Credential Stuffing چیست؟ راهنمای جامع مقابله با حمله پُر کردن اعتبارنامه

هر ۳۹ ثانیه یک حمله سایبری در اینترنت رخ می‌دهد و حمله Credential Stuffing یکی از سریع‌ترین، مقیاس‌پذیرترین و مخرب‌ترین انواع آن است. تصور کنید یک مهاجم، بدون نیاز به هک کردن سیستم شما، فقط با استفاده از ترکیب نام کاربری و رمز عبوری که از نشت داده یک سرویس دیگر به دست آورده، وارد حساب‌های سازمانی کارکنانتان شود. گزارش سالانه Verizon Data Breach Investigations در سال ۲۰۲۴ نشان داد بیش از ۸۰ درصد نقض‌های داده‌ای مرتبط با وب اپلیکیشن‌ها، ریشه در استفاده از اعتبارنامه‌های سرقت‌شده یا ضعیف دارند. حمله Credential Stuffing سهم عمده‌ای از این آمار را به خود اختصاص می‌دهد و خسارت سالانه آن برای کسب‌وکارها بالغ بر ۶ میلیارد دلار تخمین زده شده است.

مشکل اصلی ساده اما فاجعه‌بار است: میلیاردها کاربر همان رمز عبور را در چندین سرویس مختلف استفاده می‌کنند. وقتی یکی از این سرویس‌ها نشت داده تجربه کند، مهاجمان لیست عظیمی از اعتبارنامه‌های معتبر در اختیار می‌گیرند و با استفاده از بات‌های خودکار، آن‌ها را روی صدها سرویس دیگر آزمایش می‌کنند. این مقاله به‌صورت جامع آناتومی حمله Credential Stuffing را تشریح می‌کند، تفاوت آن با حملات مشابه را روشن می‌سازد و راهکارهای فنی و عملیاتی مقابله را با تأکید بر مفاهیم و استانداردهای احراز هویت مبتنی بر FIDO2 ارائه می‌دهد.

Credential Stuffing چیست و چگونه کار می‌کند؟

حمله Credential Stuffing یا «پُر کردن اعتبارنامه» نوعی حمله سایبری خودکار است که در آن مهاجم از فهرست عظیمی از ترکیب‌های نام کاربری و رمز عبور — که معمولاً از نشت‌های داده‌ای قبلی به دست آمده — برای ورود غیرمجاز به حساب‌های کاربری در سرویس‌های مختلف استفاده می‌کند. برخلاف بسیاری از حملات سایبری که نیازمند دانش فنی عمیق یا بهره‌برداری از آسیب‌پذیری نرم‌افزاری هستند، Credential Stuffing از یک ضعف رفتاری انسانی ساده بهره می‌برد: استفاده مجدد از رمز عبور.

فرایند اجرای این حمله مستقیم و مشخص است. مهاجم ابتدا لیست‌های اعتبارنامه (Credential Lists) را از بازارهای دارک‌وب، انجمن‌های هکری یا پایگاه‌های داده نشت‌شده تهیه می‌کند. این لیست‌ها حاوی میلیون‌ها و گاهی میلیاردها ترکیب ایمیل/نام‌کاربری و رمز عبور هستند که از نقض‌های داده‌ای سرویس‌هایی مانند LinkedIn، Yahoo، Dropbox و صدها سرویس دیگر استخراج شده‌اند.

زنجیره حمله Credential Stuffing: از نشت داده تا تصاحب حساب

مهاجم پس از تهیه لیست اعتبارنامه‌ها، از ابزارهای خودکار (بات) برای تست سریع و انبوه این ترکیب‌ها روی سرویس‌های هدف استفاده می‌کند. ابزارهایی مانند Sentry MBA، STORM، BlackBullet و OpenBullet از محبوب‌ترین ابزارهای Credential Stuffing هستند. این ابزارها قادرند هزاران درخواست ورود در ثانیه ارسال کنند و برای دور زدن مکانیزم‌های امنیتی ابتدایی، از شبکه‌های پروکسی چرخشی (Rotating Proxies) استفاده می‌کنند تا هر درخواست از آدرس IP متفاوتی ارسال شود.

وقتی یک ترکیب نام کاربری و رمز عبور روی سرویس هدف با موفقیت احراز هویت شود، مهاجم آن حساب را «کرک‌شده» (Cracked) علامت می‌زند. سپس بسته به نوع سرویس و هدف مهاجم، از حساب تصاحب‌شده برای سرقت داده، تقلب مالی، ارسال اسپم، فروش حساب در بازار سیاه یا به‌عنوان پایگاهی برای حملات پیچیده‌تر استفاده می‌کند.

نرخ موفقیت Credential Stuffing معمولاً بین ۰.۱ تا ۲ درصد متغیر است. این رقم در نگاه اول ناچیز به نظر می‌رسد، اما وقتی مهاجم یک میلیارد اعتبارنامه تست می‌کند، حتی نرخ ۰.۱ درصدی به معنای یک میلیون حساب تصاحب‌شده خواهد بود.

چرا Credential Stuffing انقدر مؤثر است؟

اثربخشی بالای این حمله ریشه در چند عامل مشخص دارد. مطالعات متعدد نشان داده بین ۵۹ تا ۶۵ درصد کاربران همان رمز عبور را در حداقل دو سرویس مختلف استفاده می‌کنند. گزارش SpyCloud در سال ۲۰۲۴ مشخص کرد ۷۰ درصد کاربرانی که رمز عبورشان در یک نشت داده افشا شده بود، هنوز از همان رمز عبور یا نسخه‌ای بسیار مشابه آن در سرویس‌های دیگر استفاده می‌کردند.

حجم عظیم داده‌های نشت‌شده نیز نقش تعیین‌کننده‌ای ایفا می‌کند. تا سال ۲۰۲۵، بیش از ۲۶ میلیارد رکورد اعتبارنامه نشت‌شده در دارک‌وب و مخازن عمومی شناسایی شده و این رقم هر ماه افزایش می‌یابد. هزینه اجرای حمله نیز بسیار پایین است زیرا لیست‌های اعتبارنامه با قیمت‌هایی از چند دلار تا چند صد دلار قابل خرید هستند و ابزارهای حمله رایگان یا ارزان‌قیمت در دسترس قرار دارند. استفاده از بات‌نت‌ها و پروکسی‌های چرخشی نیز مقیاس‌پذیری بسیار بالایی به حمله می‌بخشد.

تفاوت Credential Stuffing با حمله Brute Force

یکی از رایج‌ترین اشتباهات در ادبیات امنیت سایبری، یکسان انگاشتن Credential Stuffing و Brute Force است. هرچند هر دو حمله به صفحه ورود (Login Page) هدف می‌گیرند، مکانیزم و فلسفه آن‌ها کاملاً متفاوت است و درک این تفاوت برای انتخاب راهکار دفاعی مناسب ضروری محسوب می‌شود.

Brute Force: تولید تصادفی در برابر یک هدف

حمله Brute Force بر اساس آزمایش تصادفی یا الگوریتمیک ترکیب‌های ممکن رمز عبور کار می‌کند. مهاجم یک حساب کاربری مشخص را هدف قرار می‌دهد و تمام ترکیب‌های ممکن رمز عبور را آزمایش می‌کند یا از لیست‌های رمز عبور رایج (Dictionary Attack) استفاده می‌کند. این حمله زمان‌بر است، نرخ موفقیت پایینی دارد و سیستم‌های قفل حساب (Account Lockout) به‌راحتی آن را مسدود می‌کنند.

Credential Stuffing: اعتبارنامه واقعی در برابر اهداف متعدد

حمله Credential Stuffing از اعتبارنامه‌های واقعی و تأییدشده استفاده می‌کند که قبلاً در سرویس دیگری معتبر بوده‌اند. مهاجم به جای آزمایش ترکیب‌های تصادفی، ترکیب‌های واقعی نام‌کاربری/رمز‌عبور را روی سرویس‌های متعدد تست می‌کند. نرخ موفقیت بسیار بالاتری نسبت به Brute Force دارد زیرا اعتبارنامه‌ها از قبل معتبر بوده‌اند و احتمال استفاده مجدد بالا است. مکانیزم‌های قفل حساب نیز کمتر فعال می‌شوند زیرا مهاجم معمولاً فقط یک یا دو بار هر ترکیب را آزمایش می‌کند.

تفاوت کلیدی دیگر در قابلیت شناسایی نهفته است. Brute Force الگوی واضحی ایجاد می‌کند: تلاش‌های مکرر ورود ناموفق از یک IP به یک حساب. Credential Stuffing اما الگوی بسیار پنهان‌تری دارد: هر IP یک بار تلاش می‌کند و هر حساب فقط یک تلاش ورود ناموفق تجربه می‌کند که شناسایی آن برای سیستم‌های امنیتی سنتی دشوارتر است.

ریسک‌ها و پیامدهای Credential Stuffing برای سازمان‌ها

پیامدهای یک حمله Credential Stuffing موفق فراتر از دسترسی غیرمجاز به یک حساب کاربری است و موج‌وار در سراسر سازمان گسترش می‌یابد. درک عمق این پیامدها انگیزه لازم برای سرمایه‌گذاری در دفاع مؤثر را ایجاد می‌کند.

تصاحب حساب (Account Takeover — ATO) و پیامدهای مستقیم

تصاحب حساب یا ATO مستقیم‌ترین نتیجه حمله Credential Stuffing محسوب می‌شود. مهاجم پس از ورود به حساب، معمولاً رمز عبور و اطلاعات بازیابی را تغییر می‌دهد تا مالک واقعی نتواند حساب خود را بازپس بگیرد. سپس بسته به نوع حساب، اقدامات مخربی انجام می‌دهد: انتقال وجه از حساب‌های مالی، سرقت داده‌های حساس سازمانی، سوءاستفاده از حساب برای ارسال فیشینگ به مخاطبان قربانی یا دسترسی به سیستم‌های داخلی سازمان از طریق VPN و ایمیل سازمانی.

گزارش Javelin Strategy در سال ۲۰۲۴ نشان داد خسارت مالی ناشی از تصاحب حساب در ایالات متحده به $11$ میلیارد دلار رسیده که رشد ۲۸ درصدی نسبت به سال قبل را نشان می‌دهد. سازمان‌ها در ایران نیز از این تهدید مستثنا نیستند و افزایش نشت‌های داده‌ای سرویس‌های فارسی‌زبان، خطر Credential Stuffing را برای کسب‌وکارهای ایرانی به‌طور جدی افزایش داده است.

خسارت مالی مستقیم و غیرمستقیم

خسارت مالی Credential Stuffing در چند لایه ظاهر می‌شود. هزینه مستقیم شامل سرقت مالی از حساب‌های کاربران یا سازمان و تقلب در تراکنش‌ها است. هزینه تحقیقات فارنزیک دیجیتال، اطلاع‌رسانی به کاربران آسیب‌دیده و بازیابی سیستم‌ها نیز قابل توجه خواهد بود. جریمه‌های قانونی بابت نقض مقررات حفاظت از داده و از دست رفتن اعتماد مشتریان که منجر به کاهش درآمد بلندمدت می‌شود، لایه‌های دیگر خسارت را تشکیل می‌دهند.

Ponemon Institute میانگین هزینه هر نقض داده‌ای مرتبط با اعتبارنامه‌های سرقت‌شده را $4.81$ میلیون دلار تخمین زده و این رقم شامل هزینه‌های مستقیم، غیرمستقیم و فرصت از دست رفته می‌شود.

تأثیر بر زیرساخت و عملکرد سرویس

حملات Credential Stuffing حتی زمانی که موفق به تصاحب حساب نمی‌شوند، فشار سنگینی بر زیرساخت سازمان وارد می‌کنند. حجم عظیم درخواست‌های ورود ناموفق، منابع سرور را مصرف می‌کند و ممکن است عملکرد سرویس را برای کاربران واقعی مختل سازد. برخی حملات Credential Stuffing به اندازه‌ای حجیم هستند که عملاً یک حمله DDoS (Distributed Denial of Service) تلقی می‌شوند. Akamai در گزارش State of the Internet 2024 اعلام کرد روزانه بیش از ۱۹۳ میلیارد درخواست Credential Stuffing در سطح اینترنت شناسایی می‌شود.

تکنیک‌های پیشرفته مهاجمان در حملات Credential Stuffing

مهاجمان برای دور زدن مکانیزم‌های دفاعی، تکنیک‌های پیچیده و تکامل‌یافته‌ای توسعه داده‌اند. شناخت این تکنیک‌ها برای طراحی دفاع مؤثر ضروری است.

شبکه‌های پروکسی چرخشی و بات‌نت‌ها

مهاجمان برای جلوگیری از مسدود شدن IP خود، از شبکه‌های عظیم پروکسی‌های مسکونی (Residential Proxies) استفاده می‌کنند. این پروکسی‌ها آدرس IP‌های واقعی کاربران خانگی هستند که از طریق بدافزار یا سرویس‌های تجاری پروکسی در دسترس قرار می‌گیرند. هر درخواست ورود از یک IP متفاوت و از یک موقعیت جغرافیایی متفاوت ارسال می‌شود و تشخیص ترافیک حمله از ترافیک واقعی کاربران بسیار دشوار می‌گردد.

بات‌نت‌ها نیز ابزار محبوب دیگری هستند. مهاجم هزاران دستگاه آلوده را برای ارسال هم‌زمان درخواست‌های ورود به خدمت می‌گیرد و از آنجا که هر دستگاه تنها چند درخواست ارسال می‌کند، الگوی رفتاری آن از یک کاربر عادی قابل تمییز نیست.

شبیه‌سازی رفتار انسانی و دور زدن CAPTCHA

ابزارهای مدرن Credential Stuffing قادرند رفتار مرورگر واقعی را شبیه‌سازی کنند. تأخیرهای تصادفی بین درخواست‌ها، حرکات ماوس شبیه‌سازی‌شده، تغییر User-Agent و حتی اجرای جاوا اسکریپت صفحه ورود همه تکنیک‌هایی هستند که بات‌ها از آن‌ها بهره می‌برند. برخی سرویس‌های تجاری حتی حل CAPTCHA را به‌عنوان سرویس (CAPTCHA-solving-as-a-Service) ارائه می‌دهند. سرویس‌هایی مانند 2Captcha و Anti-Captcha با استفاده از ترکیب هوش مصنوعی و نیروی انسانی، CAPTCHA‌ها را در کمتر از ۱۰ ثانیه حل می‌کنند.

Config Files و Combolists: اکوسیستم جرایم Credential Stuffing

یک اکوسیستم تجاری کامل حول Credential Stuffing شکل گرفته است. Combolist‌ها (لیست‌های ترکیبی نام‌کاربری/رمز‌عبور) در انجمن‌های هکری با قیمت‌هایی از $5$ تا $200$ دلار بسته به تازگی و کیفیت فروخته می‌شوند. Config File‌ها فایل‌های پیکربندی هستند که ابزارهای Credential Stuffing را برای حمله به یک سرویس خاص تنظیم می‌کنند و شامل آدرس صفحه ورود، پارامترهای فرم، نحوه تشخیص ورود موفق و ناموفق و روش دور زدن مکانیزم‌های امنیتی آن سرویس هستند.

ATO-as-a-Service نیز مدل کسب‌وکار نوظهوری است که مهاجمان حرفه‌ای، سرویس تصاحب حساب را به مشتریان ارائه می‌دهند. مشتری فقط نام سرویس هدف و بودجه خود را اعلام می‌کند و تیم مهاجم تمام فرایند حمله را از تهیه Combolist تا تحویل حساب‌های تصاحب‌شده اجرا می‌کند.

چرا رمز عبور و MFA سنتی در برابر Credential Stuffing ناکافی است؟

بسیاری از سازمان‌ها تصور می‌کنند سیاست‌های رمز عبور قوی یا فعال‌سازی MFA سنتی، مشکل Credential Stuffing را حل می‌کند. واقعیت اما پیچیده‌تر از این تصور ساده است.

محدودیت‌های ذاتی رمز عبور

سیاست‌های رمز عبور قوی (حداقل طول، ترکیب حروف و اعداد و نمادها) تأثیر بسیار محدودی بر Credential Stuffing دارند. دلیل آن روشن است: مهاجم رمز عبوری را که کاربر خودش انتخاب کرده و در سرویس دیگری استفاده می‌کرده، تست می‌کند. این رمز عبور ممکن است تمام معیارهای پیچیدگی را برآورده کند و هنوز به دلیل استفاده مجدد، آسیب‌پذیر باقی بماند. تغییر اجباری دوره‌ای رمز عبور نیز اثربخشی محدودی دارد زیرا کاربران معمولاً فقط یک عدد یا کاراکتر به انتهای رمز عبور قبلی اضافه می‌کنند.

آسیب‌پذیری MFA مبتنی بر OTP و پیامک

احراز هویت دوعاملی مبتنی بر OTP پیامکی یا اپلیکیشنی، لایه امنیتی اضافی ایجاد می‌کند اما به‌صورت کامل در برابر حملات پیشرفته Credential Stuffing مقاوم نیست. مهاجمان از تکنیک‌های Real-time Phishing و Adversary-in-the-Middle برای رهگیری OTP در لحظه استفاده می‌کنند. ابزارهایی مانند Evilginx2 به‌عنوان پروکسی معکوس عمل کرده، OTP را در لحظه ورود رهگیری می‌کنند و Session Token معتبر دریافت می‌کنند.

حملات SIM Swap نیز OTP پیامکی را هدف قرار می‌دهند. مهاجم با مهندسی اجتماعی اپراتور تلفن همراه، شماره قربانی را به سیم‌کارت خود منتقل و تمام پیامک‌های OTP را مستقیماً دریافت می‌کند. حملات MFA Fatigue نیز با ارسال مکرر درخواست‌های Push Notification، کاربر را مجبور به تأیید اشتباهی یکی از درخواست‌ها می‌کنند. تجربه حمله Uber در سپتامبر ۲۰۲۲ نمونه برجسته این نوع حمله بود.

ضرورت مهاجرت به احراز هویت مقاوم

NIST در نسخه بازنگری‌شده دستورالعمل SP 800-63B صراحتاً از استفاده از پیامک به‌عنوان عامل دوم در سیستم‌های حساس نهی کرده است. PCI DSS 4.0 نیز از مارس ۲۰۲۵ احراز هویت مقاوم در برابر فیشینگ و حملات تکرار (Replay) را الزامی ساخته است. این الزامات پیام روشنی دارند: سازمان‌ها باید از رمز عبور و OTP سنتی فراتر بروند و به سمت احراز هویت رمزنگاری‌شده مبتنی بر FIDO2 حرکت کنند.

راهکارهای فنی دفاع در برابر Credential Stuffing

مقابله مؤثر با حمله Credential Stuffing نیازمند رویکرد دفاع چندلایه (Defense in Depth) است. هیچ راهکار واحدی به تنهایی کافی نیست و ترکیب لایه‌های مختلف، یک اکوسیستم دفاعی مقاوم ایجاد می‌کند.

لایه اول: محدودسازی نرخ درخواست (Rate Limiting) و Throttling

Rate Limiting اولین و ابتدایی‌ترین خط دفاعی محسوب می‌شود. سیاست‌های محدودسازی باید در چند سطح اعمال شوند: محدودیت تعداد تلاش‌های ورود ناموفق از هر IP در بازه زمانی مشخص، محدودیت تعداد تلاش‌های ورود ناموفق به هر حساب در بازه زمانی مشخص و محدودیت کلی نرخ درخواست به Endpoint ورود (Login Endpoint).

تنظیم دقیق آستانه‌ها (Thresholds) اهمیت حیاتی دارد. آستانه بسیار سخت‌گیرانه، کاربران واقعی را مسدود می‌کند و آستانه بسیار سهل‌گیرانه، مهاجمان را عبور می‌دهد. استفاده از Rate Limiting تطبیقی (Adaptive Rate Limiting) که آستانه‌ها را بر اساس الگوهای ترافیک در زمان واقعی تنظیم می‌کند، رویکرد مؤثرتری خواهد بود.

محدودیت مهم Rate Limiting این است که مهاجمان حرفه‌ای با پروکسی‌های چرخشی و توزیع درخواست‌ها بین هزاران IP، به‌راحتی آن را دور می‌زنند. به همین دلیل Rate Limiting باید یکی از لایه‌ها باشد نه تنها لایه دفاعی.

لایه دوم: تشخیص بات و چالش‌های تعاملی

مکانیزم‌های تشخیص بات سعی می‌کنند ترافیک خودکار را از ترافیک انسانی تفکیک کنند. CAPTCHA رایج‌ترین ابزار این دسته است اما محدودیت‌های جدی دارد. سرویس‌های حل خودکار CAPTCHA، بسیاری از انواع CAPTCHA را در کسری از ثانیه حل می‌کنند. Google reCAPTCHA v3 رویکرد بهتری ارائه می‌دهد و به جای نمایش چالش به کاربر، رفتار او را در پس‌زمینه تحلیل کرده و امتیاز ریسک اختصاص می‌دهد. اما حتی reCAPTCHA v3 نیز توسط بات‌های پیشرفته قابل دور زدن است.

راهکارهای پیشرفته‌تر مانند Device Fingerprinting، تحلیل رفتاری (Behavioral Analysis) و JavaScript Challenge از الگوهای رفتاری ریزتری مانند سرعت تایپ، الگوی حرکت ماوس و ویژگی‌های مرورگر برای تشخیص بات استفاده می‌کنند. ترکیب چندین سیگنال رفتاری دقت تشخیص را به‌طور قابل‌توجهی افزایش می‌دهد.

لایه سوم: پایش اعتبارنامه‌های نشت‌شده (Credential Breach Monitoring)

سازمان‌ها باید به‌صورت پیشگیرانه اعتبارنامه‌های کارکنان خود را در پایگاه‌های داده نشت‌شده بررسی کنند. سرویس‌هایی مانند Have I Been Pwned API امکان بررسی خودکار رمزهای عبور را بدون افشای آن‌ها فراهم می‌کنند. پیاده‌سازی بررسی خودکار هنگام تغییر رمز عبور، تضمین می‌کند کاربر رمز عبوری انتخاب نکند که قبلاً در یک نشت داده افشا شده باشد.

Active Directory اکنون قابلیت ادغام با لیست‌های رمز عبور ممنوع (Banned Password Lists) را دارد و ابزارهای تکمیلی مانند Specops Password Auditor امکان اسکن تمام حساب‌های Active Directory برای شناسایی رمزهای عبور نشت‌شده را فراهم می‌سازند.

لایه چهارم: تحلیل رفتاری و تشخیص ناهنجاری (Anomaly Detection)

سیستم‌های تشخیص ناهنجاری، الگوهای غیرعادی در ترافیک ورود را شناسایی می‌کنند. یک سیستم SIEM با قوانین تشخیص مخصوص Credential Stuffing باید سیگنال‌های زیر را پایش کند: افزایش ناگهانی درخواست‌های ورود ناموفق در کل سیستم، تلاش‌های ورود با اعتبارنامه‌های متنوع از یک بازه IP، ورود موفق از موقعیت جغرافیایی غیرعادی (Impossible Travel) و تغییر ناگهانی الگوی ورود یک حساب کاربری.

ترکیب قوانین مبتنی بر آستانه (Threshold-based Rules) با مدل‌های یادگیری ماشین که الگوی عادی هر کاربر را یاد می‌گیرند و انحراف از آن را تشخیص می‌دهند، مؤثرترین رویکرد تحلیل رفتاری محسوب می‌شود. مدل‌های Unsupervised Learning مانند Isolation Forest و Autoencoder برای شناسایی الگوهای غیرعادی ورود بسیار کارآمد هستند.

لایه پنجم: احراز هویت مقاوم — FIDO2 و احراز هویت بدون رمز عبور

مؤثرترین و قطعی‌ترین راهکار مقابله با Credential Stuffing، حذف رمز عبور از فرایند احراز هویت است. وقتی رمز عبوری وجود نداشته باشد، حمله Credential Stuffing اساساً بی‌معنا می‌شود. استاندارد FIDO2/WebAuthn این تحول بنیادین را ممکن ساخته است.

FIDO2 از رمزنگاری کلید عمومی (Public Key Cryptography) استفاده می‌کند. هنگام ثبت‌نام، Authenticator یک جفت کلید عمومی-خصوصی منحصربه‌فرد برای هر سرویس تولید می‌کند. کلید خصوصی هرگز از Authenticator خارج نمی‌شود و هرگز به سرور ارسال نمی‌شود و هرگز در هیچ پایگاه داده‌ای ذخیره نمی‌شود. بنابراین حتی اگر سرور هک شود، چیزی برای سرقت وجود ندارد.

مکانیزم Origin Binding نقش کلیدی در مقاومت FIDO2 ایفا می‌کند. Authenticator پیش از امضای Challenge، آدرس دقیق سرویس درخواست‌کننده (Origin) را بررسی می‌کند. این بررسی رمزنگاری‌شده تضمین می‌کند که اعتبارنامه فقط برای سرویس اصلی قابل استفاده باشد و هیچ مهاجمی نتواند آن را رهگیری، تکرار یا در سرویس دیگری استفاده کند.

تجربه واقعی اثربخشی FIDO2 را به‌صورت قاطع ثابت کرده است. Google پس از الزامی کردن کلیدهای امنیتی FIDO2 برای تمام ۸۵ هزار کارمند خود در سال ۲۰۱۷، هیچ حمله Credential Stuffing یا فیشینگ موفقی را تجربه نکرده است. Cloudflare نیز نتایج مشابهی گزارش کرده و در حمله گسترده اوت ۲۰۲۲ که Twilio و بسیاری سازمان‌های دیگر را متأثر ساخت، هیچ حسابی در Cloudflare تصاحب نشد.

مطالعات موردی: حملات واقعی Credential Stuffing و درس‌های آموخته

حمله به Disney+ (نوامبر ۲۰۱۹)

تنها چند ساعت پس از راه‌اندازی سرویس Disney+، هزاران حساب کاربری توسط مهاجمان تصاحب شد و در دارک‌وب با قیمت ۳ تا ۱۱ دلار به فروش رسید. Disney بعداً تأیید کرد این حمله نتیجه Credential Stuffing بوده و سیستم‌های خود Disney هک نشده‌اند. کاربرانی که رمز عبور مشترک در سرویس‌های مختلف داشتند قربانی شدند. این حادثه عدم وجود MFA هنگام راه‌اندازی سرویس را آشکار ساخت.

حمله به Dunkin’ Donuts (۲۰۱۸ و ۲۰۱۹)

Dunkin’ Donuts در دو حمله متوالی Credential Stuffing هدف قرار گرفت و اطلاعات برنامه وفاداری میلیون‌ها مشتری افشا شد. دادستان کل نیویورک شرکت را به دلیل عدم اطلاع‌رسانی به‌موقع و نداشتن مکانیزم‌های دفاعی کافی جریمه کرد. این مورد نشان داد عدم مقابله با Credential Stuffing نه تنها خسارت مالی بلکه پیامدهای قانونی جدی نیز به همراه دارد.

حمله به Zoom (آوریل ۲۰۲۰)

در بحبوحه همه‌گیری COVID-19 و افزایش چشمگیر استفاده از Zoom، بیش از ۵۰۰ هزار اعتبارنامه Zoom در دارک‌وب کشف شد. تحقیقات نشان داد تمام این اعتبارنامه‌ها از طریق Credential Stuffing به دست آمده بودند نه از نقض مستقیم سیستم‌های Zoom. مهاجمان از نشت‌های قبلی سرویس‌های دیگر استفاده کرده بودند. Zoom پس از این حادثه، اجرای MFA و بررسی اعتبارنامه‌های نشت‌شده را به‌عنوان اقدامات فوری اولویت‌بندی کرد.

موفقیت Microsoft: کاهش ۹۹.۹ درصدی حملات با MFA مقاوم

Microsoft گزارش داده حساب‌هایی که MFA مقاوم (نه OTP پیامکی) فعال دارند، ۹۹.۹ درصد کمتر در معرض تصاحب قرار می‌گیرند. این آمار به‌صورت چشمگیری اهمیت مهاجرت از رمز عبور به احراز هویت مبتنی بر FIDO2 را تأیید می‌کند.

Credential Stuffing و API‌ها: بردار حمله فراموش‌شده

بیشتر توجه‌ها به صفحات ورود وب معطوف شده اما API‌ها بردار حمله Credential Stuffing بسیار آسیب‌پذیرتر و اغلب فراموش‌شده‌ای هستند.

چرا API‌ها هدف جذاب‌تری هستند؟

API‌های احراز هویت معمولاً مکانیزم‌های تشخیص بات ضعیف‌تری دارند. CAPTCHA و چالش‌های تعاملی در API‌ها قابل پیاده‌سازی نیستند و خروجی استاندارد API (کدهای وضعیت HTTP و پیام‌های JSON) به مهاجم اطلاعات دقیق‌تری درباره نتیجه تلاش ورود ارائه می‌دهد. بسیاری از API‌ها نیز Rate Limiting ضعیف‌تری نسبت به رابط کاربری وب دارند.

OWASP در فهرست Top 10 API Security Risks، حمله Credential Stuffing به API‌ها را در دسته Broken Authentication قرار داده و سازمان‌ها را به پیاده‌سازی مکانیزم‌های دفاعی مخصوص API ملزم کرده است. Rate Limiting مبتنی بر توکن (Token Bucket)، محدودیت تعداد درخواست‌های احراز هویت در هر Session و اعمال تأخیر تصاعدی (Exponential Backoff) پس از تلاش‌های ناموفق از اقدامات ضروری محافظت از API هستند.

GraphQL و نقاط ورود پنهان

API‌های GraphQL آسیب‌پذیری ویژه‌ای در برابر Credential Stuffing دارند. مهاجم می‌تواند با یک درخواست GraphQL واحد، چندین عملیات ورود (Login Mutation) را به‌صورت دسته‌ای (Batched) ارسال کند. این تکنیک Rate Limiting مبتنی بر تعداد درخواست HTTP را دور می‌زند زیرا از نظر HTTP فقط یک درخواست ارسال شده است. محدود کردن تعداد عملیات در هر درخواست GraphQL و پایش عمق کوئری‌ها اقدامات دفاعی ضروری برای محافظت از API‌های GraphQL محسوب می‌شوند.

نقش معماری Zero Trust در مقابله با Credential Stuffing

معماری Zero Trust با فرض «هیچ‌کس و هیچ‌چیز به‌صورت پیش‌فرض قابل اعتماد نیست»، یک لایه دفاعی اضافی و بسیار مؤثر در برابر Credential Stuffing ایجاد می‌کند. حتی اگر مهاجم موفق به ورود با اعتبارنامه سرقت‌شده شود، Zero Trust با بررسی مداوم چندین سیگنال، دسترسی را محدود یا مسدود می‌کند.

اصول Zero Trust در مقابله با تصاحب حساب

اصل «Never Trust, Always Verify» در عمل به این معناست که هر درخواست دسترسی، حتی از یک Session احراز هویت‌شده، باید مجدداً ارزیابی شود. سیگنال‌های ارزیابی شامل وضعیت امنیتی دستگاه (Device Posture)، موقعیت جغرافیایی و تطابق آن با الگوی عادی کاربر، سطح ریسک درخواست بر اساس حساسیت منبع مورد دسترسی و الگوی رفتاری کاربر در مقایسه با Baseline عادی او هستند.

اصل حداقل دسترسی (Least Privilege) نیز تضمین می‌کند حتی در صورت تصاحب یک حساب، مهاجم فقط به حداقل منابع ضروری دسترسی داشته باشد و حرکت جانبی (Lateral Movement) به سایر سیستم‌ها بسیار دشوارتر شود.

پیاده‌سازی Zero Trust بدون یک سیستم IAM قوی با قابلیت تصمیم‌گیری مبتنی بر ریسک عملاً ممکن نیست. پلتفرم IAM نقش Policy Decision Point را ایفا می‌کند و بر اساس مجموعه‌ای از سیگنال‌های امنیتی، تصمیم دسترسی (اجازه، رد یا درخواست احراز هویت اضافی) را در لحظه اتخاذ می‌کند.

شاخص‌های کلیدی عملکرد (KPI) برای سنجش مقاومت سازمانی

پس از استقرار برنامه مقابله با Credential Stuffing، سنجش مستمر اثربخشی آن از طریق شاخص‌های مشخص ضروری است.

شاخص‌های پیشگیرانه

درصد حساب‌هایی که به FIDO2 مهاجرت کرده‌اند مهم‌ترین شاخص است و هدف نهایی ۱۰۰ درصد برای حساب‌های ویژه و حداقل ۸۰ درصد برای کل سازمان تعیین می‌شود. درصد اعتبارنامه‌های پایش‌شده در برابر نشت‌ها باید به ۱۰۰ درصد برسد. نسبت مسدودسازی بات‌ها (Bot Block Rate) هم باید به بالای ۹۵ درصد برسد.

شاخص‌های واکنشی

تعداد حساب‌های تصاحب‌شده در هر ماه (هدف: صفر)، میانگین زمان شناسایی حمله MTTD (هدف: کمتر از ۳۰ دقیقه) و میانگین زمان مهار MTTC (هدف: کمتر از ۲ ساعت) شاخص‌های واکنشی کلیدی هستند.

آینده حملات Credential Stuffing: تهدیدات نوظهور

چشم‌انداز تهدیدات Credential Stuffing به‌سرعت تکامل می‌یابد و سازمان‌ها باید برای تهدیدات آینده نیز آماده باشند.

هوش مصنوعی در خدمت مهاجمان

مدل‌های زبانی بزرگ (LLM) به مهاجمان اجازه می‌دهند رمزهای عبور احتمالی هوشمندانه‌تری تولید کنند. به جای آزمایش تصادفی، AI می‌تواند بر اساس اطلاعات عمومی قربانی (شبکه‌های اجتماعی، سابقه نشت‌ها) رمزهای عبور محتمل‌تری حدس بزند. تولید خودکار Config File‌ها برای سرویس‌های جدید و شبیه‌سازی بسیار دقیق‌تر رفتار انسانی برای دور زدن سیستم‌های تشخیص بات نیز از قابلیت‌های نوظهور AI در خدمت مهاجمان هستند.

حملات چندبُعدی و ترکیبی

مهاجمان به‌طور فزاینده‌ای Credential Stuffing را با تکنیک‌های دیگر ترکیب می‌کنند. ترکیب Credential Stuffing با مهندسی اجتماعی (برای دور زدن MFA)، ترکیب با حملات زنجیره تأمین (Supply Chain Attack) و استفاده از اعتبارنامه‌های تصاحب‌شده برای حملات Ransomware، سناریوهای ترکیبی هستند که پیچیدگی دفاع را به‌طور قابل‌توجهی افزایش می‌دهند.

Passkeys و آینده بدون رمز عبور

Passkeys، پیاده‌سازی مصرف‌کننده‌محور FIDO2 توسط Apple، Google و Microsoft، نویدبخش آینده‌ای است که Credential Stuffing به‌کلی منسوخ شود. وقتی هیچ رمز عبوری در هیچ سروری ذخیره نشود و احراز هویت صرفاً بر اساس رمزنگاری کلید عمومی انجام شود، مفهوم Credential Stuffing بی‌معنا خواهد شد. سرعت پذیرش Passkeys تعیین‌کننده زمان رسیدن به این آینده است.

نتیجه‌گیری

حمله Credential Stuffing یکی از بزرگ‌ترین تهدیدات امنیت سایبری سازمانی در سال ۲۰۲۵ است که از یک ضعف ساده انسانی — استفاده مجدد از رمز عبور — با مقیاس صنعتی بهره‌برداری می‌کند. مکانیزم‌های دفاعی سنتی مانند Rate Limiting و CAPTCHA لایه‌های ضروری اما ناکافی هستند. MFA مبتنی بر OTP نیز در برابر تکنیک‌های پیشرفته مهاجمان آسیب‌پذیر باقی می‌ماند.

تنها راهکار قطعی و بنیادین، حذف رمز عبور از معادله احراز هویت و مهاجرت به استاندارد FIDO2 است. وقتی رمز عبوری وجود نداشته باشد، Credential Stuffing اساساً غیرممکن می‌شود. تجربه سازمان‌هایی مانند Google، Cloudflare و Microsoft اثربخشی این رویکرد را به‌صورت قاطع اثبات کرده است. ترکیب احراز هویت بدون رمز عبور با دفاع‌های لایه‌ای (Rate Limiting هوشمند، تشخیص بات، تحلیل رفتاری و معماری Zero Trust) یک اکوسیستم دفاعی جامع ایجاد می‌کند که سازمان را در برابر تهدیدات امروز و فردای Credential Stuffing محافظت خواهد کرد.

🟦 مشاوره امنیتی رایگان