Aanvallen met credential stuffing uitgelegd (en hoe ze te voorkomen)

Bijgewerkt: 2022-04-25 / Artikel door: Gene Fay
Hoe aanvallen op het vullen van referenties werken

De sleutel tot het voorkomen van credential stuffing-aanvallen is om te begrijpen wat ze zijn, hoe ze worden uitgevoerd en hoe ze kunnen invloed hebben op uw bedrijf en gegevens.

Simpel gezegd, een aanval op het vullen van inloggegevens is een geautomatiseerde matching van gestolen gebruikersnamen en wachtwoorden die criminelen kunnen gebruiken om geldige combinaties van inloggegevens te vinden. Deze aanpak leidt tot aanvallen op accountovernames en gaat er meestal aan vooraf. Criminelen moeten eerst toegang hebben tot accounts voordat ze deze kunnen overnemen en voor hun eigen doeleinden kunnen gebruiken.

Credential stuffing-aanvallen vormen een aanzienlijk percentage van alle online aanvalstypes. bijna 5% van al het digitale verkeer heeft betrekking op deze aanslagen.

De recente toename van aanvallen op het opvullen van referenties is te wijten aan een voortdurende, en in sommige gevallen zeer winstgevende, diefstal van persoonlijke informatie van consumenten door middel van regelmatige datalekken. Vooral consumenten die wachtwoorden hergebruiken en recyclen voor hun online accounts lopen een groot risico.

Dit betekent in wezen dat als een aanvaller toegang heeft tot een enkele geldige combinatie van gebruikersnaam en wachtwoord die door één persoon wordt gebruikt in meerdere online accounts, deze accounts allemaal gemakkelijk en binnen een relatief kort tijdsbestek kunnen worden gehackt.

Hoe werken Credential Stuffing-aanvallen?

Er zijn drie primaire fasen in een aanval met het opvullen van referenties:

  1. Gegevens verzamelen
  2. Inloggegevens overeenkomen
  3. Inkomsten genereren van een aanval

Aanvallers gebruiken vaak bots om het validatieproces van referenties te automatiseren en geldige combinaties van gebruikersnamen en wachtwoorden te vinden. Deze krachtige bots kunnen duizenden wachtwoorden koppelen aan gebruikersnamen om geldige combinaties te vinden die kunnen worden gebruikt om ongewenste toegang tot digitale accounts te krijgen. Deze aanpak stelt aanvallers in staat om hun inspanningen op te schalen en hun ROI te verhogen, terwijl ze aanzienlijke schade aanrichten aan zowel bedrijven als individuen.

Hoe vaak komen Credential Stuffing-aanvallen voor?

Deze digitale aanvallen komen veel voor en komen veel voor in een breed scala van industrieën en online domeinen. Soms worden ze zelfs uitgevoerd door geautomatiseerde bots in plaats van door menselijke individuen. Zeer geavanceerde bots met kunstmatige-intelligentiemogelijkheden zijn gemakkelijk en direct beschikbaar voor aanvallers, die zelfs toegang hebben tot ondersteuningsdiensten om hen te helpen bij hun aanvallen. Deze technologie maakt het voor aanvallers eenvoudig om grootschalige aanvallen uit te voeren met behulp van bots tegen minimale kosten voor zichzelf.

Veel aanvallers zijn ook op de hoogte van elementaire verdedigingstechnieken tegen fraude en kunnen deze kennis gebruiken om technologische systemen te omzeilen en in hun voordeel te exploiteren. Zodra ze een netwerk hebben geschonden, kunnen ze bots gebruiken om intern te verkennen, privégegevens te stelen en de activiteiten en beveiligingssystemen van bedrijven te verstoren.

De statistieken begrijpen

Gratis meldingsplatform voor datalekken HebIBeenPwnd.com volgt meer dan 8.5 miljard gecompromitteerde inloggegevens van meer dan 400 datalekgebeurtenissen. De service houdt alleen inloggegevens bij van datasets die openbaar zijn of die op grote schaal zijn verspreid via ondergrondse platforms. Veel databasedumps zijn privé en alleen kleine hackgroepen kunnen er toegang toe krijgen.

Credential stuffing-aanvallen worden ondersteund door een complete ondergrondse economie die is gericht op de verkoop van gestolen inloggegevens en aangepaste ondersteuningstools om aanvallers te helpen bij hun inspanningen. Deze tools gebruiken 'combolijsten' die worden verzameld uit verschillende datasets nadat de gehashte wachtwoorden in gelekte datasets zijn gekraakt. In wezen vereist het lanceren van credential stuffing-aanvallen geen gespecialiseerde kennis of vaardigheden. Iedereen die genoeg geld heeft om de benodigde data en tools te kopen, kan een aanval uitvoeren.

Credential stuffing-aanvallen zijn kosteneffectief geworden - voor slechts $ 200 per 100,000 accountovername ((bron)).

Beveiligings- en contentleveringsbedrijf Akamai ontdekte alleen al in 193 2020 miljard aanvallen op het vullen van credential stuffing op wereldwijde schaal. Dit nummer kwam als een 360% stijging ten opzichte van de cijfers van 2019. Hoewel een deel van deze stijging kan worden toegeschreven aan een uitgebreidere monitoring van meer klanten. Sommige bedrijfstakken, zoals de financiële dienstverlening, waren bijzonder vaak het doelwit. In het rapport van Akamai van mei 2021 werden verschillende pieken in het volume van deze aanvallen genoemd, waaronder een enkele dag eind 2020 waarop meer dan een miljard aanvallen werden gelanceerd.

Aanvallen herkennen

Credential stuffing-aanvallen worden gelanceerd via geautomatiseerde tools en botnets die het gebruik van proxy's mogelijk maken die frauduleuze verzoeken over een aantal verschillende IP-adressen verspreiden. Aanvallers configureren ook vaak hun favoriete tools om authentieke user agents na te bootsen - de headers die de besturingssystemen en browsers identificeren waaruit webverzoeken bestaan.

Dit alles maakt het een uitdaging om onderscheid te maken tussen aanvallen en echte inlogpogingen. Vooral op websites met veel verkeer waarop een plotselinge golf van inlogverzoeken zich niet onderscheidt van het gebruikelijke inloggedrag. Dit gezegd hebbende, kan een toename van het aantal mislukte aanmeldingen over een korte periode erop wijzen dat er een aanval met inloggegevens is gelanceerd tegen een website.

Er zijn veel firewalls voor webtoepassingen en vergelijkbare services die geavanceerde gedragsdiagnostiek gebruiken om verdacht inloggedrag te detecteren. Plus, website-eigenaren kunnen zelf maatregelen nemen om toekomstige aanvallen te voorkomen.

Lees meer

Aanvallen met het vullen van referenties voorkomen?

Ben jij een robot?

Credential stuffing-aanvallen zijn tegenwoordig een van de belangrijkste bedreigingen voor de digitale accounts van internetgebruikers, en dit geldt ook voor bedrijven. Organisaties, kleine bedrijven en iedereen daartussenin moeten beschermende maatregelen nemen tegen deze bedreigingen om ervoor te zorgen dat hun persoonlijke en organisatorische gegevens veilig zijn.

Enkele van de meest populaire preventie van credential stuffing technieken zijn onder meer:

  • CAPTCHA's
    CAPTCHA's zijn een vorm van algemene bot die wordt gebruikt om aanvallen van andere bots te voorkomen. Ze vereisen dat internetgebruikers puzzels oplossen bij het inloggen om er zeker van te zijn dat ze menselijk zijn. CAPTCHA's zijn beschikbaar in verschillende versies, waaronder afbeelding, tekst, audio, wiskundige som en meer.
  • Gedragsbiometrische logins
    Sommige bedrijven hebben hun toevlucht genomen tot het analyseren van typisch gebruikersgedrag en patronen van webverkeer om bedreigingen te detecteren. Ze kunnen deze gegevens gebruiken om afwijkend gedrag en mogelijke exploitatie van hun systemen op te sporen.
  • IP-adres blokkeren
    Veel bedrijven hebben IP-adressen geblokkeerd vanwege verdachte activiteiten en anderen kiezen ervoor om verdachte verzoeken in quarantaine te plaatsen totdat ze kunnen worden beoordeeld en geverifieerd.
  • Twee-factor en multi-factor authenticatie
    2FA en MFA bieden extra beveiligings- en authenticatielagen met behulp van aanvullende informatie die alleen de gebruiker mag kennen of waartoe hij toegang heeft. Deze authenticatie kan plaatsvinden in de vorm van eenmalige pincodes, sms'en, beveiligingsvragen of biometrische metingen zoals een vingerafdruk of gezichtsscan.
  • Apparaatintelligentie en vingerafdrukken
    Apparaatintelligentie bestaat uit gegevens zoals besturingssystemen, IP-adressen, browsertypen en meer. Deze gegevens helpen bij het creëren van een unieke identiteit die aan een specifiek apparaat kan worden gekoppeld. Afwijking van deze typische gegevens kan verdacht gedrag signaleren en bedrijven en mensen in staat stellen proactief te handelen en meer authenticatiemaatregelen te introduceren.
  • Wachtwoord en veiligheidshygiëne
    Wachtwoordhygiëne zou onderdeel moeten zijn van de veiligheidsbewustzijnstraining van elk bedrijf voor medewerkers. Hergebruik van wachtwoorden is de belangrijkste factor voor aanvallen op het opvullen van inloggegevens, dus bedrijven moeten deze praktijk ontmoedigen en ervoor zorgen dat hun personeel weet hoe belangrijk het is om sterke en unieke wachtwoorden te gebruiken, zowel op het werk als in hun eigen persoonlijke capaciteiten.
    Webgebruikers kunnen gebruiken veilige wachtwoordbeheerders om complexe en onvoorspelbare wachtwoorden te genereren voor elk online account dat ze hebben. Wachtwoordbeheerders slaan deze wachtwoorden automatisch op en kunnen gebruikers ook op de hoogte stellen als hun e-mailadressen in openbare datadumps verschijnen.

Sommige grotere bedrijven zijn begonnen proactieve maatregelen te nemen door openbare datadumps te analyseren en te monitoren om te zien of de getroffen e-mailadressen ook in hun eigen systemen aanwezig zijn. Voor accounts die op hun servers worden gevonden, moeten wachtwoorden opnieuw worden ingesteld en stellen ze voor om multi-factor authenticatie in te schakelen om consumenten te beschermen wiens gegevens mogelijk al zijn aangetast.

Hoe effectief zijn deze preventieve maatregelen?

Veel bedrijven gebruiken een of meer van de hierboven genoemde verdedigingsmethoden om zichzelf en hun gegevens te beschermen tegen aanvallen met credential stuffing. Deze benaderingen zijn echter niet 100% effectief. Ze vertonen tekortkomingen die slechts gedeeltelijk effectief blijken te zijn bij het bieden van voortdurende bescherming tegen zich ontwikkelende aanvallen.

Deze preventieve maatregelen zorgen voor integratie-uitdagingen en verhogen de technische kosten, terwijl ze tegelijkertijd de risicobeslissingen bemoeilijken, wat de inspanningen op het gebied van fraudepreventie verder kan belemmeren. Multi-factor authenticatie is bijvoorbeeld kostbaar om te implementeren en vatbaar voor vertraagde of verloren sms'en en OTP's.

Evenzo kan het blokkeren van IP-adressen op basis van gedragsveranderingen ertoe leiden dat bedrijven ongewild legitieme klanten en leads blokkeren. Apparaatintelligentie kan niet worden gebruikt als een op zichzelf staande beveiligingsoplossing, aangezien de meeste gebruikers tegenwoordig veel apparaten en browsers hebben geïnstalleerd. CAPTCHA's zijn achterop geraakt bij voortdurend veranderende bottechnologieën. Ze worden snel ondoeltreffend omdat ze internetgebruikers vaak onnodig hinderen zonder aanvallen te stoppen.

De afhaalmaaltijd: afschrikking is de sleutel

In een tijd waarin het probleem van aanvallen met credential stuffing een groeiende bedreiging vormt, zullen bedrijven van elke omvang strijden om de stijgende herstelkosten in evenwicht te brengen met effectieve beveiligingsmaatregelen die een haalbare ROI opleveren. Deze aanvallen zijn zeer betaalbaar voor aanvallers. Maar ze kunnen bedrijven kreupel maken door financiële verliezen en reputatieschade.

Kortom, het beperken van aanvallen met credential stuffing is misschien niet voldoende om bedrijven te beschermen tegen schade. Ze moeten zich in plaats daarvan concentreren op het afschrikken van criminelen om hun gegevens veilig te houden. Een innovatieve benadering van fraudebestrijding is nodig om organisaties blijvende bescherming te bieden naarmate aanvalsmethoden zich blijven ontwikkelen.

Volgens het eerder genoemde Akamai State of the Internet-rapport gaan aanvallen met credential stuffing nergens heen. Omdat ze niet volledig kunnen worden gestopt, moeten bedrijven ernaar streven om het verkrijgen van overeenkomende gebruikersnamen en wachtwoorden zo uitdagend mogelijk te maken. Het verminderen van hergebruik van wachtwoorden en het aanmoedigen van het maken van sterke wachtwoorden zijn enkele van de meest effectieve en betaalbare afschrikmiddelen die beschikbaar zijn voor bedrijven in verschillende sectoren.

Lees meer

Over Gene Fay

Gene Fay is een ervaren hightech executive met een bewezen geschiedenis van succes in de informatietechnologie. Bekwaam in cyberbeveiliging, Storage Area Network (SAN), verkoop, professionele services en datacenter. Sterke informatietechnologieprofessional met een MBA gericht op High Technology van Northeastern University - Graduate School of Business Administration. Hij is ook de gastheer van de eXecutive Security Podcast, een podcast met gesprekken met CISO's en andere beveiligingsleiders over hoe individuen een loopbaan in de beveiliging kunnen beginnen en groeien.