Med det enorme antallet nettsider og applikasjoner som krever individuelle påloggingsdetaljer, altså et brukernavn og et passord, kan det være fristende å benytte de samme detaljene på tvers av alle disse plattformene.
Ifølge en rapport fra 2022, «Annual Identity Exposure Report» fra SpyCloud, som analyserte over 15 milliarder kompromitterte påloggingsdetaljer funnet på kriminelle nettsteder, ble det oppdaget at hele 65 prosent av de avslørte passordene ble brukt på minst to kontoer.
For brukere som gjenbruker sine påloggingsdetaljer på forskjellige plattformer, kan dette virke som en smart løsning for å unngå å glemme passord. Men i realiteten er det en potensiell katastrofe som lurer i bakgrunnen.
Dersom en av plattformene blir hacket og påloggingsdetaljene dine blir registrert, risikerer alle andre kontoer som benytter de samme detaljene. Med tanke på at kompromitterte påloggingsdetaljer selges for en billig penge på det mørke nettet, kan du lett bli et offer for såkalt «credential stuffing».
«Credential stuffing» er et nettangrep der kriminelle aktører bruker stjålne påloggingsdetaljer fra en nettkonto eller et system for å forsøke å få tilgang til andre, ikke-relaterte kontoer eller systemer.
Et eksempel på dette kan være at en ondsinnede aktør skaffer seg tilgang til ditt brukernavn og passord for din Twitter-konto og deretter bruker disse kompromitterte påloggingsdetaljene til å forsøke å få tilgang til en Paypal-konto.
Dersom du bruker de samme påloggingsdetaljene på både Twitter og Paypal, vil Paypal-kontoen din være i fare for å bli overtatt som et resultat av sikkerhetsbruddet på Twitter.
Dersom du har brukt Twitter-påloggingsdetaljene på flere nettkontoer, kan disse kontoene også bli utsatt for fare. Denne typen angrep kalles «credential stuffing», og den utnytter det faktum at mange brukere gjenbruker sine påloggingsdetaljer på flere nettkontoer.
Ondsinnede aktører som utfører «credential stuffing»-angrep, bruker vanligvis roboter for å automatisere og skalere prosessen. Dette gjør det mulig for dem å bruke et stort antall kompromitterte påloggingsdetaljer og sikte seg inn på flere nettplattformer. Med kompromitterte påloggingsdetaljer som blir lekket fra datainnbrudd, og som også selges på det mørke nettet, har denne typen angrep blitt svært utbredt.
Hvordan fungerer «credential stuffing»?
Et angrep som bruker «credential stuffing» begynner med anskaffelse av kompromitterte påloggingsdetaljer. Disse brukernavnene og passordene kan kjøpes på det mørke nettet, hentes fra databaser med passorddump eller skaffes fra datainnbrudd og phishing-angrep.
Det neste steget innebærer å sette opp roboter for å teste de stjålne påloggingsdetaljene på forskjellige nettsteder. Automatiserte roboter er det viktigste verktøyet for «credential stuffing»-angrep, da robotene kan utføre denne typen angrep raskt ved å bruke et stort antall påloggingsdetaljer mot mange nettsteder.
Utfordringen med at en IP-adresse blir blokkert etter flere mislykkede påloggingsforsøk, unngås også ved bruk av roboter.
Når et «credential stuffing»-angrep settes i gang, startes også automatiserte prosesser for å overvåke vellykkede pålogginger parallelt med angrepet. På denne måten får angriperne lett tilgang til påloggingsdetaljer som fungerer på visse nettsider, og de kan bruke disse til å overta kontoer på de aktuelle plattformene.
Når angripere har fått tilgang til en konto, er det opp til dem hva de vil gjøre med den. Angripere kan selge påloggingsdetaljene videre til andre kriminelle, stjele sensitiv informasjon fra kontoen, misbruke identiteten eller bruke kontoen til å foreta nettkjøp dersom for eksempel en bankkonto er blitt kompromittert.
Hvorfor er «credential stuffing»-angrep effektive?
«Credential stuffing» er et cyberangrep som har relativt lav suksessrate. Ifølge en rapport fra Insikt Group, en forskningsavdeling under Recorded Future, ligger den gjennomsnittlige suksessraten for «credential stuffing»-angrep mellom én og tre prosent.
Selv om suksessratene er lave, rapporterte Akamai Technologies i sin sikkerhetsrapport fra 2021 at de observerte 193 milliarder «credential stuffing»-angrep globalt i 2020.
Årsaken til det høye antallet av denne typen angrep og hvorfor de er blitt mer utbredt, er på grunn av mengden kompromitterte påloggingsdetaljer som er tilgjengelige, og at man har fått tilgang til avanserte verktøy som gjør angrepene mer effektive og nesten umulige å skille fra ekte påloggingsforsøk.
Selv med en lav suksessrate på kun én prosent, kan en angriper med 1 million kompromitterte påloggingsdetaljer potensielt kompromittere rundt 10 000 kontoer. Store mengder kompromitterte påloggingsdetaljer selges på det mørke nettet, og de samme detaljene kan gjenbrukes på flere plattformer.
Disse store mengdene med kompromitterte påloggingsdetaljer fører til en økning i antallet kontoer som blir overtatt. Dette kombinert med det faktum at mange brukere fortsatt gjenbruker sine påloggingsdetaljer på flere nettkontoer, gjør «credential stuffing»-angrep svært effektive.
«Credential Stuffing» kontra «Brute Force»-angrep
Selv om både «credential stuffing» og «brute force» er angrep som forsøker å ta over kontoer, og Open Web Application Security Project (OWASP) anser «credential stuffing» som en undergruppe av «brute force»-angrep, er de to forskjellige i måten de utføres på.
I et «brute force»-angrep forsøker en kriminell å ta over en konto ved å gjette brukernavn og/eller passord. Dette gjøres ved å prøve ut flest mulig kombinasjoner av brukernavn og passord, uten kontekst eller anelse om hva de kan være.
Et «brute force»-angrep kan bruke vanlige passordmønstre eller en ordbok med ofte brukte passordfraser som «Qwerty», «passord» eller «12345». Denne typen angrep kan lykkes dersom brukeren bruker svake passord eller standardpassord.
«Credential stuffing» forsøker derimot å ta over en konto ved å bruke kompromitterte påloggingsdetaljer som er skaffet fra andre systemer eller nettkontoer. I et «credential stuffing»-angrep gjetter ikke angriperen påloggingsdetaljer. Suksessen til denne typen angrep avhenger av at brukeren gjenbruker sine påloggingsdetaljer på flere nettkontoer.
Vanligvis er suksessratene for «brute force»-angrep betydelig lavere enn for «credential stuffing». «Brute force»-angrep kan forebygges ved å bruke sterke passord. Imidlertid vil ikke bruk av sterke passord kunne forhindre «credential stuffing» dersom det samme sterke passordet benyttes på flere kontoer. «Credential stuffing» forebygges best ved å benytte unike påloggingsdetaljer på alle nettkontoer.
Hvordan oppdage «credential stuffing»-angrep?
De kriminelle aktørene som utfører «credential stuffing», bruker gjerne roboter som etterligner menneskelig atferd, noe som gjør det vanskelig å skille mellom et påloggingsforsøk fra en ekte bruker og et fra en robot. Det finnes likevel tegn som kan indikere at et angrep er i gang.
For eksempel bør en plutselig økning i nettrafikk vekke mistanke. I et slikt tilfelle bør man overvåke påloggingsforsøk til nettstedet. Dersom det er en økning i påloggingsforsøk på flere kontoer fra flere IP-adresser, eller en økning i feilede påloggingsforsøk, kan dette indikere et «credential stuffing»-angrep.
En annen indikator på et angrep er brukere som klager over å bli utestengt fra kontoene sine, eller som mottar varsler om mislykkede påloggingsforsøk de ikke selv har utført.
Man bør også overvåke brukeraktivitet. Dersom man oppdager uvanlig aktivitet, som endringer i innstillinger, profilinformasjon, pengeoverføringer eller nettkjøp, kan også dette signalisere et «credential stuffing»-angrep.
Hvordan beskytte seg mot «credential stuffing»?
Det finnes flere tiltak man kan iverksette for å unngå å bli et offer for «credential stuffing»-angrep. Dette inkluderer:
#1. Unngå å gjenbruke samme påloggingsdetaljer på flere kontoer
«Credential stuffing» er avhengig av at brukeren deler påloggingsdetaljer på tvers av flere kontoer. Dette kan enkelt unngås ved å bruke unike påloggingsdetaljer på hver nettkonto.
Med passordadministratorer som Google Password Manager kan brukere benytte seg av sterke og unike passord, uten å måtte bekymre seg for å glemme dem. Bedrifter kan også legge til rette for dette ved å forhindre bruk av e-post som brukernavn, noe som gjør det mer sannsynlig at brukerne benytter unike påloggingsdetaljer på forskjellige plattformer.
#2. Bruk multifaktorautentisering (MFA)
Multifaktorautentisering innebærer bruk av flere metoder for å bekrefte identiteten til en bruker som forsøker å logge inn. Dette kan implementeres ved å kombinere tradisjonell autentisering med brukernavn og passord, sammen med en hemmelig sikkerhetskode som sendes til brukeren via e-post eller SMS, for å ytterligere bekrefte identiteten. Dette er svært effektivt for å forhindre «credential stuffing», da det legger til et ekstra sikkerhetslag.
Det kan til og med varsle deg dersom noen forsøker å kompromittere kontoen din, ved at du mottar en sikkerhetskode uten å ha bedt om den. MFA er så effektivt at en studie fra Microsoft har konkludert med at nettkontoer er 99,9 prosent mindre utsatt for kompromittering dersom de benytter MFA.
#3. Enhetsfingeravtrykk
Enhetsfingeravtrykk kan brukes til å knytte tilgang til en nettkonto med en spesifikk enhet. Enhetsfingeravtrykk identifiserer enheten som brukes til å få tilgang til en konto, ved å bruke informasjon som enhetsmodell, operativsystem, språk og land, med mer.
Dette skaper et unikt fingeravtrykk for enheten, som deretter knyttes til brukerens konto. Tilgang til kontoen ved hjelp av en annen enhet tillates ikke, uten tillatelse fra enheten som er knyttet til kontoen.
#4. Overvåk for lekkede passord
Når brukere skal opprette brukernavn og passord for en nettplattform, kan påloggingsdetaljene sjekkes mot en liste med publiserte, lekkede passord, i tillegg til å kontrollere hvor sterkt passordet er. Dette bidrar til å forhindre bruk av påloggingsdetaljer som senere kan misbrukes.
Organisasjoner kan implementere løsninger som overvåker brukeres påloggingsdetaljer mot lekkede påloggingsdetaljer som finnes på det mørke nettet, og varsle brukere dersom det oppdages et treff. Brukere kan deretter bli bedt om å bekrefte identiteten sin gjennom ulike metoder, endre påloggingsdetaljer og implementere MFA for å ytterligere beskytte kontoen sin.
#5. Kryptering av påloggingsdetaljer (Credential Hashing)
Dette innebærer å kryptere brukeres påloggingsdetaljer før de lagres i en database. Dette bidrar til å beskytte mot misbruk av detaljene i tilfelle av et datainnbrudd på systemene, da de vil bli lagret i et format som ikke kan brukes.
Selv om dette ikke er en idiotsikker metode, kan det gi brukerne tid til å endre passordene sine dersom det skulle oppstå et datainnbrudd.
Eksempler på «credential stuffing»-angrep
Noen bemerkelsesverdige eksempler på «credential stuffing»-angrep inkluderer:
- Tyveri av over 500 000 Zoom-påloggingsdetaljer i 2020. Angrepet ble utført ved bruk av brukernavn og passord fra forskjellige forum på det mørke nettet, som stammet fra angrep så langt tilbake som 2013. Den stjålne Zoom-påloggingsinformasjonen ble gjort tilgjengelig på forum på det mørke nettet og solgt billig til villige kjøpere.
- Kompromittering av tusenvis av brukerkontoer hos Canada Revenue Agency (CRA). I 2020 ble rundt 5500 CRA-kontoer kompromittert i to separate angrep som resulterte i at brukerne ikke fikk tilgang til tjenestene som ble tilbudt av CRA.
- Kompromittering av 194 095 The North Face-brukerkontoer. The North Face, som selger sportsklær, ble utsatt for et «credential stuffing»-angrep i juli 2022. Angrepet resulterte i lekkasje av brukerens fulle navn, telefonnummer, kjønn, lojalitetspoeng, faktura- og leveringsadresse, kontoopprettelsesdato og kjøpshistorikk.
- Reddit-«credential stuffing»-angrep i 2019. Flere Reddit-brukere ble utestengt fra sine kontoer etter at påloggingsdetaljene deres ble kompromittert gjennom et «credential stuffing»-angrep.
Disse angrepene understreker hvor viktig det er å beskytte seg mot lignende angrep.
Konklusjon
Du har kanskje sett selgere av påloggingsdetaljer til strømmetjenester som Netflix, Hulu og Disney+, eller andre tjenester som Grammarly, Zoom og Turnitin. Hvor tror du selgerne har skaffet seg disse påloggingsdetaljene?
Svaret er at slik informasjon sannsynligvis er skaffet gjennom «credential stuffing»-angrep. Dersom du benytter samme påloggingsdetaljer på flere nettkontoer, er det på tide å endre disse før du blir et offer.
For å beskytte deg ytterligere, bør du implementere multifaktorautentisering på alle dine nettkontoer og unngå å kjøpe kompromitterte påloggingsdetaljer, da dette kan bidra til et miljø der «credential stuffing»-angrep kan florere.