Skydda dina onlinekonton: Förstå och bekämpa ”Credential Stuffing”
I dagens digitala landskap, där otaliga webbplatser och applikationer kräver unika inloggningsuppgifter – ett användarnamn och ett lösenord – kan det vara lockande att använda samma kombination på flera plattformar.
Enligt SpyClouds årliga rapport om identitetsexponering från 2022, vilken analyserade över 15 miljarder komprometterade inloggningsuppgifter som hittats på kriminella forum, visade det sig att 65 procent av de läckta lösenorden användes på minst två konton.
För användare som återanvänder sina inloggningsuppgifter kan det verka praktiskt för att undvika att glömma lösenord, men detta är i själva verket en stor risk.
Om en enda plattform blir hackad och dina inloggningsuppgifter läcker ut, riskerar alla konton som använder samma uppgifter att kapas. Komprometterade uppgifter säljs dessutom billigt på dark web, vilket gör det enkelt för dig att bli utsatt för identitetsstöld.
”Credential stuffing” är en cyberattack där cyberkriminella använder stulna inloggningsuppgifter från ett onlinekonto för att försöka komma åt andra, helt orelaterade konton.
Tänk dig exempelvis att en angripare får tag på ditt användarnamn och lösenord för Twitter och försöker använda dessa för att komma in på ditt PayPal-konto.
Om du råkar använda samma inloggningsuppgifter på Twitter och PayPal, kommer ditt PayPal-konto att övertas.
Om du använder dina Twitter-uppgifter på flera andra konton online, riskerar även de att bli hackade. Denna typ av attack utnyttjar det faktum att många användare återanvänder sina uppgifter på flera plattformar.
De som utför “credential stuffing”-attacker använder ofta automatiska program, så kallade ”botar”, för att skala upp processen. Detta gör att de kan testa ett stort antal stulna uppgifter mot flera olika onlineplattformar. Med så många komprometterade inloggningsuppgifter som säljs och läcker ut från dataintrång, har dessa attacker blivit allt vanligare.
Så fungerar Credential Stuffing
Attacken börjar med att cyberkriminella får tag på komprometterade inloggningsuppgifter. Dessa kan köpas på dark web, hittas på olika lösenordslistor, eller erhållas via dataintrång och nätfiskeattacker.
Nästa steg är att använda ”botar” för att testa de stulna uppgifterna på olika webbplatser. Automatiska ”botar” är ett utmärkt verktyg för “credential stuffing”, eftersom de effektivt kan testa ett stort antal uppgifter mot många webbplatser med hög hastighet.
Problemet med att en IP-adress blockeras efter flera misslyckade försök undviks genom att använda ”botar” som roterar IP-adresser.
När en attack lanseras, startas även en automatisk process för att övervaka lyckade inloggningar parallellt med själva attacken. På så vis kan angriparna enkelt identifiera vilka inloggningsuppgifter som fungerar på vissa webbplatser och använda dessa för att ta över konton.
När angripare väl har fått tillgång till ett konto, är det upp till dem vad de väljer att göra. De kan sälja vidare uppgifterna, stjäla känslig information, begå identitetsbedrägeri eller använda kontot för att göra köp online om ett bankkonto är kopplat.
Varför Credential Stuffing-attacker är effektiva
”Credential Stuffing” är en cyberattack med relativt låg framgångsgrad. Enligt en rapport från Insikt Group, som är Recorded Futures hotforskningsavdelning, är den genomsnittliga framgångsfrekvensen för dessa attacker mellan en och tre procent.
Trots den låga framgångsgraden, rapporterade Akamai Technologies att de under 2020 såg 193 miljarder “credential stuffing”-attacker globalt, vilket belyser omfattningen av problemet.
Det höga antalet attacker, och varför de blir allt vanligare, beror på den enorma mängden läckta inloggningsuppgifter och tillgången till avancerade ”bot”-verktyg som gör attackerna mer effektiva och nästan omöjliga att skilja från mänskliga inloggningsförsök.
Även med en låg framgångsgrad på bara en procent, kan en angripare som har tillgång till 1 miljon komprometterade uppgifter hacka omkring 10 000 konton. Stora mängder komprometterade uppgifter säljs på dark web, och många återanvänder samma uppgifter på flera plattformar.
Den stora mängden hackade uppgifter tillsammans med vanan att återanvända inloggningsuppgifter gör att ”credential stuffing”-attacker blir mycket effektiva.
Credential Stuffing vs. Brute Force-attacker
Både “credential stuffing” och “brute force”-attacker syftar till att ta över konton och OWASP anser att “credential stuffing” är en delmängd av “brute force”-attacker, men de skiljer sig åt i hur de utförs.
I en “brute force”-attack försöker angriparen ta över ett konto genom att gissa användarnamn, lösenord eller båda. Detta görs vanligtvis genom att prova olika kombinationer slumpmässigt utan någon ledtråd.
En ”brute force”-attack kan använda vanliga lösenordsmönster eller en ordlista med vanliga lösenord som ”qwerty”, ”lösenord” eller ”12345”. Denna typ av attack kan lyckas om användaren använder svaga lösenord eller standardlösenord.
En “credential stuffing”-attack, å andra sidan, försöker ta över konton genom att använda komprometterade uppgifter från andra system eller onlinekonton. Angriparen gissar alltså inte uppgifterna. Framgången för attacken beror på att användaren återanvänder sina inloggningsuppgifter på flera onlinekonton.
Generellt sett har “brute force”-attacker mycket lägre framgångsgrad än “credential stuffing”. ”Brute force”-attacker kan förhindras genom att använda starka lösenord. Men, även starka lösenord skyddar inte mot ”credential stuffing” om samma lösenord används på flera konton. ”Credential stuffing” förebyggs bäst genom att använda unika inloggningsuppgifter på alla onlinekonton.
Hur man upptäcker Credential Stuffing-attacker
De som utför “credential stuffing”-attacker använder ofta ”botar” som imiterar mänskliga agenter, vilket gör det svårt att skilja ett bot-försök från en faktisk användare. Det finns dock tecken som kan indikera en pågående attack.
Exempelvis, en plötslig ökning av webbtrafik bör väcka misstankar. I ett sådant fall bör man övervaka inloggningsförsöken, och om det är en ökning av misslyckade inloggningsförsök från flera olika IP-adresser, kan det tyda på en attack.
Ytterligare en indikator kan vara om användare klagar på att ha blivit utelåsta från sina konton eller får notifikationer om misslyckade inloggningsförsök som de själva inte gjort.
Det är också viktigt att övervaka användaraktivitet, och om ovanlig aktivitet upptäcks, som ändringar i inställningar, profilinformation, pengaöverföringar eller onlineköp, kan det signalera en pågående attack.
Så skyddar du dig mot Credential Stuffing
Det finns flera åtgärder som kan vidtas för att undvika att utsättas för “credential stuffing”-attacker, inklusive:
1. Undvik att återanvända samma inloggningsuppgifter
”Credential Stuffing” bygger på att användare delar samma uppgifter mellan flera konton. Detta kan enkelt undvikas genom att använda unika uppgifter för varje plattform.
Med hjälp av lösenordshanterare som Google Password Manager kan du enkelt använda unika och komplexa lösenord utan att oroa dig för att glömma dem. Företag kan även förhindra användning av e-postadresser som användarnamn, vilket ökar sannolikheten för att användare väljer unika uppgifter för olika plattformar.
2. Använd multifaktorautentisering (MFA)
Multifaktorautentisering innebär att du använder flera metoder för att verifiera din identitet vid inloggning. Detta kan ske genom att kombinera traditionella metoder som användarnamn och lösenord med en säkerhetskod som skickas till dig via e-post eller SMS. MFA ger ett extra skydd mot “credential stuffing”, då det lägger till ett extra säkerhetslager.
Det kan även varna dig om någon försöker hacka ditt konto, då du får en säkerhetskod utan att ha begärt det. En studie från Microsoft visade att onlinekonton är 99,9% mindre benägna att kapas om de använder MFA.
3. Enhetsfingeravtryck
Enhetsfingeravtryck kan användas för att koppla åtkomst till ett onlinekonto till en specifik enhet. Informationen som används för att skapa fingeravtrycket är bland annat enhetsmodell, operativsystem, språk och land.
Detta skapar ett unikt fingeravtryck som kopplas till ett användarkonto. Åtkomst till kontot från en annan enhet tillåts inte utan godkännande från enheten som är kopplad till kontot.
4. Övervaka läckta lösenord
När användare skapar användarnamn och lösenord, bör system kontrollera om lösenorden har läckt ut tidigare istället för att bara kontrollera lösenordets styrka. Detta bidrar till att förhindra användning av uppgifter som senare kan missbrukas.
Organisationer kan implementera lösningar som övervakar användaruppgifter mot läckta uppgifter på dark web och informera användarna om en matchning hittas. Användare kan då verifiera sin identitet genom flera metoder, ändra lösenord och implementera MFA för att skydda sitt konto.
5. Hashning av uppgifter
Detta innebär att användaruppgifter krypteras innan de sparas i en databas. Det hjälper till att skydda mot missbruk av uppgifter vid eventuella dataintrång, eftersom uppgifterna lagras i ett format som inte kan användas direkt.
Även om det inte är en vattentät metod, ger det användare tid att ändra sina lösenord i händelse av dataintrång.
Exempel på Credential Stuffing-attacker
Här är några kända exempel på “credential stuffing”-attacker:
- Stölden av över 500 000 Zoom-uppgifter under 2020. Denna attack utfördes med användarnamn och lösenord som hämtades från olika dark web-forum, med uppgifter från attacker så långt tillbaka som 2013. De stulna uppgifterna gjordes sedan tillgängliga och såldes till billigt pris på dark web.
- Hacket av tusentals användarkonton hos Canada Revenue Agency (CRA). År 2020 komprometterades cirka 5500 CRA-konton i två separata attacker, vilket gjorde att användare inte kunde få tillgång till tjänster som erbjuds av CRA.
- Komprometteringen av 194 095 The North Face-användarkonton. Företaget som säljer sportkläder drabbades av en attack i juli 2022. Attacken resulterade i att användarnas fullständiga namn, telefonnummer, kön, lojalitetspoäng, fakturerings- och leveransadress, datum för kontoskapande och köphistorik läckte ut.
- Reddit “credential stuffing”-attack 2019. Flera Reddit-användare låstes ute från sina konton efter att deras uppgifter hade komprometterats genom attacker.
Dessa attacker belyser vikten av att skydda sig mot liknande händelser.
Slutsats
Du har kanske sett säljare av inloggningsuppgifter för streamingtjänster som Netflix, Hulu och Disney+ eller onlinetjänster som Grammarly, Zoom och Turnitin. Var tror du att dessa säljare får sina uppgifter ifrån?
Sannolikt har uppgifterna erhållits genom ”credential stuffing”-attacker. Om du använder samma uppgifter på flera konton online, är det dags att ändra dem innan du blir ett offer.
För att ytterligare skydda dig, bör du implementera multifaktorautentisering på alla dina konton och undvika att köpa komprometterade inloggningsuppgifter, eftersom det skapar en miljö där “credential stuffing”-attacker kan frodas.