค่า คุณยังสามารถติดตามตรวจสอบประสิทธิภาพในการจัดการการฉ้อโกง เขียนกฎ และอื่นๆ อีกมากมายได้ในแพลตฟอร์มเดียว ซึ่งจะช่วยเพิ่มประสิทธิภาพ
ดูข้อมูลเพิ่มเติมเกี่ยวกับ Stripe Radar หรือเริ่มใช้งานเลยวันนี้
เนื้อหาในบทความนี้มีไว้เพื่อให้ข้อมูลทั่วไปและมีจุดประสงค์เพื่อการศึกษาเท่านั้น ไม่ควรใช้เป็นคําแนะนําทางกฎหมายหรือภาษี Stripe ไม่รับประกันหรือรับประกันความถูกต้อง ความสมบูรณ์ ความไม่เพียงพอ หรือความเป็นปัจจุบันของข้อมูลในบทความ คุณควรขอคําแนะนําจากทนายความที่มีอํานาจหรือนักบัญชีที่ได้รับใบอนุญาตให้ประกอบกิจการในเขตอํานาจศาลเพื่อรับคําแนะนําที่ตรงกับสถานการณ์ของคุณ