Bedrijven zijn gemiddeld vier miljoen dollar per jaar kwijt aan credential stuffing-aanvallen, een methode waarbij bots gestolen inloggegevens gebruiken om op andere websites in te loggen om bijvoorbeeld frauduleuze aankopen te doen. Dit blijkt uit onderzoek van Akamai. Jay Coley, directeur securityplanning en -strategie van Akamai Technologies voor deze vorm van cybercrime, beantwoordt vijf vragen.
Wat is credential stuffing?
‘Bij credential stuffing wordt gebruikgemaakt van de waarschijnlijkheid dat individuen dezelfde gebruikersnaam en hetzelfde wachtwoord gebruiken voor verschillende applicaties, websites en diensten. Cybercriminelen gebruiken de gestolen inloggegevens en zetten bots in om op andere platforms in te loggen met deze gegevens. Op het moment dat ze toegang hebben, maken cybercriminelen misbruik van het account tot de eigenaar het in de gaten heeft. Vaak worden er frauduleuze aankopen gedaan of wordt er vertrouwelijke informatie gestolen.’
Wat is het gevaar van deze cyberaanval?
‘Cybercriminelen maken in toenemende mate gebruik van botnets om lijsten met gebruikersnaam en wachtwoorden op het darkweb te vergelijken met lijsten van de loginpagina’s van andere organisaties, waardoor de impact van een hack groter wordt. Het is duidelijk dat organisaties een verantwoordelijkheid hebben om deze aanvallen aan te pakken. Niet alleen om hun klanten en medewerkers te beschermen, maar ook hun eigen organisatie.’
Hoeveel kost credential stuffing bedrijven op jaarbasis?
‘Bedrijven hebben per maand te maken met gemiddeld elf aanvallen. Elke aanval richt zich op gemiddeld 1041 gebruikersaccounts en kan leiden tot kostbare downtime van applicaties (1,2 miljoen dollar), verlies van klanten (1,6 miljoen dollar) en betrokkenheid van it-security (1,2 miljoen dollar). Gezamenlijk resulteert dit in jaarlijkse kostenposten vier miljoen dollar, naast de directe kosten van fraude.’
Waarom kunnen organisaties de bots niet vinden?
‘De meeste organisaties hebben te maken een complexe attack surface. Recent onderzoek (zie kader) laat zien dat bedrijven gemiddeld 26,5 klantgeoriënteerde websites hebben draaien, waardoor er veel mogelijkheden zijn voor bots om in te breken. Het begrijpen van webarchitectuur en weten hoe klanten via verschillende pagina’s bij hun login endpoint uitkomen, is essentieel voor het succesvol beperken van credential stuffing-aanvallen en het onder controle houden van de kosten.
Daarnaast wordt de attack surface nog complexer omdat bedrijven inloggegevens moeten verschaffen voor verschillende soorten klanten, waaronder klanten die gebruikmaken van een desktop of een laptop, mobiele web browsers, apparaten van derden en gebruikers van mobiele apps.
Organisaties hebben bovendien moeite met het vinden van de oplichters. De meerderheid heeft moeite om echte werknemers en klanten te onderscheiden van oplichters. Dit wordt verder bemoeilijkt doordat niet duidelijk is wie binnen het bedrijf verantwoordelijkheid draagt. Uit het onderzoek blijkt dat bij 37 procent van de organisaties niemand de leiding heeft over het vinden en voorkomen van credential stuffing-aanvallen.’
Hoe beveilig je de organisatie tegen credential stuffing?
‘De beste manier om een bot te verslaan, is deze te benaderen om wat het is: niet-menselijk. De meeste bots gedragen zich niet zoals mensen, maar hun methodes worden wel geavanceerder. Daarom hebben bedrijven botmanagementtools nodig om gedrag te monitoren en bots van echte loginpogingen te onderscheiden. In plaats van de standaardinlogsystemen die alleen controleren of namen en wachtwoorden bij elkaar horen, moeten ze kijken naar toetspatronen, muisbewegingen en zelfs de oriëntatie van mobiele devices. De potentiële kosten lopen in de miljoenen, dus de noodzaak om deze bots te identificeren en te stoppen is nog nooit zo groot geweest.’
Over het onderzoek
Ponemon Institute heeft in opdracht van Akamai 544 it-securityprofessionals ondervraagd in Europa, het Midden-Oosten en Afrika die bekend zijn met credential stuffing-aanvallen en verantwoordelijk zijn voor de beveiliging van bedrijfswebsites.