Accountovernames zijn voor iedereen een nachtmerriescenario. Iemand anders toegang laten krijgen tot uw financiën of meest gevoelige gegevens is extreem stressvol en kan uw hele leven beïnvloeden. Stelt u zich eens voor dat iemand uw bankrekening leeghaalt of creditcards op uw naam neemt.
Het is aan mensen om ervoor te zorgen dat ze beschermd zijn en niet het slachtoffer worden van credential stuffing-aanvallen. Het instellen van sterke, unieke wachtwoorden en het nauwlettend in de gaten houden van uw gegevens zijn essentieel om uzelf te beschermen tegen aanvallen.
Wat is credential stuffing?
Bij credential stuffing gebruiken criminelen gestolen gebruikersnamen en wachtwoorden (vaak afkomstig van eerdere datalekken ) om in te breken in online accounts. Omdat veel mensen wachtwoorden hergebruiken op verschillende platforms, geeft één login vaak toegang tot meerdere accounts. Dat is precies waar hackers op rekenen voor hun doelwitten.
De cybercriminelen gebruiken geautomatiseerde tools of "bots" om duizenden inlogpogingen tegelijk uit te voeren en zo veel mogelijk sites te raken.
Deze bots zijn snel en geprogrammeerd om echt menselijk gedrag na te bootsen, waardoor ze moeilijker te herkennen en te blokkeren zijn. Slechts één gekraakte account kan leiden tot gestolen geld en identiteitsdiefstal.
Hoe credential stuffing aanvallen werken
Het proces van credential stuffing houdt in dat gestolen gegevens worden verkregen en gebruikt om te proberen toegang te krijgen tot accounts bij banken en andere beveiligde sites. Hackers vinden (of kopen) persoonlijke gegevens en automatiseren vervolgens het proces van inlogpogingen om te proberen in te loggen op accounts.
Gegevensverzameling
Alles begint met gestolen gegevens. Hackers hoeven niet altijd op een site in te breken om wachtwoorden te bemachtigen, aangezien er al genoeg op het internet rondzwerven. Veel gestolen gegevens komen terecht op het dark web - een verborgen deel van het internet waar cybercriminelen gehackte gegevens kunnen kopen en verkopen.
Deze inloggegevens zijn vaak afkomstig van eerdere datalekken en worden vrij verhandeld of verkocht in grote partijen.
Sommige collecties, zoals de beruchte "Collection #1-5", bevatten miljarden gebruikersnamen en wachtwoorden. Het is een goudmijn voor cybercriminelen en er is maar één overeenkomst op een ander platform voor nodig.
Geautomatiseerde inlogpogingen
Zodra de hackers hun gestolen referenties hebben, is de volgende stap ze te testen. Dat is waar automatisering om de hoek komt kijken.
Aanvallers lanceren grootschalige inlogpogingen op meerdere websites en controleren of een van de gestolen combinaties nog werkt. Deze bots zijn slim en sommige gebruiken headless browsers (een webbrowser die draait zonder grafische gebruikersinterface, op de achtergrond en die programmatisch wordt bestuurd - meestal voor geautomatiseerde taken) of roteren IP-adressen in een poging om detectie te vermijden. Ze voegen zelfs vertragingen toe tussen inlogpogingen om systemen te laten denken dat het een normale gebruiker is die inlogt en zo verdenkingen of beveiligingsprotocollen te omzeilen.
Account overname
Als de inloggegevens overeenkomen en het inloggen lukt, krijgen hackers de volledige controle over het account, bijvoorbeeld het e-mailaccount.
Van daaruit kunnen ze proberen bankrekeningen leeg te halen, privégegevens te stelen of zelfs de echte eigenaar buiten te sluiten. Hackers hebben verschillende benaderingen, afhankelijk van welke accounts ze kunnen overnemen. Als ze niet in uw bank kunnen komen en deze leeghalen, kunnen ze nog steeds de toegang tot de e-mailaccount gebruiken voor andere misdaden, zoals het verzenden van phishing-berichten naar andere accounts om deze ook te hacken. Ze kunnen ook gecompromitteerde accounts verkopen aan andere criminelen. Kortom, een enkele succesvolle aanmelding kan uitmonden in een puinhoop voor de gebruiker.
Credential stuffing vs. brute kracht vs. wachtwoordverspreiding
Deze drie aanvalstypen zijn allemaal gericht op wachtwoorden, maar de methoden verschillen.
Het vullen van referenties
Credential stuffing is gebaseerd op echte, eerder gestolen wachtwoorden. Hackers raden niet, ze gebruiken bestaande gegevens. Het succes van de aanval hangt af van hoeveel mensen hun wachtwoorden hebben hergebruikt op verschillende platforms.
Brute kracht aanvallen
Brute kracht is meer een raadspelletje. De aanvaller probeert steeds opnieuw willekeurige wachtwoordcombinaties totdat er uiteindelijk één werkt. Het is geautomatiseerd, maar het is een langzamere methode en gemakkelijker te herkennen omdat het meestal gaat om veel mislukte pogingen vanaf hetzelfde IP-adres.
Wachtwoord sproeien
Password spraying is een mix tussen brute kracht en credential stuffing. Hackers proberen veelgebruikte wachtwoorden zoals "password123" of "123456" op een groot aantal accounts, zoals de accounts die ze hebben gevonden op Collection #1. Deze methode is stiekem omdat het detectiesystemen ontwijkt die herhaalde mislukte pogingen op een enkele account signaleren.
Waarom "credential stuffing" een groeiende bedreiging is
Credential stuffing wordt steeds erger. Een van de redenen is de enorme hoeveelheid gestolen referenties die online beschikbaar is. Verzamelingen zoals de eerder genoemde geven aanvallers een eindeloze voorraad potentiële aanmeldingen om hun systemen te testen en te voeden. Zolang mensen wachtwoorden blijven hergebruiken, blijft het risico groot.
Een ander probleem is de technologie achter deze aanvallen. Bots worden steeds geavanceerder.
Met tools zoals headless browsers kunnen ze zich gedragen als echte gebruikers en IP-spoofing helpt ze om detectiesystemen te ontwijken. Door plugins te integreren en de browsers aan te passen, kunnen aanvallers ze fijn afstellen om te proberen gebruikersgedrag na te bootsen. Sommige bots kunnen zelfs CAPTCHA-uitdagingen oplossen of muisbewegingen imiteren. Om dit tegen te gaan, kunnen websites fingerprinting van apparaten gebruiken, waarmee de browser, het apparaattype en gedragspatronen van een gebruiker worden bijgehouden om verdachte aanmeldingen te detecteren en geautomatiseerde aanvallen te blokkeren.
Bovendien is het aantal online accounts geëxplodeerd. De meesten van ons hebben tientallen logins. Dat betekent meer doelwitten voor aanvallers om hun geluk op te beproeven en meer potentiële plekken waar gegevens kunnen worden gestolen.
Wachtwoordgewoonten zijn niet meegegroeid met de bedreigingen. Veel mensen gebruiken nog steeds eenvoudige en raadbare wachtwoorden of hetzelfde wachtwoord voor meerdere sites. Volgens een onderzoek gebruikt 84% van de gebruikers riskante wachtwoorden voor online accounts. Er is maar één inbreuk nodig en plotseling heeft een hacker toegang tot alles, van e-mails tot financiële accounts.
Voorbeelden uit de echte wereld van aanvallen met credential stuffing
Credential stuffing is niet alleen een theoretische bedreiging. Het heeft al chaos veroorzaakt bij een aantal grote namen in verschillende sectoren.
Een spraakmakend voorbeeld was HSBC Bank, waar aanvallers gestolen logins gebruikten om toegang te krijgen tot klantenrekeningen. Door deze inbraak kregen onbevoegden toegang tot financiële gegevens en het bedrijf moest zelfs het hele online aanmeldingsproces opschorten terwijl alles werd uitgezocht. Maar liefst 14.000 klanten werden getroffen.
Op Reddit werden gebruikers plotseling buitengesloten van hun accounts nadat een golf van credential stuffing aanvallen het platform trof. Reddit moest gebruikers vragen hun wachtwoorden opnieuw in te stellen als ze toegang tot hun accounts wilden krijgen.
Een ander belangrijk geval kwam van TurboTax, waar aanvallers gestolen inloggegevens gebruikten om toegang te krijgen tot belastinggegevens in een aanval in 2019. Het ging niet alleen om gebruikersnamen en wachtwoorden, want eenmaal binnen konden criminelen toegang krijgen tot burgerservicenummers en andere gevoelige persoonlijke gegevens.
Nintendo heeft ook te maken gehad met een massale inbreuk waarbij duizenden Nintendo Network ID-accounts in gevaar werden gebracht. Aanvallers slaagden erin om in te breken in accounts met hergebruikte referenties, wat leidde tot ongeautoriseerde aankopen en privacyproblemen voor gamers. Maar liefst 300.000 accounts werden gecompromitteerd.
De impact van credential stuffing
Credential stuffing-aanvallen kunnen tot grote problemen leiden. Het is mogelijk dat slachtoffers worden geblokkeerd van accounts en dat er direct geld wordt gestolen, of via andere frauduleuze methoden zoals het aanvragen van creditcards met hun gegevens.
Financieel verlies
Een van de meest directe en zichtbare gevolgen van een credential stuffing aanval is de financiële schade die het kan veroorzaken. Zodra een aanvaller toegang krijgt tot een betaal- of bankrekening, duurt het niet lang voordat er geld verdwijnt.
Slachtoffers moeten vaak wekenlang heen en weer praten met hun bank of kaartprovider om de puinhoop op te lossen en te proberen het geld terug te krijgen. Dit kan enorme stress veroorzaken.
Identiteitsdiefstal
Naast het geld, opent het vullen van referenties de deur naar iets dat nog gevaarlijker is: identiteitsdiefstal.
Als aanvallers genoeg persoonlijke gegevens in handen kunnen krijgen, kunnen ze zich voordoen als iemand anders. Ze kunnen nieuwe rekeningen aanvragen of zelfs fraude en andere misdrijven plegen onder de naam van iemand anders. De schade van identiteitsdiefstal kan iemand jaren achtervolgen en het duurt vaak lang om het volledig te ontwarren.
Inbreuk op Privacy
Er is ook het probleem van persoonlijke ruimte. Wanneer aanvallers inbreken in een account, zien ze niet alleen nummers en wachtwoorden, maar krijgen ze ook toegang tot privégegevens. Dingen zoals privéfoto's en persoonlijke gegevens kunnen uitlekken. Dat is een ernstige inbreuk op de privacy. Het idee dat iemand zonder toestemming in gesprekken of bestanden kan snuffelen is verontrustend en verontrustend voor iedereen die erbij betrokken is.
Hoe gebruikers zichzelf kunnen beschermen tegen credential stuffing
Gebruikers hebben sterke bescherming nodig tegen 'credential stuffing', inclusief gezonde wachtwoorden en andere methoden zoals twee-factor authenticatie of multifactor authenticatie.
Het gebruik van een VPN (Virtual Private Network) kan een extra beveiligingslaag toevoegen door uw IP-adres te maskeren, waardoor het moeilijker wordt voor hackers om uw online activiteiten te volgen of u aan te vallen u credential stuffing-aanvallen. Het gebruik van unieke wachtwoorden voor elke site of service klinkt misschien als een gedoe, maar wachtwoordmanagers maken het gemakkelijk.
2FA is ook mogelijk bij veel online accounts. Gebruik het waar u . Zelfs als iemand erin slaagt om een wachtwoord te stelen, zorgt 2FA voor een extra muur in de weg. Het betekent meestal dat u een code invoert die naar een telefoon of e-mail wordt gestuurd, waardoor het moeilijker wordt voor aanvallers om ongemerkt in te breken (tenzij ze al in uw e-mailaccount zitten).
Het helpt ook om op de hoogte te blijven. De scanner voor digitale voetafdrukken biedt onder andere Dark Web waarmee u controleren of uw e-mail of referenties zijn vrijgegeven bij bekende datalekken. Het is een handige manier om bedreigingen voor te blijven en te weten wanneer het tijd is om wachtwoorden bij te werken, en het is gemakkelijk om uw e-mailadres te zoeken en te zien waar het voorkomt in lekken.
Gerelateerde artikelen:
uw burgerservicenummer is al bekend - wat nu?
Ik denk dat mijn telefoon gehackt is | Help! Tekenen van een gehackte telefoon