Dengan begitu banyak situs web dan aplikasi yang memerlukan kredensial pengguna unik, yaitu nama pengguna dan kata sandi, mungkin tergoda untuk menggunakan kredensial yang sama di semua platform ini.
Faktanya, menurut Laporan Paparan Identitas Tahunan 2022 oleh SpyCloud, yang menganalisis lebih dari 15 miliar kredensial yang disusupi yang tersedia di situs kriminal bawah tanah, ditemukan bahwa 65 persen kata sandi yang dibobol digunakan untuk setidaknya dua akun.
Bagi pengguna yang menggunakan kembali kredensial pada platform yang berbeda, ini mungkin tampak seperti cara yang cerdik untuk menghindari lupa kata sandi, namun kenyataannya, ini adalah bencana yang menunggu untuk terjadi.
Jika salah satu sistem disusupi dan kredensial Anda diambil, semua akun lain yang menggunakan kredensial yang sama berisiko disusupi. Mengingat bahwa kredensial yang disusupi dijual murah di web gelap, Anda mungkin dengan mudah menjadi korban isian kredensial.
Credential stuffing adalah serangan dunia maya di mana pelaku jahat menggunakan kredensial curian untuk akun atau sistem online untuk mencoba mengakses akun atau sistem online lain yang tidak terkait.
Contohnya adalah aktor jahat mendapatkan akses ke nama pengguna dan kata sandi Anda untuk akun Twitter Anda dan menggunakan kredensial yang disusupi tersebut untuk mencoba mengakses akun Paypal.
Jika Anda menggunakan kredensial yang sama di Twitter dan Paypal, akun Paypal Anda akan diambil alih karena pelanggaran kredensial Twitter Anda.
Jika Anda menggunakan kredensial Twitter di beberapa akun daring, akun daring tersebut juga mungkin disusupi. Serangan semacam itu dikenal sebagai isian kredensial, dan mengeksploitasi fakta bahwa banyak pengguna menggunakan kembali kredensial di beberapa akun online.
Pelaku jahat yang melakukan serangan isian kredensial biasanya menggunakan bot untuk mengotomatiskan dan menskalakan proses. Ini memungkinkan mereka untuk menggunakan sejumlah besar kredensial yang disusupi dan menargetkan beberapa platform online. Dengan bocornya kredensial yang disusupi dari pelanggaran data dan juga dijual di web gelap, serangan isian kredensial menjadi lazim.
Cara Kerja Stuffing Kredensial
Serangan isian kredensial dimulai dengan perolehan kredensial yang disusupi. Nama pengguna dan kata sandi ini dapat dibeli di web gelap, diakses dari situs dump kata sandi, atau diperoleh dari pelanggaran data dan serangan phishing.
Langkah selanjutnya melibatkan pengaturan bot untuk menguji kredensial yang dicuri di berbagai situs web. Bot otomatis adalah alat masuk dalam serangan isian kredensial, karena bot dapat secara diam-diam melakukan isian kredensial menggunakan sejumlah besar kredensial terhadap banyak situs dengan kecepatan tinggi.
Tantangan alamat IP yang diblokir setelah beberapa upaya login yang gagal juga dapat dihindari dengan menggunakan bot.
Ketika serangan isian kredensial diluncurkan, proses otomatis untuk memantau login yang berhasil juga diluncurkan secara paralel dengan serangan isian kredensial. Dengan cara ini, penyerang dengan mudah mendapatkan kredensial yang berfungsi di situs online tertentu dan menggunakannya untuk mengambil alih akun di platform.
Setelah penyerang memiliki akses ke akun, apa yang dapat mereka lakukan dengannya terserah pada kebijaksanaan mereka. Penyerang dapat menjual kredensial kepada penyerang lain, mencuri informasi sensitif dari akun, melakukan identitas, atau menggunakan akun untuk melakukan pembelian online jika rekening bank disusupi.
Mengapa Serangan Stuffing Kredensial Efektif
Credential Stuffing adalah serangan dunia maya dengan tingkat keberhasilan yang sangat rendah. Bahkan, menurut The Economy of Credential Stuffing Attacks Report oleh Insikt Group, yang merupakan divisi penelitian ancaman Recorded Future, rata-rata tingkat keberhasilan serangan credential stuffing adalah antara satu hingga tiga persen.
Meskipun tingkat keberhasilannya rendah, Akamai Technologies, dalam laporan Status Internet/Keamanan 2021, mencatat bahwa pada tahun 2020, Akamai melihat 193 miliar serangan isian kredensial secara global.
Alasan tingginya jumlah serangan isian kredensial dan mengapa mereka menjadi lebih umum adalah karena jumlah kredensial yang disusupi tersedia dan akses ke alat bot tingkat lanjut yang membuat serangan isian kredensial lebih efektif dan hampir tidak dapat dibedakan dari upaya login manusia.
Misalnya, bahkan dengan tingkat keberhasilan yang rendah hanya satu persen, jika penyerang memiliki 1 juta kredensial yang dikompromikan, mereka dapat mengkompromikan sekitar 10.000 akun. Sejumlah besar kredensial yang disusupi diperdagangkan di web gelap, dan kredensial yang dikompromikan dalam jumlah besar seperti itu dapat digunakan kembali di berbagai platform.
Volume kredensial yang disusupi ini menghasilkan peningkatan jumlah akun yang disusupi. Ini, ditambah dengan fakta bahwa orang terus menggunakan kembali kredensial mereka di beberapa akun online, serangan isian kredensial menjadi sangat efektif.
Isian Kredensial Vs. Serangan Brute Force
Meskipun credential stuffing dan serangan brute force sama-sama merupakan serangan pengambilalihan akun dan Open Web Application Security Project (OWASP) menganggap credential stuffing sebagai bagian dari serangan brute force, keduanya berbeda dalam cara eksekusinya.
Dalam serangan brute-force, aktor jahat mencoba mengambil alih akun dengan menebak nama pengguna atau kata sandi atau keduanya. Ini biasanya dilakukan dengan mencoba sebanyak mungkin kombinasi nama pengguna dan kata sandi tanpa konteks atau petunjuk tentang kombinasi tersebut.
Brute force mungkin menggunakan pola kata sandi yang umum digunakan atau kamus frase kata sandi yang umum digunakan seperti Qwerty, kata sandi, atau 12345. Serangan brute force dapat berhasil jika pengguna menggunakan kata sandi yang lemah atau kata sandi default sistem.
Sebaliknya, serangan isian kredensial mencoba mengambil alih akun dengan menggunakan kredensial yang dikompromikan yang diperoleh dari sistem lain atau akun online. Dalam serangan isian kredensial, serangan tidak menebak kredensial. Keberhasilan serangan isian kredensial bergantung pada pengguna yang menggunakan kembali kredensial mereka di beberapa akun online.
Biasanya, tingkat keberhasilan serangan brute force jauh lebih rendah daripada isian kredensial. Serangan brute force dapat dicegah dengan menggunakan password yang kuat. Namun, menggunakan kata sandi yang kuat tidak dapat mencegah isian kredensial jika kata sandi yang kuat digunakan bersama di beberapa akun. Penjejalan kredensial dicegah dengan menggunakan kredensial unik pada akun online.
Cara Mendeteksi Serangan Credential Stuffing
Pelaku ancaman isian kredensial biasanya menggunakan bot yang meniru agen manusia, dan seringkali sangat sulit untuk membedakan upaya masuk dari manusia asli dan dari bot. Namun, masih ada tanda-tanda yang menandakan serangan isian kredensial yang sedang berlangsung.
Misalnya, peningkatan lalu lintas web yang tiba-tiba harus menimbulkan kecurigaan. Dalam kasus seperti itu, pantau upaya login ke situs web, dan jika ada peningkatan upaya login pada banyak akun dari beberapa alamat IP atau peningkatan tingkat kegagalan login, ini dapat mengindikasikan serangan isian kredensial yang sedang berlangsung.
Indikator lain dari serangan isian kredensial adalah pengguna yang mengeluh karena terkunci dari akun mereka atau menerima pemberitahuan tentang upaya login yang gagal yang tidak dilakukan oleh mereka.
Selain itu, pantau aktivitas pengguna, dan jika Anda melihat aktivitas pengguna yang tidak biasa, seperti mengubah setelan, informasi profil, transfer uang, dan pembelian online, ini dapat menandakan serangan isian kredensial.
Bagaimana Melindungi Dari Stuffing Kredensial
Ada beberapa langkah yang dapat diambil untuk menghindari menjadi korban serangan credential-stuffing. Ini termasuk:
#1. Hindari menggunakan kembali kredensial yang sama di beberapa akun
Pengisian kredensial bergantung pada pengguna yang berbagi kredensial di beberapa akun online. Ini dapat dengan mudah dihindari dengan menggunakan kredensial unik pada akun online yang berbeda.
Dengan pengelola kata sandi seperti Google Pengelola Kata Sandi, pengguna masih dapat menggunakan kata sandi yang unik dan sangat bagus tanpa khawatir lupa kredensial mereka. Perusahaan juga dapat menegakkan ini dengan mencegah penggunaan email sebagai nama pengguna. Dengan cara ini, pengguna lebih cenderung menggunakan kredensial unik di berbagai platform.
#2. Gunakan Otentikasi Multifaktor (MFA)
Otentikasi Multifaktor adalah penggunaan beberapa metode untuk mengautentikasi identitas pengguna yang mencoba masuk. Ini dapat diterapkan dengan menggabungkan metode otentikasi tradisional dari nama pengguna dan kata sandi, bersama dengan kode keamanan rahasia yang dibagikan kepada pengguna melalui email atau pesan teks untuk lebih mengkonfirmasi identitas mereka. Ini sangat efektif dalam mencegah isian kredensial karena menambah lapisan keamanan ekstra.
Ia bahkan dapat memberi tahu Anda ketika seseorang mencoba menyusupi akun Anda, karena Anda akan mendapatkan kode keamanan tanpa memintanya. MFA sangat efektif sehingga studi Microsoft menetapkan bahwa akun online 99,9 persen lebih kecil kemungkinannya untuk disusupi jika mereka menggunakan MFA.
#3. Sidik Jari Perangkat
Sidik jari perangkat dapat digunakan untuk mengaitkan akses ke akun online dengan perangkat tertentu. Sidik jari perangkat mengidentifikasi perangkat yang digunakan untuk mengakses akun menggunakan informasi seperti model dan nomor perangkat, sistem operasi yang digunakan, bahasa, dan negara, antara lain.
Ini menciptakan sidik jari perangkat unik yang kemudian dikaitkan dengan akun pengguna. Akses ke akun menggunakan perangkat lain tidak diperbolehkan tanpa izin yang diberikan oleh perangkat yang terkait dengan akun tersebut.
#4. Pantau kata sandi yang bocor
Saat pengguna mencoba membuat nama pengguna dan kata sandi untuk platform online daripada hanya memeriksa kekuatan kata sandi, kredensial dapat diperiksa ulang terhadap kata sandi bocor yang dipublikasikan. Ini membantu mencegah penggunaan kredensial yang nantinya dapat dieksploitasi.
Organisasi dapat mengimplementasikan solusi yang memantau kredensial pengguna terhadap kredensial yang bocor di web gelap dan memberi tahu pengguna setiap kali ditemukan kecocokan. Pengguna kemudian dapat diminta untuk memverifikasi identitas mereka melalui berbagai metode, mengubah kredensial, dan juga menerapkan MFA untuk lebih melindungi akun mereka
#5. Pencirian Kredensial
Ini melibatkan pengacakan kredensial pengguna sebelum disimpan dalam database. Ini membantu melindungi dari penyalahgunaan kredensial jika terjadi pelanggaran data sistem, karena kredensial akan disimpan dalam format yang tidak dapat digunakan.
Meskipun ini bukan metode yang sangat mudah, ini dapat memberi pengguna waktu untuk mengubah kata sandi mereka jika terjadi pelanggaran data.
Contoh Serangan Stuffing Kredensial
Beberapa contoh penting dari serangan isian kredensial meliputi:
- Pencurian lebih dari 500.000 kredensial Zoom pada tahun 2020. Serangan isian kredensial ini dilakukan menggunakan nama pengguna dan kata sandi yang diperoleh dari berbagai forum web gelap, dengan kredensial diperoleh dari serangan sejak tahun 2013. Kredensial zoom yang dicuri tersedia di kegelapan web dan dijual dengan harga murah kepada pembeli yang bersedia
- Kompromi pada ribuan akun pengguna Canada Revenue Agency (CRA). Pada tahun 2020 sekitar 5500 akun CRA disusupi dalam dua serangan kredensial terpisah yang mengakibatkan pengguna tidak dapat mengakses layanan yang ditawarkan oleh CRA.
- Kompromi 194.095 akun pengguna The North Face. The North Face adalah perusahaan yang menjual pakaian olahraga, dan mengalami serangan isian kredensial pada Juli 2022. Serangan tersebut mengakibatkan bocornya nama lengkap pengguna, nomor telepon, jenis kelamin, poin loyalitas, alamat penagihan dan pengiriman, tanggal pembuatan akun, dan riwayat pembelian.
- Serangan isian kredensial Reddit pada tahun 2019. Beberapa pengguna Reddit dikunci dari akun mereka setelah kredensial mereka disusupi melalui serangan isian kredensial.
Serangan ini menyoroti pentingnya kebutuhan untuk melindungi diri dari serangan serupa.
Kesimpulan
Anda mungkin menemukan penjual kredensial untuk situs streaming seperti Netflix, Hulu, dan disney+ atau layanan online seperti Grammarly, Zoom, dan Turnitin, dan lain-lain. Menurut Anda dari mana penjual mendapatkan kredensial?
Nah, kredensial seperti itu kemungkinan besar didapat melalui serangan isian kredensial. Jika Anda menggunakan kredensial yang sama di beberapa akun online, inilah saatnya Anda mengubahnya sebelum menjadi korban.
Untuk lebih melindungi diri Anda sendiri, terapkan autentikasi multifaktor pada semua akun online Anda dan hindari membeli kredensial yang disusupi, karena hal ini menciptakan lingkungan yang mendukung serangan isian kredensial.
