7.7 مليار دولار حجم خسائر مصارف ومواقع تجارية جراء هجمات Credential Stuffing

يتم الإعلان بشكل شبه يومي عن البرمجيات الخبيثة والهجمات الإلكترونية، خاصة تلك التي تستهدف سرقة هوية المستخدمين الرقمية التي تتمثل بشكل رئيس في "اسم المستخدم وكلمة المرور"، وفي كثير من الأحيان لا يتم الإعلان عن هذه الهجمات إلا بعد أن تصل إلى غايتها وتبرز النتائج التي لا يمكن التستر عليها، فقد باتت عديد من الشركات والمواقع تقع في مرمى أهداف هذه الهجمات التي تعرف باسم Credential Stuffing، الأمر الذي يكلفها مليارات الدولارات من الخسائر، حيث تتسبب هجمات اختراق وسرقة قواعد البيانات الخاصة بالشركات، التي تحوي أسماء المستخدمين وكلمات مرورهم في تكبيد كبرى الشركات خسائر كبيرة، حيث إن هذا النوع من الهجوم يكلف قطاع التجارة الإلكترونية والصناعة المصرفية خسائر بنحو 7.7 مليار دولار سنويا.
وبحسب تقرير لشركة Shape Security المتخصصة في مجال الأمن الإلكتروني، يعد هذا النوع من الهجمات الإلكترونية أكثر انتشارا، حيث يمثل نحو 90 في المائة من جميع محاولات تسجيل الدخول على مواقع التجارة الإلكترونية من هذه الهجمات وليس من متسوقين يسجلون الدخول بحساباتهم الخاصة، وتستهدف هذه الهجمات قطاعات أخرى مثل مواقع خطوط الطيران التي أتت في المرتبة الثانية، حيث يعد هجوم Credential Stuffing أو تكديس البيانات مسؤولا عن ما يقارب 60 في المائة من عمليات تسجيل الدخول إليها، تليها في المرتبة الثالثة المواقع البنكية بنسبة 58 في المائة، ثم في المرتبة الرابعة مواقع الفنادق بنسبة 44 في المائة.
ويمكن لهجمات credential stuffing أن تكون فعالة بنسبة 3 في المائة فقط، ومع أن هذه النسبة لا تبدو كبيرة، إلا أنها في الحقيقة تمثل خطرا حقيقيا، حيث إن هذا يعني نجاح 30 ألف عملية تسجيل دخول ناجحة غير شرعية لكل مليون محاولة. وتتسبب هذه الهجمات في تكبيد كبرى الشركات التجارية خسائر كبيرة، حيث إن هذا النوع من الهجوم يكلف قطاع التجارة الإلكترونية نحو ستة مليارات دولار في السنة، في حين تخسر الصناعة المصرفية نحو 1.7 مليار دولار سنويا. كما أن الفنادق وشركات الطيران هما هدفان رئيسان أيضا لتلك الهجمات، حيث يتم سرقة ما قيمته 700 مليون دولار من برامج الولاء كل عام.
ولا يتم في العادة تحذير المستخدمين ومطالبتهم بتغيير كلمات مرورهم إلا بعد حدوث الاختراق ومرور كثير من الوقت على تنفيذه بفترة طويلة بمعدل 15 شهرا بعد إتمام عملية الاختراق وهو وقت أكثر من كاف للقراصنة لنشر هذه البيانات واستخدامها في الآلاف من هجمات تكديس البيانات.
ولم تكن هذه الهجمات هي الأولى من نوعها، فخلال عام 2016 تم الكشف عن بيانات أكثر من مليار حساب بسبب عمليات الاختراق من نوع Credential Stuffing، التي كان ضحاياها 117 مليون حساب بريد إلكتروني وكلمة مرور على موقع لينكيد إن، وسرقة ومعرفة تفاصيل مليار حساب مستخدم على موقع Yahoo وهي الهجمة التي تعد أكبر عملية اختراق للبيانات في التاريخ، إضافة إلى التحذيرات حول تسريب كلمات المرور لـ32 مليون حساب على موقع "تويتر".
ويذكر أنه خلال هجوم credential stuffing يقوم المخترق بتحميل قاعدة بيانات تحتوي على أكبر عدد ممكن من أسماء المستخدمين وكلمات مرور يتم سرقتها من الشركات ومواقع الإنترنت، ومن ثم يتم إدخال هذه البيانات في أداة اختراق مؤتمتة مصممة خصيصا لهذا النوع من الهجمات لاختبارها على مجموعة واسعة من مواقع الويب والتطبيقات المحمولة، وكلما زاد عدد كلمات المرور التي حصل عليها المخترق، زادت احتمالية أن يعثر على كلمة المرور الخاصة بحساب أو تطبيق معين واستغلاله.