Подбор пароля к учёткам по-прежнему в топе хакерских уловок

По данным «Вебмониторэкс» в первом полугодии почти 50% атак на госсектор связаны с попытками взлома учетных записей.

Именно в госсекторе брутфорс остается на первом месте в списке веб-атак. в большинстве случаев злоумышленники используют не только словарные пароли, и а утекшие ранее в сеть комбинации логин+пароль от аккаунтов с разных платформ (метод сredential stuffing), пишет CNews со ссылкой на «Вебмониторэкс».

В период с января по июнь 2025 года выявили и заблокировали около 600 млн атак на российские организации, что гораздо больше, чем в прошлом году.

Сredential stuffing подразумевает перебор комбинации данных, утекших в сеть, и похожих на них. Злоумышленники могут проводить это вручную, с применением ботов, использовать тысячи IP-адресов.

Генеральный директор «Вебмониторэкс» Анастасия Афонина отметила, учетные записи есть практически у всех, а вот надежные пароли к аккаунтам — у единиц:

Большинство же используют одинаковые или похожие учетные данные на разных ресурсах, а также редко их обновляют. Это увеличивает риски на фоне многочисленных утечек данных в последние годы. Взломав аккаунт пользователя, злоумышленник может не только получить всю информацию о человеке, но и совершать какие-то нелегитимные действия, например, взять кредит или провести сделку с недвижимостью, если на это не установлен самозапрет.

По словам эксперта, киберпреступники могут нацеливаться не только на личные кабинеты граждан. Пострадать могут учётки сотрудников ведомств, что повышает риск компрометации гостайны, секретной и стратегической информации. В случае успеха хакеров с данными администраторов сети, последствия атаки станут еще значимее.

Для снижения вероятности успешного брутфорса в организациях, эксперты рекомендуют задействовать двухфакторную аутентификацию, решение класса САРТСНА, ограничить число попыток входа и ввести строгую парольную политику. В качестве специализированных ИБ-мер — межсетевые экраны.

изображение Freepik