มีคำศัพท์ใหม่เกี่ยวกับการโจมตีทางไซเบอร์สำหรับหลาย ๆ หน่วยงาน: การบรรจุข้อมูลประจำตัวจากการประมาณการว่ามีการโจมตีเหล่านี้มากกว่า 75 พันล้านครั้งในช่วงสองปีที่ผ่านมาเพียงอย่างเดียว และในช่วงปีที่แล้ว บางคนประเมินว่าบริษัทสหรัฐฯ สูญเสียเงิน 5 พันล้านดอลลาร์จากการโจมตีเหล่านี้พูดง่ายๆ ก็คือ การยัดข้อมูลประจำตัวเป็นการโจมตีแบบเดรัจฉาน ซึ่งผู้โจมตีใช้การเข้าสู่ระบบที่ถูกขโมยและผ่านเครื่องมืออัตโนมัติที่พยายามบังคับให้เข้าสู่เครือข่าย หลักฐานพื้นฐานที่อยู่เบื้องหลังการโจมตีนี้
ตามที่ผู้เชี่ยวชาญระบุคือ พนักงานหรือลูกค้าสามารถใช้
ชื่อผู้ใช้และรหัสผ่านเดียวกันในหลายๆ ไซต์ได้ เนื่องจากพวกเขามีจำนวนมากเกินไปที่จะจัดการ
จากมุมมองของรัฐบาลกลาง การบรรจุข้อมูลรับรองยังไม่ปรากฏบนเรดาร์ของรายงาน Federal Information Security Management (FISMA) ของหน่วยงาน
อีเมลหรือฟิชชิงยังคงเป็นพาหะของภัยคุกคามที่ใหญ่ที่สุดสำหรับเอเจนซี ตามรายงานของ FISMA ประจำปี 2018 ที่เสนอต่อสภาคองเกรส
แต่นี่ไม่ได้หมายความว่าการยัดข้อมูลประจำตัวและการโจมตีแบบก่อกวนในลักษณะเดียวกันนี้ยังคงมีอยู่ในปัจจุบันและทวีความรุนแรงมากขึ้น
นอกจากนี้ เนื่องจากบริการของเอเจนซี่จำนวนมากขึ้นเรื่อย ๆ เปลี่ยนไปใช้สภาพแวดล้อมออนไลน์เท่านั้น CIO ของรัฐบาลกลางและหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลจึงต้องพิจารณาถึงวิธีการปกป้องพลเมืองและลูกค้าอื่น ๆ ที่อาจใช้รหัสผ่านที่คล้ายกันสำหรับหลาย ๆ ไซต์
Dan Woods รองประธาน Shape Intelligence Center
ที่มี Shape Security ซึ่งปัจจุบันเป็นส่วนหนึ่งของ F5 Networks กล่าวว่าการโจมตีด้วยการยัดข้อมูลประจำตัวไม่ได้เกี่ยวกับการเจาะเข้าไปในบัญชีของใครบางคน แต่เป็นการตรวจสอบข้อมูลประจำตัว
“คุณสามารถทำทุกอย่างได้อย่างสมบูรณ์แบบ แต่ก็ยังตกเป็นเป้าหมายของการโจมตีด้วยการยัดเยียดข้อมูลประจำตัว มันใช้ประโยชน์จากสิ่งที่เราเรียกว่าช่องโหว่โดยธรรมชาติ ช่องโหว่ที่ไม่ได้ตั้งใจเป็นสิ่งที่สามารถแก้ไขได้เช่นการฉีด SQL หรือแอปพลิเคชันที่กำหนดค่าผิดพลาด” Woods กล่าวในรายการInnovation in Government “คุณมีความเสี่ยงที่จะถูกโจมตีด้วยการยัดข้อมูลรับรอง เนื่องจากคุณมีแบบฟอร์มการเข้าสู่ระบบที่เปิดเผยต่อสาธารณะ”
เนื่องจากหน่วยงานและองค์กรภาคเอกชนเกือบทุกแห่งให้บริการออนไลน์มากขึ้น การคุกคามของการยัดข้อมูลประจำตัวจึงคาดว่าจะเพิ่มขึ้นเท่านั้น
วูดส์กล่าวว่าผู้ไม่หวังดีพยายามเจาะเข้าไปในบัญชีอื่น แม้ว่าจะไม่มีสิ่งใดมีค่าเช่นเงินหรือข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ Woods กล่าวว่าเมื่อแฮ็กเกอร์พบ PII ข้อมูลจะสามารถนำมาใช้เพื่อการโจมตีโดยตรงได้มากขึ้น
“ครั้งหนึ่งที่ผมทำงานอยู่ องค์กรแห่งหนึ่งใช้ PII เพียงเพื่อให้ได้มาซึ่งความน่าเชื่อถือระหว่างการโทร” เขากล่าว “พวกเขาสร้างเรื่องราวทั้งหมดเกี่ยวกับ PII นั้นและอำนวยความสะดวกด้านวิศวกรรมสังคม”
Woods กล่าวว่า บ่อยครั้งที่หน่วยงานต่างๆ ไม่ตระหนักถึงคุณค่าของข้อมูล ตลอดจนขนาดและขอบเขตของปัญหา
“การโจมตีเหล่านี้มาจากที่อยู่ IP นับล้าน ศูนย์ปฏิบัติการด้านความปลอดภัยทั่วโลกค่อนข้างสะดวกสบายในการระบุทราฟฟิกการโจมตีตามปริมาณธุรกรรมจาก IP โดยทั่วไปพวกเขาสามารถระบุ IP ที่ไม่มีสัญญาณรบกวนสูงสุด 20 หรือ 30 อันดับแรก หรือแม้แต่ 100 อันดับแรก แต่พวกเขาพลาดหางยาวของ IP หลายล้านรายการที่อาจมีธุรกรรม 10 หรือ 20 รายการต่อรายการ เนื่องจากมีปริมาณไม่ถึงเกณฑ์ที่จะเรียกใช้” เขากล่าว
ในกรณีหนึ่ง Shape Security พบว่า 99.9% ของทราฟฟิกทั้งหมดเป็นการโจมตีโดยอัตโนมัติในแอปพลิเคชันการเข้าสู่ระบบ
สิ่งที่ทำให้การโจมตีประเภทนี้อันตรายยิ่งขึ้นคือองค์กรที่อยู่เบื้องหลังการโจมตีหลายครั้งคือรัฐชาติ
วูดส์กล่าวว่าในขณะที่องค์กรอาชญากรส่วนใหญ่มุ่งความสนใจไปที่เงิน รัฐชาติก็บุกเข้าไปในบัญชีธนาคารหรือบัญชีการเงินและไม่ได้ทำอะไรเลย
