Credential stuffing (znovu-použití hesel)

Credential stuffing je útok, při kterém útočník bere veliké balíky uniknulých kombinací e-mail+heslo (z dataleaků) a automaticky je zkouší na jiných službách. Logika: pokud uživatel měl účet na hacknuté službě A a používal stejné heslo na službě B (banka, e-shop, sociální síť), útočník se mu dostane do účtu B i bez toho, aby tu službu hackl. Statistiky: ~30 % uživatelů opakuje stejné heslo, ~10 % má heslo na 5+ službách.

Jak to funguje

Útočník stáhne kombo list (e-mail+heslo páry) z dark webu — typicky milion+ záznamů z únikových dat (LinkedIn, Adobe, Yahoo, atd.). Pomocí botu paralelně testuje páry na cílové službě (banka, krypto burza, retail). Většina selže (uživatel změnil heslo nebo má unikátní). ~1-3 % se podaří. Útočník se přihlásí, převedem peníze, vykrade body, prodá účet.

Jak to rozpoznat

• Najednou zjistíte, že váš účet byl zneužit (cizí transakce, posty, nákupy).
• Banka pošle e-mail / SMS o přihlášení z neznámé lokace.
• Servis odhlásí všechna zařízení s upozorněním „bezpečnostní událost“.
• Vaše heslo se objeví na haveibeenpwned.com.

Co dělat

1. Použít unikátní heslo pro každou službu. Password manager (Bitwarden, 1Password, KeePass) — zdarma nebo levné.
2. Aktivovat 2FA všude (e-mail, banka, krypto, sociální sítě). Útočník s heslem ale bez 2FA neprošel.
3. Pravidelně kontrolovat haveibeenpwned.com — pokud se vaše heslo objeví v dataleaku, okamžitě změnit (i na jiných službách kde stejné).
4. Pokud došlo ke kompromitaci: změnit hesla z čistého zařízení, kontaktovat finanční instituce, blokovat karty, hlásit Policii ČR.

Situace v ČR

V ČR je credential stuffing rostoucí útočná taktika — banky a e-shopy hlásí stovky pokusů denně. Většina je zachycena fraud detection systémy (rate limit, geo block, behavior analysis). Kritická je hygiena hesel uživatelů.

Časté otázky