Credential stuffing har dominerat rubrikerna under de senaste åren och har snabbt blivit den vanligaste angreppsmetoden för cyberbrottslingar.
Mellan den 1 januari 2018 och den 31 december 2019 registrerade Akamai Technologies mer än 88 miljarder attacker inom alla branscher. Denna siffra förväntas bara öka med ökningen av dataintrång och den massiva övergången till onlinetjänster under Covid-19-pandemin.
Credential stuffing-attacker inträffar när brottslingar använder stora mängder stulna användarnamn och lösenord för att på ett bedrägligt sätt få tillgång till användarkonton. Denna information erhålls vanligtvis på den mörka webben som ett resultat av ett av de många företags dataintrång.
Med hjälp av storskaliga robotar och specialiserade automatiseringsverktyg kan hackare sedan använda dessa stulna autentiseringsuppgifter för att försöka göra flera inloggningsförsök på olika webbplatser. Den här typen av angrepp är relativt lätt att genomföra och bygger i hög grad på att människor återanvänder samma lösenord.
Det är egentligen en typ av brute force-attack, men i stället för att gissa slumpmässiga lösenordskombinationer används legitima autentiseringsuppgifter, vilket förbättrar den totala framgångsfrekvensen.
Liksom de flesta cyberattacker är den främsta motivationen ekonomisk. Hackare försöker tjäna pengar på de angripna kontona genom att få tillgång till länkade bankkonton, eller så använder de personuppgifterna för att begå identitetsstöld.
Vad är det som driver tillväxten av attacker med fyllda referenser?
Det handlar helt enkelt om de miljarder komprometterade autentiseringsuppgifter som finns att köpa på den mörka webben. Webbplatsen HaveIBeenPwned.com spårar över 8,5 miljarder komprometterade autentiseringsuppgifter från över 400 dataintrång, och vissa av dessa intrång är helt kolossala.
Det mest anmärkningsvärda exemplet på detta är megabrottet Collection #1. Intrånget avslöjades 2019 och avslöjade 1,2 miljarder unika e-postadresser och lösenordskombinationer, 773 miljoner unika e-postadresser och 21 miljoner lösenord.
Denna enkla tillgång till stora mängder data gör det möjligt för hackare att testa miljontals olika kombinationer av e-postadresser och lösenord i hopp om att användarna har återanvänt samma lösenord.
De alltmer sofistikerade verktyg som hackare använder för att genomföra dessa attacker har också gjort det lättare att försöka göra flera inloggningsförsök samtidigt som de ser ut att komma från olika IP-adresser.
Vilka branscher påverkas av Credential Stuffing-attacker?
Alla branscher är måltavlor för attacker med autentiseringsuppgifter, men vissa är mer mottagliga än andra. De mest utsatta är e-handel, detaljhandel, finansiella tjänster, underhållning, högre utbildning och hälsovård.
Finansbranschen har drabbats särskilt hårt, och i september i år utfärdade FBI en varning till organisationer inom finanssektorn om att antalet attacker ökar. Myndigheten konstaterade att 41 procent av alla attacker inom finanssektorn mellan 2017 och 2020 berodde på credential stuffing, vilket resulterade i en förlust av miljontals dollar.
Dessa typer av attacker kan få förödande konsekvenser för företag, bland annat förlust av intäkter, driftstopp, ryktesspridning, ekonomiska sanktioner och förlust av kunder.
Exempel på nyligen genomförda attacker mot autentiseringsuppgifter
Antalet dataintrång som orsakas av autentiseringsattacker har ökat markant. Några aktuella exempel är:
- Dunkin Donuts - I februari 2019 bekräftade Dunkin Donuts att de hade utsatts för en attack med fyllning av autentiseringsuppgifter, den andra attacken som ägde rum inom loppet av tre månader. I båda attackerna använde hackare stulna inloggningsuppgifter som läckt ut från andra webbplatser för att få tillgång till DD Perks belöningskonton. När de väl var inne kunde de få tillgång till användarnas för- och efternamn, e-postadress, DD Perks-kontonummer och DD Perks QR-kod. I den här specifika attacken var det inte användarens personuppgifter som hackarna var ute efter, utan själva kontot, som de sedan sålde på den mörka webben.
- Nintendo - I april 2020 meddelade Nintendo att 160 000 konton hade blivit kränkta i en attack med fyllning av autentiseringsuppgifter. Med hjälp av tidigare avslöjade användar-ID:n och lösenord kunde hackare få tillgång till användarkonton, vilket gjorde det möjligt för dem att köpa digitala föremål med hjälp av lagrade kort. De kunde också se känsliga uppgifter som namn, e-postadress, födelsedatum, kön och land.
Hur man förhindrar att autentiseringsuppgifter fylls på
Stark lösenordssäkerhet
Vi vet alla hur viktigt det är att använda starka och unika lösenord, men enligt en nyligen genomförd säkerhetsundersökning från Google använder 65 % av alla människor samma lösenord på flera konton.
Detta är en extremt riskabel metod eftersom attacker med autentiseringsuppgifter (credential stuffing) i hög grad bygger på att vi använder samma gamla återanvända lösenord. Det kanske är något som du inte har tänkt dig att göra, men det är värt att göra en digital upprensning och skapa unika lösenord för alla dina onlinekonton.
Ett bra sätt att skapa ett längre och mer komplext lösenord är att använda en lösenfras. En lösenfras är en ordföljd som är minnesvärd för dig men svår för någon annan att knäcka. Den första bokstaven i varje ord utgör grunden för ditt lösenord och bokstäverna kan ersättas med siffror och symboler för att göra det ännu säkrare.
Använd en lösenordshanterare
Om tanken på att komma ihåg flera lösenord skrämmer dig kan en lösenordshanterare vara lösningen. En lösenordshanterare är en centraliserad och krypterad plats där du kan spara alla dina lösenord på ett säkert sätt.
Lösenordshanterare lagrar inloggningsuppgifter för alla webbplatser som du använder och loggar sedan in dig automatiskt varje gång du återvänder till en webbplats. Det första steget när du använder en lösenordshanterare är att skapa ett huvudlösenord. Huvudlösenordet kommer att kontrollera tillgången till hela din lösenordsdatabas. Detta lösenord är det enda du behöver komma ihåg, så det är viktigt att göra det så starkt och säkert som möjligt.
Lösenordshanterare kan också skydda mot nätfiskeattacker eftersom de fyller i kontoinformationen baserat på dina registrerade webbadresser. Om du tror att du är på din banks webbplats, men lösenordshanteraren inte automatiskt loggar in dig, kan du ha hamnat på en nätfiskewebbplats av misstag.
Implementera autentisering med flera faktorer
Flerfaktorsautentisering, även kallad MFA, är ett av de bästa sätten att skydda säkerheten för dina onlinekonton. Enligt Microsoft är det faktiskt 99,9 % mindre sannolikt att ditt konto äventyras om du använder MFA.
I stället för att bara bekräfta din identitet med ett enkelt användarnamn och lösenord måste du ange två eller flera autentiseringsfaktorer som bara du har tillgång till. Detta minskar risken för att en hackare lätt kan få tillgång till dina konton.
Det finns många olika autentiseringstekniker som kan användas för att bekräfta din identitet och de baseras vanligtvis på något du vet, något du har eller något du är.
Vissa av dessa verifieringsmetoder är utan tvekan säkrare än andra, men i huvudsak innebär det att även om någon stjäl eller gissar ditt lösenord kan de inte få tillgång till ditt konto utan en annan autentiseringsfaktor.
Övervaka och blockera misstänkta inloggningsförsök
När hackare försöker äventyra konton med hjälp av credential stuffing använder de ofta robotar eller andra automatiserade verktyg för att mata in tusentals autentiseringsuppgifter i snabb följd. Dessa är vanligtvis spridda över flera IP-adresser, vilket gör det svårt att avgöra om det är legitima inloggningsförsök eller tecken på en samordnad attack.
Om flera misslyckade inloggningsförsök misslyckas under en relativt kort tidsperiod kan det dock vara ett tecken på att en attack med autentiseringsuppgifter pågår. För att förhindra detta kan IT-avdelningar sätta en gräns för antalet inloggningsförsök som en enskild IP-adress kan göra inom en viss tidsram. De kan också spåra inloggningar som leder till bedrägeri och svartlista dessa IP-adresser.
