क्रेडेंशियल स्टफिंग एक प्रकार का साइबर हमला है जिसमें कई वेबसाइटों में ’स्टफिंग’ चोरी की गई क्रेडेंशियल्स शामिल हैं।
बॉट्स जैसे उपकरणों ने हैकर्स को भराई को स्वचालित करने की अनुमति दी है, जिससे उन्हें छोटी अवधि में दर्जनों साइटों के खिलाफ लाखों लॉगिन क्रेडेंशियल्स का परीक्षण करने की अनुमति मिलती है। इस हमले के बारे में आपको यहां जानने की जरूरत है और सरल तरीके जिनसे आप अपनी रक्षा कर सकते हैं।
क्रेडेंशियल स्टफिंग क्या है?
क्रेडेंशियल स्टफिंग में कई वेबसाइटों में चोरी के पासवर्ड और उपयोगकर्ता नाम का एक बड़ा संग्रह समेटना शामिल है। वे राक्षस उल्लंघनों पर निर्भर करते हैं और अपने डेटा के लिए डार्क वेब पर पेड लीक करते हैं। लक्ष्य अन्य वेबसाइटों में घुसपैठ करने के लिए पिछले लीक से लाखों लॉगिन और उपयोगकर्ता नाम संयोजन का उपयोग करना है।
क्या आप जानते हैं कि इसका पुन: उपयोग # पासवर्ड और की कमी है #multifactorauthentication के लिए मार्ग प्रशस्त करना # क्रेडेंशियलस्टफिंग हमला करता है। वास्तव में, एफबीआई का कहना है कि 2017 और 2020 के बीच सभी वित्तीय क्षेत्र के हमलों का 41% क्रेडेंशियल स्टफिंग के कारण था। https://t.co/h99KM6RPL7pic.twitter.com/4IEEEwbZ2n
- साइमन हेसलोप (@ supersi101) 9 दिसंबर, 2020
वे अपने हमलों को सफल बनाने के लिए एक मानव त्रुटि पर भरोसा करते हैं - एक ही उपयोगकर्ता नाम और / या कई साइटों पर पासवर्ड का उपयोग कर। शोध के अनुसार, सभी उपयोगकर्ताओं में से 85 प्रतिशत अपने पासवर्ड को अलग-अलग खातों पर रीसायकल करते हैं।
और यह इस तरह की सोच है जो साइबर अपराधियों को एक वेबसाइट के उल्लंघन से अन्य सेवाओं में प्रवेश करने के लिए लॉगिन क्रेडेंशियल्स का उपयोग करने की अनुमति देता है।
सफलता की दर .1 से 2 प्रतिशत कम है। इसका मतलब है कि परीक्षण किए गए प्रत्येक मिलियन लॉगिन क्रेडेंशियल के लिए, लगभग 1,000 क्रेडेंशियल्स का उपयोग अन्य वेबसाइटों में जाने के लिए किया जा सकता है। लेकिन उनके प्रयासों को इस लायक बनाया जाता है कि वे जिस डेटा को घुसपैठ करते हैं, उसे इकट्ठा कर सकते हैं।
मान लें कि वे एक हज़ार खातों को हैक करने का प्रबंधन करते हैं और इनमें बैंकिंग जानकारी या क्रेडिट कार्ड क्रेडेंशियल हैं। वे फंडों को छीन सकते हैं या धोखाधड़ी के अन्य रूपों के लिए इनका उपयोग कर सकते हैं। अन्य व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) जैसे सामाजिक सुरक्षा नंबर या कर जानकारी का उपयोग पहचान की चोरी जैसे अपराधों के लिए किया जा सकता है।
साइबर क्रिमिनल प्रत्येक खाते में जो कुछ भी पाते हैं उसका मुद्रीकरण करते हैं जो बहुत कम लॉगिन मिलान दर के बावजूद हमले के लायक बनाता है।
स्टफिंग अटैक कैरी आउट कैसे होता है?
बेशक, हैकर्स मैन्युअल रूप से इनपुट लॉगिन लॉगिन क्रेडेंशियल्स को एक-एक करके अलग-अलग नहीं करते हैं जब से उन्हें हमले करने के लिए चुराए गए लॉगिन क्रेडेंशियल्स की लाखों (या यहां तक कि अरबों) की जरूरत होती है इसके लायक।
इसके बजाय, डेटा उल्लंघनों से क्रैक किए गए क्रेडेंशियल्स को बोटनेट में लोड किया जाता है जो स्वचालित लॉगिन प्रयास लॉन्च करते हैं। वे फिर पता लगाने से बचने के लिए आगे के उपकरणों का उपयोग करते हैं।
सम्बंधित: एक बोटनेट क्या है और क्या आपका कंप्यूटर एक का हिस्सा है?
बोटनेट मैलवेयर, रैंसमवेयर, स्पैम और बहुत कुछ का एक प्रमुख स्रोत हैं। लेकिन बॉटनेट क्या है? वे अस्तित्व में कैसे आते हैं? उन्हें कौन नियंत्रित करता है? और हम उन्हें कैसे रोक सकते हैं?
एक एकल बॉटनेट प्रति घंटे हजारों लॉगिन प्रयास कर सकता है। उदाहरण के लिए, 2016 में एक क्रेडेंशियल स्टफिंग अटैक ने एक बॉटनेट का उपयोग किया, जिसने प्रति घंटे कई साइटों पर 270,000 से अधिक लॉगिन अनुरोध भेजे।
कैसे कर सकते हैं भराई हमलों से बचने का पता लगाने?
जबकि कई साइटें कई दुष्ट लॉगिन का पता लगाने के लिए सुरक्षा उपायों का उपयोग करती हैं, हैकर्स ने इन उपायों को दरकिनार करने के तरीके ढूंढ लिए हैं।
एक प्रॉक्सी सूची का उपयोग चारों ओर के अनुरोधों को उछालने और स्रोत को मुखौटा करने के लिए किया जाता है या, बस लॉगिन अनुरोध करें ऐसा लगता है जैसे वे विभिन्न स्थानों से आ रहे हैं। वे इसे बनाने के लिए अन्य उपकरणों का भी उपयोग करते हैं जैसे कि यह विभिन्न ब्राउज़रों से आने वाले कई साइन-इन प्रयासों की तरह है।
ऐसा इसलिए किया जाता है क्योंकि केवल एक प्रकार के ब्राउज़र (उदाहरण के लिए प्रति घंटा एक हजार) से कई लॉगिन प्रयास संदिग्ध दिखते हैं और धोखाधड़ी के रूप में चिह्नित होने की अधिक संभावना होती है।
ये सभी तकनीकें विभिन्न स्थानों पर हजारों उपयोगकर्ताओं की वैध लॉगिन गतिविधि की नकल करती हैं। यह हमला वेक्टर को सरल बनाता है, फिर भी पता लगाना मुश्किल है।
क्रेडेंशियल स्टफिंग और जानवर बल हमलों के बीच अंतर क्या है?
क्रेडेंशियल स्टफिंग एक उप-प्रकार का जानवर बल का हमला है जो बहुत अधिक शक्तिशाली है क्योंकि यह अधिक लक्षित है।
एक क्रूर बल हमले में अनिवार्य रूप से विभिन्न यादृच्छिक चरित्र संयोजनों का उपयोग करके पासवर्ड का अनुमान लगाना शामिल है। पासवर्ड की खोज होने तक वे कई संभावित संयोजनों का परीक्षण करके कई अनुमान लगाने के लिए स्वचालित सॉफ़्टवेयर का उपयोग करते हैं। यह बिना संदर्भ के किया जाता है।
# क्रेडेंशियलस्टफिंग# वैज्ञानिक# सेनेटरीचेज़# इन्फोग्राफिक# टेकpic.twitter.com/IPuiyja79v
- Ntelicchs (@ntelicchs) 7 दिसंबर, 2020
दूसरी ओर क्रेडेंशियल स्टफिंग, पिछले डेटा उल्लंघनों से लॉगिन विवरण और पासवर्ड का उपयोग करता है। वे एक वेबसाइट से लीक से एक पासवर्ड-उपयोगकर्ता नाम जोड़ी का उपयोग करते हैं और फिर अन्य सेवाओं पर इसका परीक्षण करते हैं।
मजबूत पासवर्ड का उपयोग करते हुए आप क्रूर बल के हमलों से बचा सकते हैं, यह बेकार है यदि आप अन्य वेबसाइटों पर एक ही पासवर्ड का उपयोग करते हैं, जब एक भराई हमला किया जाता है।
क्रेडेंशियल स्टफिंग और क्रेडेंशियल डंपिंग के बीच अंतर क्या है?
हालांकि यह एक ही लग सकता है, क्रेडेंशियल डंपिंग एक अलग प्रकार का हमला है जो एक नेटवर्क को घुसपैठ करने के लिए एक प्रवेश बिंदु या मशीन को लक्षित करता है।
जबकि क्रेडेंशियल स्टफिंग अन्य में जाने के लिए पिछले उल्लंघनों से कई लॉगिन क्रेडेंशियल्स का उपयोग करता है वेबसाइट, क्रेडेंशियल डंपिंग में एक मशीन में शामिल होना और कई लॉगिन को निकालना शामिल है साख।
यह कंप्यूटर की कई रजिस्ट्रियों में कैश्ड क्रेडेंशियल्स तक पहुँचने या सुरक्षा खाता प्रबंधक (एसएएम) डेटाबेस से क्रेडेंशियल्स निकालने के द्वारा किया जाता है। उत्तरार्द्ध में हैश के रूप में सहेजे गए पासवर्ड के साथ बनाए गए सभी खाते हैं।
क्रेडेंशियल डंपिंग अटैक का लक्ष्य नेटवर्क में पैर जमाना या सिस्टम में अन्य कंप्यूटरों में प्रवेश करना है। एक मशीन से लॉगिन क्रेडेंशियल खींचने के बाद, एक हैकर डिवाइस में फिर से प्रवेश कर सकता है या अधिक नुकसान का कारण बनने के लिए पूरे नेटवर्क तक पहुंच प्राप्त कर सकता है।
भराई के विपरीत, एक क्रेडेंशियल डंपिंग हमले एक प्रविष्टि बिंदु का उपयोग करता है, एक मशीन एक नेटवर्क में घुसपैठ करने के लिए बेजोड़ कमजोरियों के साथ।
सम्बंधित: क्रेडेंशियल डंपिंग क्या है? इन 4 टिप्स से खुद को सुरक्षित रखें
तुम एक हमले से खुद को कैसे बचाते हो?
अधिकांश उपयोगकर्ताओं के लिए, अपनी सुरक्षा के लिए सबसे अच्छा और सरल तरीका हर वेबसाइट या खाते के लिए अद्वितीय पासवर्ड का उपयोग करना है। बहुत कम से कम, यह उन लोगों के लिए करें जिनके पास आपकी संवेदनशील जानकारी है जैसे बैंकिंग या क्रेडिट कार्ड विवरण।
टू-फैक्टर ऑथेंटिकेशन (2FA) या मल्टीपल-फैक्टर ऑथेंटिकेशन (MFA) को सक्षम करना अकाउंट टेकओवर को हैकर्स के लिए और अधिक कठिन बनाने में मदद करता है। ये सत्यापन के द्वितीयक साधनों पर निर्भर करते हैं, अर्थात् आपके फ़ोन नंबर पर एक कोड भेजने के साथ-साथ आपके उपयोगकर्ता नाम और पासवर्ड की आवश्यकता होती है।
यदि आपको कई पासवर्ड और उपयोगकर्ता नाम याद रखना भ्रमित करते हैं तो आप एक विश्वसनीय पासवर्ड मैनेजर का उपयोग कर सकते हैं। यदि आप उनकी सुरक्षा के बारे में अनिश्चित हैं, तो देखें सुरक्षित तरीके पासवर्ड प्रबंधक उपयोग करते हैं.
या एक प्रयास करें ओपन-सोर्स पासवर्ड मैनेजर.
अपने पासवर्ड को सुरक्षित रखें
आपका पासवर्ड आपके घर की चाबी की तरह है। यह अद्वितीय, मजबूत और सबसे महत्वपूर्ण होने की आवश्यकता है, आपको इसे हर समय एक सुरक्षित स्थान पर रखने की आवश्यकता है।
इन्हें भी यादगार और सुरक्षित बनाने की आवश्यकता है। आप अलग-अलग पासवर्ड टूल का पता लगा सकते हैं, जो हैकर्स को क्रैक करने के लिए आपके लिए अद्वितीय और यादगार बना सकते हैं।
एक मजबूत पासवर्ड बनाएं जिसे आप बाद में याद रख सकें। आज नए मजबूत पासवर्ड के साथ अपनी सुरक्षा को उन्नत करने के लिए इन ऐप्स का उपयोग करें।
- सुरक्षा
- ऑनलाइन सुरक्षा
लोराएं 15 वर्षों से पत्रिकाओं, समाचार पत्रों और वेबसाइटों के लिए लिख रही हैं। उनके पास अनुप्रयुक्त मीडिया प्रौद्योगिकी में मास्टर और डिजिटल मीडिया, सामाजिक मीडिया अध्ययन और साइबर सुरक्षा में गहरी रुचि है।
हमारे न्यूज़लेटर की सदस्यता लें
टेक टिप्स, रिव्यू, फ्री ईबुक और एक्सक्लूसिव डील्स के लिए हमारे न्यूज़लेटर से जुड़ें!
एक और कदम…!
कृपया हमें आपके द्वारा भेजे गए ईमेल में अपने ईमेल पते की पुष्टि करें।
