Serangan Credential Stuffing Dijelaskan (dan Cara Mencegahnya)

Diperbarui: 2022-04-25 / Artikel oleh: Gene Fay
Bagaimana Serangan Isian Kredensial Bekerja

Kunci untuk mengetahui cara mencegah serangan credential stuffing adalah memahami apa itu serangan, bagaimana melakukannya, dan bagaimana melakukannya. memengaruhi bisnis dan data Anda.

Sederhananya, serangan isian kredensial adalah pencocokan otomatis nama pengguna dan kata sandi curian yang dapat digunakan penjahat untuk menemukan kombinasi kredensial login yang valid. Pendekatan ini mendorong serangan pengambilalihan akun, dan biasanya cenderung mendahuluinya. Penjahat perlu mengakses akun terlebih dahulu sebelum mereka dapat mengambil alih dan menggunakannya untuk tujuan mereka sendiri.

Serangan isian kredensial merupakan persentase yang signifikan dari semua jenis serangan online, Faktanya, hampir 5% dari semua lalu lintas digital berhubungan dengan serangan ini.

Meningkatnya serangan credential stuffing baru-baru ini disebabkan oleh pencurian informasi pribadi konsumen yang berkelanjutan, dan dalam beberapa kasus sangat menguntungkan melalui pelanggaran data reguler. Konsumen yang menggunakan kembali dan mendaur ulang kata sandi di seluruh akun online mereka sangat berisiko.

Pada dasarnya, ini berarti bahwa jika penyerang dapat mengakses satu nama pengguna yang valid dan kombinasi kata sandi yang digunakan oleh satu orang di beberapa akun online, semua akun ini dapat dikompromikan dengan mudah dan dalam jangka waktu yang relatif singkat.

Bagaimana Serangan Credential Stuffing Bekerja?

Ada tiga fase utama dalam serangan isian kredensial:

  1. Pengambilan data
  2. Pencocokan kredensial
  3. Monetisasi serangan

Penyerang sering menggunakan bot untuk mengotomatiskan proses validasi kredensial dan menemukan kombinasi nama pengguna dan kata sandi yang valid. Bot yang kuat ini dapat mencocokkan ribuan kata sandi dengan nama pengguna untuk menemukan kombinasi valid yang dapat digunakan untuk mendapatkan akses yang tidak diinginkan ke akun digital. Pendekatan ini memungkinkan penyerang untuk meningkatkan upaya mereka dan meningkatkan ROI mereka sambil melakukan kerusakan besar pada bisnis dan individu.

Seberapa Umum Serangan Credential Stuffing?

Serangan digital ini sangat umum dan lazim di berbagai industri dan domain online. Terkadang mereka bahkan dilakukan oleh bot otomatis alih-alih individu manusia. Bot yang sangat canggih dengan kemampuan kecerdasan buatan mudah dan tersedia untuk penyerang, yang bahkan dapat mengakses layanan dukungan untuk membantu mereka dalam serangan mereka. Teknologi ini memudahkan penyerang untuk melakukan serangan skala besar menggunakan bot dengan biaya minimal untuk diri mereka sendiri.

Banyak penyerang juga mengetahui tentang teknik pertahanan penipuan dasar, dan dapat menggunakan pengetahuan ini untuk menjelajahi dan mengeksploitasi sistem teknologi untuk keuntungan mereka. Begitu mereka menembus jaringan, mereka dapat menggunakan bot untuk menjelajah secara internal, mencuri data pribadi, dan mengganggu operasi bisnis dan sistem keamanan.

Memahami Statistik

Platform pemberitahuan pelanggaran data gratis HaveIBeenPwnd.com melacak lebih dari 8.5 miliar kredensial yang disusupi dari lebih dari 400 peristiwa pelanggaran data. Layanan ini hanya melacak kredensial dari kumpulan data yang terbuka untuk umum atau didistribusikan secara luas menggunakan platform bawah tanah. Banyak dump basis data bersifat pribadi, dan hanya grup peretas kecil yang dapat mengaksesnya.

Serangan isian kredensial didukung oleh ekonomi bawah tanah lengkap yang berpusat pada penjualan kredensial curian dan alat dukungan khusus untuk membantu penyerang dalam upaya mereka. Alat-alat ini menggunakan 'daftar kombo' yang dikumpulkan dari kumpulan data yang berbeda setelah kata sandi hash yang ditemukan di kumpulan data yang bocor diretas. Pada dasarnya, meluncurkan serangan isian kredensial tidak memerlukan pengetahuan atau keterampilan khusus. Siapa pun yang memiliki cukup uang untuk membeli data dan alat yang mereka butuhkan dapat melakukan serangan.

Serangan isian kredensial menjadi hemat biaya – mulai dari $200 per 100,000 pengambilalihan akun (sumber).

Perusahaan keamanan dan pengiriman konten Akamai menemukan 193 miliar serangan isian kredensial dalam skala global pada tahun 2020 saja. Nomor ini datang sebagai Peningkatan 360% dari angka tahun 2019. Meskipun beberapa dari peningkatan ini dapat dikaitkan dengan pemantauan yang lebih luas terhadap lebih banyak pelanggan. Beberapa industri, seperti industri jasa keuangan, sering menjadi sasaran. Laporan Akamai Mei 2021 mengutip beberapa lonjakan volume serangan ini, termasuk satu hari di akhir 2020 yang melihat lebih dari satu miliar serangan diluncurkan.

Bagaimana Menemukan Serangan

Serangan isian kredensial diluncurkan melalui alat otomatis dan botnet yang memungkinkan penggunaan proxy yang mendistribusikan permintaan jahat ke sejumlah alamat IP yang berbeda. Penyerang juga sering mengonfigurasi alat pilihan mereka untuk meniru agen pengguna asli – header yang mengidentifikasi sistem operasi dan browser yang terdiri dari permintaan web.

Ini semua membuatnya sulit untuk membedakan antara serangan dan upaya login yang sebenarnya. Terutama di situs web dengan tingkat lalu lintas tinggi di mana gelombang permintaan masuk yang tiba-tiba tidak menonjol dari perilaku masuk biasa. Dengan demikian, peningkatan tingkat kegagalan login selama periode waktu yang singkat dapat menunjukkan bahwa serangan isian kredensial telah diluncurkan terhadap situs web.

Ada banyak firewall aplikasi web dan layanan serupa yang menggunakan diagnostik perilaku tingkat lanjut untuk mendeteksi perilaku login yang mencurigakan. Plus, pemilik situs web dapat mengambil tindakan sendiri untuk mencegah serangan di masa depan.

Baca Selengkapnya

Bagaimana Mencegah Serangan Credential Stuffing

Apakah Anda robot?

Serangan isian kredensial adalah salah satu ancaman paling signifikan terhadap akun digital pengguna internet saat ini, dan ini juga berlaku untuk bisnis. Organisasi, bisnis kecil, dan semua orang di antaranya harus mengambil tindakan perlindungan terhadap ancaman ini untuk memastikan bahwa data pribadi dan organisasi mereka aman.

Beberapa yang paling populer pencegahan isian kredensial teknik meliputi:

  • CAPTCHA
    CAPTCHA adalah bentuk bot umum yang digunakan untuk mencegah serangan yang didorong oleh bot lain. Mereka mengharuskan pengguna internet untuk memecahkan teka-teki saat login untuk memastikan bahwa mereka adalah manusia. CAPTCHA tersedia dalam berbagai versi, termasuk gambar, teks, audio, jumlah matematika, dan banyak lagi.
  • Login biometrik perilaku
    Beberapa bisnis terpaksa menganalisis perilaku pengguna dan pola lalu lintas web yang khas untuk mendeteksi ancaman. Mereka dapat menggunakan data ini untuk menemukan perilaku anomali dan kemungkinan eksploitasi sistem mereka.
  • Pemblokiran alamat IP
    Banyak bisnis telah memblokir alamat IP karena aktivitas yang mencurigakan, dan yang lain memilih untuk mengkarantina permintaan yang mencurigakan hingga dapat ditinjau dan diverifikasi.
  • Otentikasi dua faktor dan multi-faktor
    2FA dan MFA memberikan lapisan keamanan dan otentikasi tambahan menggunakan informasi tambahan yang hanya boleh diketahui atau diakses oleh pengguna. Otentikasi ini dapat datang dalam bentuk PIN satu kali, SMS, pertanyaan keamanan, atau pembacaan biometrik seperti sidik jari atau pemindaian wajah.
  • Kecerdasan perangkat dan sidik jari
    Kecerdasan perangkat terdiri dari data seperti sistem operasi, alamat IP, jenis browser, dan lainnya. Data ini membantu menciptakan identitas unik yang dapat ditautkan ke perangkat tertentu. Penyimpangan dari data tipikal ini dapat menandai perilaku yang mencurigakan dan memungkinkan bisnis dan orang-orang untuk bertindak secara proaktif dan memperkenalkan lebih banyak tindakan autentikasi.
  • Kata sandi dan kebersihan keamanan
    Kebersihan kata sandi harus menjadi bagian dari pelatihan kesadaran keamanan setiap bisnis untuk anggota staf. Penggunaan kembali kata sandi adalah pendorong utama serangan isian kredensial, jadi bisnis perlu mencegah praktik ini dan memastikan bahwa staf mereka tahu betapa pentingnya menggunakan kata sandi yang kuat dan unik, baik di tempat kerja maupun dalam kapasitas pribadi mereka.
    Pengguna web dapat menggunakan pengelola kata sandi yang aman untuk menghasilkan kata sandi yang kompleks dan tidak dapat diprediksi untuk setiap akun online yang mereka miliki. Pengelola kata sandi akan secara otomatis menyimpan kata sandi ini, dan mungkin juga memberi tahu pengguna jika alamat email mereka muncul di tempat pembuangan data publik.

Beberapa perusahaan besar telah mulai mengambil tindakan proaktif dengan menganalisis dan memantau dump data publik untuk melihat apakah alamat email yang terpengaruh juga ada di sistem mereka sendiri. Untuk akun yang ditemukan di server mereka, mereka memerlukan pengaturan ulang kata sandi dan menyarankan untuk mengaktifkan otentikasi multi-faktor untuk melindungi konsumen yang datanya mungkin telah disusupi.

Seberapa Efektifkah Tindakan Pencegahan Ini?

Banyak bisnis menggunakan satu atau beberapa metode pertahanan yang disebutkan di atas untuk melindungi diri mereka sendiri dan data mereka dari serangan isian kredensial. Namun, pendekatan ini tidak 100% efektif. Mereka menyajikan kekurangan yang terbukti hanya sebagian efektif dalam memberikan perlindungan berkelanjutan terhadap serangan yang berkembang.

Tindakan pencegahan ini menimbulkan tantangan integrasi dan menambah biaya teknis, sekaligus memperumit pengambilan keputusan risiko, yang selanjutnya dapat menghambat upaya pencegahan penipuan. Misalnya, otentikasi multi-faktor mahal untuk diterapkan dan rentan terhadap SMS dan OTP yang tertunda atau hilang.

Demikian juga, memblokir alamat IP berdasarkan perubahan perilaku dapat menyebabkan bisnis tanpa disadari memblokir pelanggan dan prospek yang sah. Kecerdasan perangkat tidak dapat digunakan sebagai solusi keamanan mandiri, karena sebagian besar pengguna saat ini memiliki banyak perangkat dan browser yang terpasang. CAPTCHA telah tertinggal di belakang teknologi bot yang terus berubah. Mereka dengan cepat menjadi tidak efektif karena sering menghalangi pengguna internet yang tidak perlu tanpa menghentikan serangan.

Kesimpulan: Pencegahan adalah Kuncinya

Di zaman di mana masalah serangan isian kredensial adalah ancaman yang berkembang, bisnis dari semua ukuran akan berjuang untuk menyeimbangkan perluasan biaya perbaikan dengan langkah-langkah keamanan efektif yang menghasilkan ROI yang layak. Serangan ini sangat terjangkau bagi penyerang. Tetapi mereka dapat membuat bisnis lumpuh karena kerugian finansial dan kerusakan reputasi.

Singkatnya, mitigasi serangan isian kredensial mungkin tidak cukup untuk melindungi bisnis dari bahaya. Mereka malah harus fokus untuk mencegah penjahat untuk menjaga keamanan data mereka. Pendekatan inovatif untuk pencegahan penipuan diperlukan untuk memberi organisasi perlindungan yang langgeng karena metode serangan terus berkembang.

Menurut laporan Akamai State of the Internet yang disebutkan di atas, serangan credential stuffing tidak akan kemana-mana. Karena mereka tidak dapat dihentikan sepenuhnya, bisnis harus berusaha membuat proses mendapatkan nama pengguna dan kata sandi yang cocok sesulit mungkin. Mengurangi penggunaan kembali kata sandi dan mendorong pembuatan kata sandi yang kuat adalah beberapa pencegah paling efektif dan terjangkau yang tersedia untuk bisnis lintas sektor.

Baca Selengkapnya

Tentang Gen Fay

Gene Fay adalah eksekutif teknologi tinggi yang berpengalaman dengan sejarah keberhasilan yang ditunjukkan dalam bekerja di bidang teknologi informasi. Terampil dalam Keamanan Cyber, Jaringan Area Penyimpanan (SAN), Penjualan, Layanan Profesional, dan Pusat Data. Profesional teknologi informasi yang kuat dengan gelar MBA yang berfokus pada Teknologi Tinggi dari Universitas Northeastern - Sekolah Pascasarjana Administrasi Bisnis. Dia juga pembawa acara eXecutive Security Podcast, podcast yang menampilkan percakapan dengan CISO dan pemimpin keamanan lainnya tentang bagaimana individu dapat masuk dan mengembangkan karier di bidang keamanan.