Dengan kredensial curian yang mudah ditemukan secara online, tindakan apa sajakah yang dapat dilakukan untuk mencegah peretas membobol akun aman?

Sumit Agarwal mengambil kredit untuk menciptakan istilah "credential stuffing." Dia menjabat sebagai wakil asisten menteri pertahanan di bawah Presiden Obama, dan pada tahun 2011, saat bekerja di Pentagon, dia mulai memperhatikan pola serangan brutal di situs web militer yang menghadap publik, di mana aktor ancaman menggunakan kredensial, seperti nama pengguna dan kata sandi, dicuri dari satu situs dan untuk mendapatkan akses ke situs lain.

Hari ini, Agarwal adalah salah satu pendiri dan CTO dari Shape Security, dan credential stuffing telah menjadi arus utama, membuat hidup sengsara bagi para manajer keamanan di banyak jenis organisasi.

“Serangan Credential-stuffing adalah masalah besar hari ini, terutama dengan pergeseran ekstrim ke layanan online karena COVID-19," kata Agarwal. "Sesuatu menjadi populer secara spontan - kami melihat ini dengan Disney+ segera setelah keluar - dan dibanjiri dengan serangan pengisian kredensial yang ditargetkan. Setiap kali suatu layanan mendapatkan lalu lintas yang substansial, mereka melihat lonjakan dalam kredensial stuffing. Kami akan pergi untuk melihat serangan ini meningkat untuk pedagang grosir online, layanan pengiriman, dan penyedia telehealth. "

Sederhananya, credential stuffing terjadi ketika penjahat cyber mendapatkan kredensial curian melalui beberapa cara - biasanya di darkWeb  dan kemudian menggunakan botnet atau alat otomatisasi lainnya untuk mencoba dan menggunakan nama pengguna dan kata sandi curian ini untuk mendapatkan akses curang ke beberapa akun pengguna lain.

"Credential stuffing adalah jenis serangan cyber di mana peretas berusaha masuk ke akun pengguna menggunakan nama pengguna dan kata sandi yang telah bocor selama data breach," kata Charlotte Townsley, direktur teknik keamanan di Auth0. "Selama serangan, seorang peretas dapat mencuri kredensial pengguna dan menjualnya di darkWeb untuk dibeli peretas lainnya. Peretas lain dapat memperoleh akses ke miliaran kredensial yang bocor dan menggunakan bot untuk mencoba berbagai kombinasi kata sandi, dengan cepat, ke ratusan akun dari platform sosial ke aplikasi perbankan. "

"Credensial stuffing benar-benar bagian dari serangan brute force," tambah Adam Darrah, direktur intelijen dengan Vigilante.  " Perbedaan utama adalah kenyataan bahwa aktor ancaman bekerja dengan kata sandi yang sebelumnya telah dipecah atau dihancurkan, dan kata sandi yang dikompromikan oleh vektor serangan lainnya, seperti keyloggers dan malware lainnya, sehingga mereka sudah memiliki seperangkat kredensial siap serangan yang dapat mereka gunakan. Aktor-aktor ancaman menggunakan satu litani checker brute force, bervariasi dalam kecanggihannya, untuk menjalankan kampanye pengambilalihan akun yang ditargetkan terhadap infrastruktur perusahaan dan situs web yang sama. "

Begitu masuk, tentu saja, itu berarti aset sensitif perusahaan dapat bocor, atau penyerang mungkin dapat memperoleh akses ke akun pribadi lainnya atau menipu kolega yang tidak menaruh curiga untuk berbagi informasi. Potensi kerusakan tidak terbatas.

Serangan Semakin Berkembang dan Mudah Dieksekusi

Dari hari-hari awal Agarwal mengidentifikasi serangan pengurutan kredensial di situs pemerintah, masalahnya kini menyebar. Laporan Investigasi Pelanggaran Data Verizon terbaru (DBIR) dari 2019 menemukan isian kredensial digunakan di  29%  dari semua pelanggaran data. Dan saat ini HaveIBeenPwned.com  (HIBP), sebuah situs gratis yang menawarkan pemberitahuan pelanggaran data, memiliki informasi tentang hampir 9 miliar kredensial yang dikompromikan dari ratusan data beaches.

Saya tidak heran bahwa penjahat tertarik padanya untuk sukses cepat karena cukup mudah untuk mendapatkan surat kepercayaan yang dicuri dengan murah.

"Keterampilan yang diperlukan untuk membeli kredensial ke rekening bank korban atau akun ritel online dapat dipelajari dalam satu sore pencarian Google," kata Darrah. "Tampaknya pasar Web Deep dan Dark yang tak berujung menawarkan kredensial akun hanya $2, tergantung pada layanan atau situs web. Dalam beberapa kasus, mereka bahkan menawarkan pengembalian uang jika kredensial tidak berfungsi seperti yang diiklankan."

Tetapi ada beberapa alat dan teknik yang dapat digunakan manajer keamanan untuk mengurangi serangan kredensial stuffing.


Peneliti keamanan merekomendasikan 5 poin berikut ini.

  1. Tingkatkan kesadaran pengguna tentang manajemen kata sandi :  Dengan banyaknya pengguna yang masih menggunakan kembali kata sandi di semua akun, satu tempat untuk memulai adalah pendidikan, kata Townsley: "Meningkatkan kebiasaan kata sandi pengguna adalah awal yang baik dalam mempertahankan diri dari serangan kredensial stuffing. Mendidik karyawan tentang praktik terbaik dan mengingatkan mereka untuk mengubah kata sandi mereka secara lebih teratur dapat mempersulit peretas untuk melakukan serangan yang berhasil. "
  2. Terapkan otentikasi multifaktor : Otentikasi  dua faktor / multifaktor harus diaktifkan pada setiap akun yang diizinkan dan tersedia. Ini menambahkan lapisan lain yang membuatnya lebih sulit bagi penyerang ancaman untuk menembus.
  3. Gunakan alat pendeteksi anomali:  "Ini bisa berupa alat intelijen ancaman online gratis atau tingkat perusahaan yang dapat membantu mengidentifikasi sinyal risiko - seperti kata sandi yang dilanggar atau jumlah upaya otentikasi gagal yang lebih tinggi dari biasanya," kata Townsley. "Ini juga dapat digunakan untuk menentukan peningkatan mendadak atau tidak biasa dalam jumlah alamat IP yang mengunjungi situs web - ini bisa menjadi petunjuk bahwa ada aktivitas jahat yang terjadi."
  4. Gunakan pengelola kata sandi:  Beberapa pengelola kata sandi perusahaan tersedia, gratis, yang dapat membantu pengguna membuat kata sandi yang unik dan kuat untuk setiap akun yang aman dan dapat membantu mengurangi masalah penggunaan kembali kata sandi yang umum. Berbagai manajer kata sandi yang cocok untuk perusahaan dan usaha kecil  , tersedia, di antaranya, menurut riset pasar terbaru dari Ovum (sekarang bagian dari Omdia), 1Password Business, Dashlane Business, Keeper for Business, LastPass Enterprise, ManageEngine Password Manager Pro, Server Kata Sandi yang Menyenangkan, dan RoboForm untuk Bisnis adalah pemimpinnya. Ovum juga memberikan pujian kepada Bluink, Passwork, Bitwarden, TeamPassword dan Passbolt untuk fitur unik.
  5. Sematkan keamanan ke dalam desain situs web:  "Profesional keamanan dan pengembang web dapat membuat pekerjaan aktor ancaman sedikit lebih keras dengan memastikan bahwa situs web menggunakan setiap penanggulangan bruting yang tersedia, termasuk CAPTCHA dan MFA," kata Darrah. "Perubahan sederhana pada fungsionalitas situs web juga dapat diterapkan - prompt yang diberikan setelah upaya login, misalnya."