חברת הימורי הספורט האמריקאית DraftKings הודיעה השבוע כי ספגה מתקפת מילוי אישורים. Credential Stuffing – מילוי אישורים היא שיטת מתקפת סייבר בה תוקפים האקרים מערכות מחשוב באמצעות רשימות אישורי משתמש – שמות משתמשים וסיסמאות שנחשפו. המתקפה משתמשת בבוטים לצורך אוטומציה והרחבת ההיקף ומתבססת על ההנחה שמשתמשים רבים עושים שימוש חוזר באותו שם המשתמש והסיסמא שלהם במספר שירותים שונים. מתקפת מילוי האישורים על DraftKings הביאה להפסדים של כ- 300,000 דולר. החברה הודיעה כי תחזיר כסף לחשבונות הלקוחות שנפגעו במתקפה.
מוקדם יותר ביום שני, צייצה DraftKings בטוויטר שהיא חוקרת דיווחים על לקוחות החברה אשר חווים בעיות בחשבונות שלהם. 12 שעות לאחר מכן, אישרה החברה בציוץ נוסף כי נגנבו כספי לקוחות, אך הוסיפה כי לא ראתה שום עדות לכך שמערכות המחשוב של DraftKings נפרצו. נראה כי המכנה המשותף לכל חשבונות הלקוחות שנפרצו הינו הפקדה ראשונית של $5. לאחר מכן, החליפו ההאקרים את הסיסמה והגדירו הפעלת אימות דו-גורמי (2FA) במספר טלפון אחר. לבסוף משכו כמה שיותר כסף מחשבונות הבנק המקושרים של הקורבנות. חלק מקורבנות DraftKings צפו בשידורי ספורט חיים בזמן שההאקרים משכו כסף מחשבונות הבנק שלהם.
"זיהינו כ- 300,000 דולר של כספי לקוחות שהושפעו ממתקפת הסייבר ובכוונתנו להחזיר את הכסף לכל לקוח שנפגע", חשף הנשיא והמייסד המשותף של DraftKings, פול ליברמן. החברה גם המליצה ללקוחות לעולם לא להשתמש באותה סיסמה ליותר משירות מקוון אחד ולעולם לא לשתף את המידע שלהם עם פלטפורמות של צד שלישי, כולל יישומונים למעקב אחר הימורים ויישומונים ייעודיים להימורים, מלבד אלו המסופקים על ידי DraftKings. נראה כי מתקפת מילוי האישורים נמשכת ולכן ללקוחות DraftKings שעדיין לא הושפעו הומלץ להפעיל מיד אימות דו-גורמי בחשבונותיהם ולהסיר מהם פרטי בנק. עם זאת, האפשרות הבטוחה ביותר עבורם היא לבטל לחלוטין את הקישור לחשבונות הבנק שלהם כדי לחסום בקשות משיכה במרמה.
במתקפות מילוי אישורים, משתמשים האקרים בכלים אוטומטיים כדי לבצע ניסיונות חוזרים ונשנים (מיליוני ניסיונות בכל פעם!), כדי לקבל גישה לחשבונות באמצעות צמדי משתמש – סיסמה, שנגנבו משירותים מקוונים אחרים. דרך פעולה זו עובדת טוב במיוחד מול חשבונות שהבעלים שלהם עשו שימוש חוזר בפרטי הגישה שלהם בפלטפורמות מרובות. הרוב המכריע של מומחי אבטחת סייבר מזהירים בחומרה מפני נוהג זה, אך מחקרים מראים שאנשים בדרך כלל לא טורחים ומשתמשים מחדש באותה סיסמה פשוטה במספר חשבונות. המטרה של מתקפות מילוי אישורים היא להשתלט על כמה שיותר חשבונות כדי לגנוב נתונים אישיים ונתונים פיננסיים קשורים אשר יכולים להימכר מאוחר יותר ברשת האפלה או בפורומי פריצה. האקרים ישתמשו במידע הגנוב גם בהונאות עתידיות של גניבת זהות כדי לבצע רכישות בלתי מורשות או, כפי שקרה בחשבונות DraftKings שנפרצו – להעביר כסף בחשבונות בנק מקושרים לחשבונות שבשליטתם.
ה- FBI הזהיר לאחרונה כי מתקפות אלו גדלות במהירות בנפחן, הודות להצטברות רשימות אישורים שדלפו ושימוש בכלים אוטומטיים. cybernews דיווחה בחודש יוני כי האקרים גנבו את האישורים של מאות מיליוני משתמשי פייסבוק והרוויחו כ -59 מיליון דולר מאז סוף 2021.
