Злоумышленники повторно используют похищенные учетные данные пользователей для взлома аккаунтов на различных сайтах, причем в 0,1-2% случаев такие попытки оказываются успешными.
По данным исследования Shape Security, в 2016 году злоумышленники похитили более 3 млрд учетных записей, факт утечки данных признала 51 компания. Украденные логины и пароли мошенники регулярно используют для доступа к учетным записям пользователей на разных ресурсах. В успешности данной тактики виноваты отчасти сами пользователи, которые устанавливают одну и ту же комбинацию логин\пароль на нескольких сайтах.
Совсем недавно Keeper Security сообщили, что в 2016 году список самых распространенных паролей практически не изменился – наиболее любимыми среди пользователей по-прежнему остаются пароли 123456 и 123456789.
Согласно отчету Shape Security, на многих крупных ресурсах более 90% трафика составляют атаки credential stuffing – вброс регистрационных данных, напоминающий брутфорс, однако перебор вариантов при этом осуществляется не по словарю или спискам расхожих логинов и паролей, а по заранее приобретенной базе похищенных данных.
Источник http://www.securitylab.ru/
