De bibliotheek voor digitale criminaliteit | Cybercrimeinfo.nl | #CCINL

Credential Stuffing

Credential stuffing is een cyberaanval waarbij inloggegevens die zijn verkregen door een datalek op een dienst wordt gebruikt om in te loggen op een andere niet-gerelateerde dienst.

Een aanvaller kan bijvoorbeeld een lijst gebruiken met gebruikersnamen en wachtwoorden die zijn verkregen na een datalek op een bepaalde dienst. De aanvaller hoopt dat een fractie van de datalek-lijst ook gebruikt wordt om in te loggen bij die andere dienst en dat ze voor beide diensten dezelfde gebruikersnamen en wachtwoorden hebben gebruikt.

Vanaf 2019 is Credential stuffing in opkomst dankzij massale lijsten met gestolen inloggegevens die worden verhandeld en verkocht op de zwarte markten (darkweb). De snelle verspreiding van deze lijsten, gecombineerd met de vooruitgang in tools die bots gebruiken om traditionele inlog beveiligingen te omzeilen, hebben ervoor gezorgd dat credential stuffing een populaire aanvalsmethode is geworden.

Afbeelding van Cloudflare

Wat maakt credential stuffing effectief?

Statistisch gezien hebben credential stuffing aanvallen een zeer laag succespercentage. Bij schattingen ongeveer 0,1%. Wat betekent dat voor elke duizend accounts die een cybercrimineel probeert te hacken, ze ongeveer één keer zullen slagen. De enorme aantal gegevens die door cybercriminelen worden verhandeld, maakt credential stuffing de moeite waard, ondanks het lage slagingspercentage.

Deze collecties bevatten miljoenen en in sommige gevallen miljarden inloggegevens. Als een aanvaller een miljoen referenties heeft, kan dit ongeveer 1.000 succesvol gekraakte accounts opleveren. Als zelfs een klein percentage van de gekraakte accounts winstgevende gegevens oplevert (vaak in de vorm van creditcardnummers of gevoelige gegevens die kunnen worden gebruikt bij phishingaanvallen ), dan is de aanval de moeite waard. Bovendien kan de aanvaller het proces herhalen met dezelfde sets referenties op tal van verschillende services.

Vooruitgang in bot technologie maakt credential stuffing een haalbare aanval. Beveiligingsfuncties die zijn ingebouwd in aanmeldingsformulieren voor webapplicaties omvatten vaak opzettelijke vertragingen en het verbieden van de IP-adressen van gebruikers die herhaaldelijk mislukte inlogpogingen hebben gedaan. Moderne software voor credential stuffing omzeilt deze bescherming door bots te gebruiken om tegelijkertijd verschillende aanmeldingen te proberen die afkomstig lijken te zijn van verschillende soorten apparaten en afkomstig zijn van verschillende IP-adressen. Het doel van de kwaadaardige bot is om de inlogpogingen van de aanvaller niet te onderscheiden van typisch inlog verkeer, en het is zeer effectief.

Vaak is de enige aanwijzing dat het slachtoffer wordt aangevallen de toename van het totale aantal aanmeldingspogingen. Zelfs dan zal het slachtoffer van het bedrijf moeite hebben om deze pogingen te stoppen zonder dat dit gevolgen heeft voor het vermogen van legitieme gebruikers om in te loggen op de dienst.

De belangrijkste reden dat aanvallen met inloggegevens effectief zijn, is dat mensen wachtwoorden hergebruiken. Studies suggereren dat een meerderheid van de gebruikers, (volgens sommige schattingen 85%) dezelfde inloggegevens hergebruiken voor meerdere diensten. 

Zolang daar geen verandering in komt zal credential stuffing zijn vruchten blijven afwerpen.

Wat is het verschil tussen credential stuffing en brute force-aanvallen?

OWASP categoriseert credential stuffing als een subset van brute force-aanvallen . Maar strikt genomen is credential stuffing heel anders dan traditionele brute force-aanvallen. Brute force-aanvallen proberen wachtwoorden te raden zonder context of aanwijzingen, waarbij willekeurige tekens worden gebruikt, soms gecombineerd met algemene wachtwoord suggesties. Terwijl credential stuffing gebruik maakt van gelekte gegevens.

Een goede bescherming tegen brute force-aanvallen is een sterk wachtwoord van minsten 12 tekens.

Maar wachtwoord sterkte biedt geen bescherming tegen credential stuffing. Het maakt niet uit hoe sterk een wachtwoord is, als het wordt gebruikt op verschillende accounts kan credential stuffing het in gevaar brengen.

Hoe credential stuffing voorkomen?

Hoe gebruikers credential stuffing kunnen voorkomen

Vanuit het oogpunt van een gebruiker is het vrij eenvoudig om zich te beschermen tegen credential stuffing. Gebruikers moeten altijd unieke wachtwoorden gebruiken voor elke verschillende dienst (een eenvoudige manier om wachtwoorden op te slaan is het gebruik van een digitalekluis). Als een gebruiker altijd unieke wachtwoorden gebruikt, werkt credential stuffing niet tegen je accounts. Als extra beveiligingsmaatregel worden gebruikers aangemoedigd om altijd tweefactorauthenticatie in te schakelen. (wanneer deze beschikbaar is)

Hoe bedrijven credential stuffing kunnen voorkomen

Het stoppen van credential stuffing is een complexere uitdaging voor bedrijven die authenticatie diensten uitvoeren. Credential stuffing vindt plaats als gevolg van datalekken bij andere bedrijven. De veiligheid van het bedrijf dat slachtoffer is geworden van credential stuffing is niet per se in gevaar gebracht.

Een bedrijf kan adviseren dat zijn gebruikers unieke wachtwoorden gebruiken, maar kunnen dit in de regel niet effectief afdwingen. Sommige applicaties checken een opgegeven wachtwoord en leggen die tegen een database met bekende gehackte wachtwoorden voordat ze het wachtwoord accepteren als een maatregel tegen credential stuffing, maar dit is niet waterdicht, de gebruiker kan een wachtwoord hergebruiken van een dienst die nog niet is getroffen door een datalek.

Door extra beveiligingsfuncties voor inloggen aan te bieden, kunt u credential stuffing verminderen. Het inschakelen van functies zoals tweefactorauthenticatie en het verplichten van gebruikers om captcha's in te vullen tijdens het inloggen, helpt ook om kwaadaardige bots te stoppen. Hoewel dit beide kenmerken zijn die gebruikers lastig vallen, zijn velen het erover eens dat het minimaliseren van de beveiligingsbedreiging het ongemak waard is.

De sterkste bescherming tegen credential stuffing is een botbeheerservice. Botbeheer gebruikt snelheidsbeperking in combinatie met een IP-reputatie database om te voorkomen dat kwaadwillende bots inlogpogingen doen zonder de legitieme aanmeldingen te beïnvloeden. Cloudflare Bot Management, dat dagelijks gegevens verzamelt van 425 miljard verzoeken die via het Cloudflare-netwerk worden gerouteerd, kan bots met inloggegevens heel nauwkeurig identificeren en stoppen.