Penjejalan kredensial adalah jenis serangan dunia maya yang melibatkan “memasukkan” kredensial curian di beberapa situs web.
Alat seperti bot memungkinkan peretas untuk mengotomatiskan Stuffing, memungkinkan mereka menguji jutaan kredensial masuk terhadap lusinan situs dalam waktu singkat. Inilah yang perlu Anda ketahui tentang serangan ini dan cara sederhana untuk melindungi diri Anda sendiri.
Apa itu credential stuffing?
Penjejalan kredensial melibatkan penyumbatan banyak koleksi sandi dan nama pengguna curian di beberapa situs web. Mereka bergantung pada pelanggaran monster dan kebocoran yang terjadi di web gelap untuk datanya. Tujuannya adalah untuk menggunakan jutaan kombinasi login dan nama pengguna dari kebocoran sebelumnya untuk menyusup ke situs lain.
Mereka mengandalkan kesalahan manusia untuk membuat serangan mereka berhasil, menggunakan nama pengguna dan / atau kata sandi yang sama di beberapa situs. Menurut penelitian, sebanyak 85% dari semua pengguna mendaur ulang kata sandi mereka di akun yang berbeda.
Dan pemikiran seperti inilah yang memungkinkan penjahat dunia maya menggunakan kredensial masuk dari pelanggaran situs web untuk masuk ke layanan lain.
Tingkat keberhasilannya cukup rendah dari 0,1 menjadi sekitar 2 persen. Ini berarti bahwa untuk setiap juta kredensial masuk yang diuji, hanya sekitar 1.000 kredensial yang dapat digunakan untuk masuk ke situs web lain. Tetapi yang membuat upaya mereka sepadan adalah tambang emas data yang dapat mereka kumpulkan dari setiap akun yang menyusup.
Katakanlah mereka berhasil meretas sekitar seribu akun dan mereka memiliki informasi perbankan atau kredensial kartu kredit. Mereka dapat menyedot dana atau menggunakannya untuk melakukan bentuk penipuan lainnya. Informasi identitas pribadi (PII) lainnya seperti nomor jaminan sosial atau informasi pajak dapat digunakan untuk melakukan kejahatan seperti pencurian identitas.
Penjahat dunia maya memonetisasi semua yang mereka temukan di setiap akun, yang membuat serangan itu sepadan dengan usahanya meskipun tingkat kecocokan login yang sangat rendah.
Bagaimana Serangan Stuffing Dilakukan?
Tentu saja, peretas tidak secara manual memasukkan kredensial login yang dicuri satu per satu ke situs web yang berbeda karena mereka membutuhkan jutaan (atau bahkan miliaran) kredensial login yang dicuri untuk membuat serangan itu sepadan.
Sebagai gantinya, kredensial yang diretas oleh pelanggaran data dimuat ke botnet yang memulai upaya masuk otomatis. Mereka kemudian menggunakan alat tambahan untuk menghindari deteksi.
Botnet tunggal dapat melakukan ribuan upaya masuk per jam. Misalnya, serangan penjejalan kredensial pada tahun 2016 menggunakan botnet yang mengirimkan lebih dari 270.000 permintaan login di beberapa situs per jam.
Bagaimana Serangan Stuffing Menghindari Deteksi?
Sementara banyak situs menggunakan langkah-langkah keamanan untuk mendeteksi banyak login nakal, peretas telah menemukan cara untuk mengatasi tindakan ini.
Daftar proxy digunakan untuk memantulkan permintaan dan menutupi asal atau, singkatnya, membuatnya tampak bahwa permintaan akses akan datang dari lokasi yang berbeda. Mereka juga menggunakan alat lain untuk membuatnya terlihat seperti upaya login ganda yang berasal dari browser yang berbeda.
Ini dilakukan karena beberapa upaya masuk dari satu jenis browser (misalnya seribu per jam) tampak mencurigakan dan memiliki peluang lebih tinggi untuk ditandai sebagai penipuan.
Semua teknik ini meniru aktivitas masuk yang sah dari ribuan pengguna di lokasi berbeda. Ini membuat vektor serangan menjadi sederhana, tetapi sulit untuk dideteksi.
Apa perbedaan antara Credential Stuffing dan Brute Force Attacks?
Credential Stuffing adalah subtipe serangan brute force yang jauh lebih kuat karena lebih bertarget.
Serangan brute force pada dasarnya melibatkan menebak kata sandi menggunakan kombinasi karakter acak yang berbeda. Mereka menggunakan perangkat lunak otomatis untuk membuat beberapa tebakan dengan menguji kemungkinan kombinasi yang berbeda sampai kata sandi ditemukan. Itu dilakukan tanpa konteks.
Di sisi lain, Stuffing kredensial menggunakan detail login dan kata sandi dari pelanggaran data sebelumnya. Mereka menggunakan pasangan kata sandi-nama pengguna dari kebocoran dari satu situs web dan kemudian mengujinya di layanan lain.
Meskipun menggunakan kata sandi yang kuat dapat melindungi Anda dari serangan brute force, ini tidak berguna jika Anda menggunakan kata sandi yang sama di situs web lain, saat serangan Stuffing diluncurkan.
Apa perbedaan antara credential stuffing dan credential dumping?
Meskipun mungkin terdengar sama, credential dump adalah jenis serangan berbeda yang menargetkan titik masuk atau komputer untuk menyusup ke jaringan.
Sementara pengisian kredensial menggunakan beberapa kredensial masuk dari pelanggaran sebelumnya untuk masuk ke situs web lain, dump kredensial melibatkan masuk ke satu komputer dan mengekstraksi beberapa kredensial masuk.
Situasi ini dilakukan dengan mengakses kredensial cache di banyak log komputer atau dengan mengekstrak kredensial dari database Security Account Manager (SAM). Yang terakhir berisi semua akun yang dibuat dengan kata sandi yang disimpan sebagai hashish.
Tujuan dari serangan dump kredensial adalah untuk mendapatkan pijakan di jaringan atau masuk ke komputer lain di sistem. Setelah mengekstrak kredensial masuk dari mesin, peretas dapat masuk kembali ke perangkat atau mengakses seluruh jaringan untuk menyebabkan lebih banyak kerusakan.
Tidak seperti Stuffing, serangan dump kredensial menggunakan titik masuk, komputer rentan yang belum ditambal untuk menyusup ke jaringan.
Bagaimana Anda melindungi diri dari serangan Stuffing?
Bagi sebagian besar pengguna, cara terbaik dan termudah untuk melindungi diri mereka sendiri adalah dengan menggunakan sandi unik untuk setiap situs web atau akun. Minimal, lakukan ini untuk mereka yang memiliki informasi sensitif seperti detail bank atau kartu kredit.
Mengaktifkan otentikasi dua faktor (2FA) atau otentikasi multi-faktor (MFA) mempersulit peretas untuk mendapatkan akun. Ini bergantung pada alat validasi sekunder, seperti mengirim kode ke nomor telepon Anda dan meminta nama pengguna dan kata sandi Anda.
Jika Anda merasa bingung mengingat banyak kata sandi dan nama pengguna, Anda dapat menggunakan pengelola kata sandi yang andal. Jika Anda tidak yakin dengan keamanan mereka, lihat metode aman yang digunakan oleh pengelola kata sandi.
Lindungi kata sandi
Kata sandi Anda seperti kunci rumah Anda. Harus unik, kuat, dan yang terpenting harus selalu disimpan di tempat yang aman.
Ini juga harus mudah diingat dan aman. Anda dapat menjelajahi berbagai alat kata sandi yang dapat membantu Anda membuat kata sandi yang unik namun mudah diingat yang sulit diretas oleh peretas.