Ada lebih dari 1,1 juta akun online yang disusupi dalam serangkaian serangan isian kredensial terhadap 17 perusahaan berbeda, menurut penyelidikan Negara Bagian New York.
Serangan isian kredensial, seperti serangan tahun lalu di Spotify, menggunakan skrip otomatis untuk mencoba tinggi volume kombinasi nama pengguna dan kata sandi terhadap akun online dalam upaya untuk mengambil alih. Setelah masuk, penjahat dunia maya dapat menggunakan akun yang disusupi untuk berbagai tujuan: Sebagai titik pivot untuk menembus lebih dalam ke mesin dan jaringan korban; untuk menguras rekening informasi sensitif (atau nilai moneter); dan jika itu adalah akun email, mereka dapat menyamar sebagai korban untuk menyerang orang lain.
Serangan seperti itu sering berhasil berkat penggunaan kembali kata sandi dan penggunaan kata sandi yang umum/mudah ditebak, seperti “123456”. Dan itu mahal: Laporan Cost of Credential Stuffing dari Ponemon Institute menemukan bahwa bisnis kehilangan rata-rata $6 juta per tahun karena pengisian kredensial dalam bentuk waktu henti aplikasi, kehilangan pelanggan, dan peningkatan biaya TI.
“Dengan lebih dari 8,4 miliar kata sandi di alam liar dan lebih dari 3,5 miliar kata sandi yang terkait dengan alamat email yang sebenarnya, ini memberikan titik awal dan vektor serangan yang mudah bagi penjahat dunia maya untuk menargetkan berbagai situs online yang menggunakan akun untuk pelanggan mereka, ”kata James McQuiggan, advokat kesadaran keamanan di KnowBe4, melalui email. “Jenis serangan ini memberikan akses ke informasi pribadi tentang pengguna, informasi pajak mereka dan tentu saja, nomor Jaminan Sosial mereka untuk mereka dan mungkin keluarga dekat mereka. Selain itu, penjahat dunia maya menyadari bahwa banyak organisasi atau pengguna tidak akan menerapkan langkah-langkah keamanan tambahan dan menggunakan kata sandi yang sama di berbagai akun situs web.”
Untuk memeriksa sejauh mana masalahnya, Kantor Kejaksaan memulai pemeriksaan aktivitas bawah tanah selama berbulan-bulan. forum cybercrime yang didedikasikan untuk credential stuffing.
“OAG menemukan ribuan posting yang berisi kredensial login pelanggan yang telah diuji penyerang dalam serangan credential stuffing dan dikonfirmasi dapat digunakan untuk mengakses akun pelanggan di situs web atau aplikasi,” menurut media Rabu statement.
17 organisasi yang terkena dampak adalah “pengecer online terkenal, jaringan restoran dan layanan pengiriman makanan,” tambah kantor tersebut.
OAG memperingatkan perusahaan terkait sehingga kata sandi dapat diatur ulang dan konsumen dapat diberi tahu, katanya. Investigasi internal perusahaan sendiri mengungkapkan bahwa sebagian besar serangan sebelumnya tidak terdeteksi, sehingga hampir semua perusahaan menerapkan, atau membuat rencana untuk menerapkan, perlindungan tambahan, termasuk: layanan deteksi bot; otentikasi multifaktor; dan otentikasi tanpa kata sandi.
“Saat ini, ada lebih dari 15 miliar kredensial yang dicuri beredar di internet, karena informasi pribadi pengguna berada dalam bahaya,” kata Jaksa Agung New York Letitia James. “Bisnis memiliki tanggung jawab untuk mengambil tindakan yang tepat untuk melindungi akun online pelanggan mereka dan panduan ini menjabarkan perlindungan penting yang dapat digunakan perusahaan dalam memerangi isian kredensial. Kami harus melakukan segala yang kami bisa untuk melindungi informasi pribadi konsumen dan privasi mereka.”
Pengguna juga harus waspada terhadap serangan lanjutan, peneliti menambahkan.
“Seperti banyak orang saat ini, saya memiliki aplikasi pengawasan lingkungan yang memperingatkan saya tentang hal-hal yang terjadi di komunitas saya,” kata Ron Bradley, wakil presiden Penilaian Bersama, melalui email. “Seringkali orang akan memposting video aktor ancaman yang memeriksa kunci mobil dan pintu rumah … pengujian ‘kenop pintu’ perimeter ini mirip dengan pengumuman baru-baru ini oleh New York OAG. Faktanya adalah, ada miliaran kredensial yang dikompromikan dengan mudah tersedia di internet. Pelaku ancaman akan terus-menerus menggunakan sumber daya ini dalam upaya untuk menembus aset digital.”
Cara Melindungi Terhadap Serangan Pengisi Kredensial
Bradley menawarkan saran pembela tambahan: “Dalam kasus ini, pentingnya manajemen identitas dan akses (IAM) tidak dapat dilebih-lebihkan. Organisasi benar-benar harus menerapkan perlindungan berlapis, terutama dalam hal mengakses data sensitif. Persamaan untuk mengatasi masalah ini adalah lurus ke depan.”
Pendekatan yang ideal mencakup yang berikut, katanya:
<
ul>
<
ul>iAkses istimewa harus selalu disertai dengan otentikasi multifaktorliu
<
ul>iPerlambat aplikasi yang terhubung ke internet untuk mencegah upaya login paksaliu
- iDeteksi dan mekanisme respons harus diterapkan dan divalidasi secara teratur
“Ini hanya beberapa kontrol mendasar yang diperlukan untuk melindungi data Anda,” Bradley menyimpulkan. “Penting untuk diingat bahwa batas aset digital Anda seperti meremas balon. Anda dapat mengencangkan satu sisi, tetapi sisi lainnya mengembang. Tantangannya adalah menemukan jalan tengah itu. Ketika pihak ketiga terlibat, tugas menjadi semakin sulit karena Anda harus memastikan mereka mengikuti tidak kurang dari kontrol yang telah Anda tentukan.”
Setiap orang juga harus berhenti menggunakan kata sandi lama yang terlibat dalam pelanggaran data, McQuiggan mencatat: “Cara termudah untuk melihat apakah akun seseorang telah terlibat dalam pelanggaran adalah dengan memeriksa situs web HaveIBeenPwned.com, yang melacak alamat email dan nomor telepon yang telah melakukan pelanggaran data selama lima belas tahun terakhir.”
Password Reset: On-Demand Event: Fortify 2022 dengan strategi keamanan kata sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada pengelolaan kredensial perusahaan, dasar-dasar sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web