Credential stuffing har domineret overskrifterne i de seneste år og er hurtigt blevet den foretrukne angrebsmetode for cyberkriminelle.
Mellem den 1. januar 2018 og den 31. december 2019 registrerede Akamai Technologies mere end 88 milliarder angreb på tværs af alle brancher. Dette tal forventes kun at stige med stigningen i databrud og det massive skift til onlinetjenester under Covid-19-pandemien.
Credential stuffing-angreb forekommer, når kriminelle bruger store mængder stjålne brugernavne og adgangskoder til at få adgang til brugerkonti på bedragerisk vis. Disse oplysninger fås typisk på dark web som følge af et af de mange databrud i virksomheder.
Ved hjælp af store bots og specialiserede automatiseringsværktøjer kan hackere derefter bruge disse stjålne legitimationsoplysninger til at forsøge at foretage flere loginforespørgsler på forskellige websteder. Denne type angreb er relativt let at udføre og er i høj grad afhængig af, at folk genbruger den samme adgangskode.
Det er i virkeligheden en form for brute force-angreb, men i stedet for at gætte tilfældige adgangskodekombinationer bruger det legitime legitimationsoplysninger, hvilket forbedrer den samlede succesrate.
Som de fleste cyberangreb er den primære motivation økonomisk. Hackerne vil forsøge at tjene penge på de kompromitterede konti ved at få adgang til tilknyttede bankkonti, eller de vil bruge de personlige data til at begå identitetstyveri.
Hvad er årsagen til væksten i angreb med fyldte legitimationsoplysninger?
Det er ganske enkelt de milliarder af kompromitterede legitimationsoplysninger, der er let tilgængelige at købe på det mørke net. Webstedet HaveIBeenPwned.com sporer over 8,5 milliarder kompromitterede legitimationsoplysninger fra over 400 databrud, og nogle af disse brud er helt kolossale.
Det mest bemærkelsesværdige eksempel på dette er mega-bruddet i Collection #1. Bruddet kom frem i 2019 og afslørede 1,2 milliarder unikke e-mailadresser og adgangskodekombinationer, 773 millioner unikke e-mailadresser og 21 millioner adgangskoder.
Denne nemme adgang til store datamængder gør det muligt for hackere at teste millioner af forskellige kombinationer af e-mail og kodeord i håb om, at brugerne har genbrugt det samme kodeord.
De stadig mere sofistikerede værktøjer, som hackere nu bruger til at iværksætte disse angreb, har også gjort det lettere at forsøge at foretage flere login-forsøg, mens det ser ud til at stamme fra forskellige IP-adresser.
Hvilke brancher er berørt af Credential Stuffing-angreb?
Alle brancher er mål for angreb med legitimationsoplysninger, men nogle er mere udsatte end andre. De mest udsatte områder er e-handel, detailhandel, finansielle tjenesteydelser, underholdning, videregående uddannelser og sundhedstjenester.
Finanssektoren er blevet særlig hårdt ramt, og i september i år udsendte FBI en advarsel til organisationer i den finansielle sektor om stigningen i antallet af disse angreb. Agenturet fandt ud af, at 41 % af alle angreb i den finansielle sektor mellem 2017 og 2020 skyldtes credential stuffing, hvilket resulterede i tab af millioner af dollars.
Disse typer angreb kan have ødelæggende konsekvenser for virksomheder, herunder tab af indtægter, driftsstop, tab af omdømme, økonomiske sanktioner og tab af kunder.
Eksempler på nylige angreb med fyldte legitimationsoplysninger
Der er sket en markant stigning i antallet af databrud som følge af angreb på legitimationsoplysninger. Nogle af de seneste eksempler omfatter:
- Dunkin Donuts - I februar 2019 bekræftede Dunkin Donuts, at de havde været udsat for et angreb med fyldte legitimationsoplysninger, det andet inden for tre måneder. I begge angreb brugte hackere stjålne legitimationsoplysninger, der var blevet lækket fra andre websteder, til at få adgang til DD Perks-belønningskonti. Når de først var kommet ind, kunne de få adgang til brugernes for- og efternavn, e-mailadresse, DD Perks-kontonummer og DD Perks QR-kode. I dette specifikke angreb var det ikke brugerens personlige oplysninger, som hackerne var ude efter, men selve kontoen, som de derefter solgte på det mørke net.
- Nintendo - I april 2020 meddelte Nintendo, at 160.000 konti var blevet krænket i et angreb med fyldte legitimationsoplysninger. Ved hjælp af tidligere afslørede bruger-id'er og adgangskoder kunne hackere få adgang til brugerkonti, så de kunne købe digitale genstande ved hjælp af lagrede kort. De var også i stand til at se følsomme data, herunder navn, e-mailadresse, fødselsdato, køn og land.
Sådan forhindrer du fyldning af legitimationsoplysninger
Stærk adgangskode-sikkerhed
Vi ved alle, hvor vigtigt det er at bruge stærke og unikke adgangskoder, men ifølge en nyere sikkerhedsundersøgelse fra Google bruger 65 % af brugerne den samme adgangskode på flere konti.
Dette er en ekstremt risikabel praksis, da credential stuffing-angreb i høj grad er baseret på, at vi bruger de samme gamle genbrugte adgangskoder. Det er måske noget, som du bliver ved med at have lyst til at gøre, men det er værd at rydde op digitalt og oprette unikke adgangskoder til hver af dine onlinekonti.
En god måde at skabe en længere og mere kompleks adgangskode på er at bruge en passphrase. En passphrase er en sætningslignende ordstreng, som du kan huske, men som er svær for andre at knække. Det første bogstav i hvert ord danner grundlaget for din adgangskode, og bogstaverne kan erstattes med tal og symboler for at gøre den endnu mere sikker.
Brug en adgangskodeadministrator
Hvis tanken om at skulle huske flere forskellige adgangskoder gør dig bange, kan en adgangskodeadministrator være løsningen. En password manager er et centralt og krypteret sted, hvor du kan gemme alle dine passwords sikkert.
Adgangskodeadministratorer gemmer loginoplysninger for alle de websteder, du bruger, og logger dig derefter automatisk ind, hver gang du vender tilbage til et websted. Det første skridt, når du bruger en adgangskodeadministrator, er at oprette en hovedadgangskode. Hovedadgangskoden styrer adgangen til hele din adgangskode-database. Denne adgangskode er den eneste, du skal huske, så det er vigtigt at gøre den så stærk og sikker som muligt.
Adgangskodeadministratorer kan også beskytte mod phishing-angreb, da de udfylder kontooplysninger baseret på dine registrerede webadresser. Det betyder, at hvis du tror, at du er på din banks websted, men at adgangskodeadministratoren ikke automatisk logger dig ind, kan du utilsigtet være havnet på et phishing-websted.
Implementer multifaktor-autentifikation
Multifaktorgodkendelse, også kendt som MFA, er en af de bedste måder at beskytte sikkerheden på dine onlinekonti på. Ifølge Microsoft er der faktisk mere end 99,9 % mindre sandsynlighed for, at din konto bliver kompromitteret, hvis du bruger MFA.
I stedet for blot at bekræfte din identitet med et simpelt brugernavn og en adgangskode skal du angive to eller flere autentificeringsfaktorer, som kun du har adgang til. Dette mindsker risikoen for, at en hacker let kan få adgang til dine konti.
Der findes mange forskellige autentificeringsteknologier, der kan bruges til at bekræfte din identitet, og de er normalt baseret på noget, du ved, noget du har, eller noget, du er.
Nogle af disse verifikationsmetoder er uden tvivl mere sikre end andre, men i bund og grund betyder det, at selv hvis nogen stjæler eller gætter din adgangskode, vil de ikke kunne få adgang til din konto uden en anden godkendelsesfaktor.
Overvåg og blokér mistænkelige login-forsøg
Når hackere forsøger at kompromittere konti via credential stuffing, bruger de ofte bots eller andre automatiserede værktøjer til at indtaste tusindvis af legitimationsoplysninger hurtigt efter hinanden. Disse er normalt spredt over flere IP-adresser, hvilket gør det svært at afgøre, om der er tale om legitime loginforsøg eller tegn på et koordineret angreb.
Men hvis der er flere mislykkede login-forsøg i løbet af en relativt kort periode, kan det være et tegn på, at der foregår et angreb med fyldte legitimationsoplysninger (credential stuffing). For at forhindre dette kan it-afdelinger sætte en grænse for antallet af loginforsøg, som en enkelt IP-adresse kan foretage inden for en bestemt tidsramme. De kan også spore logins, der resulterer i svindel, og sortliste disse IP-adresser.