Beheer

Security
Wachtwoorden

Wachtwoorden stelen met gestolen wachtwoorden

Credential stuffing: een steeds meer gebruikte variatie op brute force-aanvallen

© Pixabay
18 januari 2017

Credential stuffing: een steeds meer gebruikte variatie op brute force-aanvallen

Vorig jaar werden voor zover bekend 3 miljard inloggegevens gestolen – ruim twee keer zo veel als in het jaar ervoor. Wat criminelen daar mee moeten, maakt Shape Security duidelijk in een rapport: credential stuffing. Hierbij worden gestolen inloggegevens geautomatiseerd uitgeprobeerd op andere inlogaccounts van de slachtoffers. En aangezien het gros van de gebruikers hetzelfde wachtwoord voor meerdere websites gebruikt, is dat een succesvolle praktijk voor criminelen. En met de zeer sterke toename van het aantal gestolen inloggegevens, groeit credential stuffing minstens zo hard.

Volgens Shape, dat zich baseert op observaties bij klanten in onder meer retail, de financiële sector, de reisbranche en de overheid, was credential stuffing in 2016 verantwoordelijk voor 90 procent van alle login-activiteiten bij Fortune 100-bedrijven.

Dat blijkt uit het rapport 2017 Credential Spill. Zo observeerde Shape bijvoorbeeld dat bij één klant in een periode van 4 maanden 15,5 miljoen pogingen werden gedaan om in te loggen met gestolen gegevens.

Raakkans is 2 procent

De succesratio is 2 procent volgens Shape. Dus met een miljoen gestolen inloggegevens kunnen binnen een paar uur inloggegevens worden gevonden van 20.000 accounts bij een grote website. De geautomatiseerde aanvallen gaan vervolgens door op andere websites met dezelfde set gestolen inloggegevens, waardoor die miljoen data nog veel meer geldige inlogs opleveren. Overigens houdt OWASP de raakkans op 0,2 procent. 

 

Herkennen

OWASP ziet credential stuffing als een zeer groot veiligheidsrisico en geeft enkele aanwijzingen die er op duiden dat credential stuffing-aanvallen worden gepleegd:

  1. Een groot aantal mislukte pogingen om in te loggen
  2. Toename van klachten van klanten dat hun accounts gekaapt zijn
  3. Toename van verliezen door fraude

Bijna onzichtbaar

Credential stuffing valt onder de categorie brute force-aanvallen. Het past ook in de trend van aanvallen zonder gebruik te maken van malware of exploits, waardoor ze moeilijker te detecteren zijn. Immers: de aanvaller gebruikt legitieme inloggegevens. Weinig getroffen bedrijven merken de credential stuffing-aanvallen dan ook op. Men heeft geen zicht op de omvang daarvan omdat detectiesystemen het niet opmerken. Het zijn op zich legitieme activiteiten, die niet aangemerkt worden als kwaadaardig en dus niet tot alarmeringen leiden.

De aanvallen leiden niet alleen tot het hacken van grote aantallen accounts, maar ook tot een zeer grote belasting voor de infrastructuur doordat het tot veel verkeer leidt.

Preventie

De kans dat gebruikers zelf hun onveilige wachtwoordgewoontes zullen veranderen, is klein. Preventie tegen credentials stuffing werkt het best door voor elke site of systeem een ander wachtwoord te gebruiken. Dat moet vooral heel gemakkelijk of onontkoombaar gemaakt worden. Enkele methodes daarvoor zijn: 2 factor authenticatie en passwordmanagers.

Zie ook Beheer op AG Connect Intelligence
Reactie toevoegen