Hoe afhankelijker bedrijven zijn van internet, hoe groter de baten voor hackers uit cyberaanvallen. Daarom neemt dit soort aanvallen nog altijd toe. Hoewel phishing, zeker in het huidige klimaat, nog redelijk succesvol is, is een ander type aanval sterk in opkomst: credential stuffing.
In 1995 betoogt Clifford Stoll in het fameuze Newsweek-artikel ‘Why the Web Won’t be Nirvana’ dat het internet (hoewel leuk) een bel is die op barsten staat. Ook Robert Metcalfe, de uitvinder van ethernet, was ervan overtuigd dat internet zou imploderen. Maar het liep anders en de impact gaat veel verder dan Stoll en Metcalfe ooit hadden kunnen voorspellen. En dat is precies de reden waarom cybersecurity zo’n hoofdpijndossier is voor de moderne ciso.
Dit is credential stuffing
Credential stuffing-aanvallen automatiseren grootschalige inlogpogingen door gebruik te maken van accountgegevens die door eerdere datalekken op straat zijn komen te liggen. Het is geen brute force-aanval waarbij naar wachtwoorden wordt geraden. Het is een beredeneerde gok, gebaseerd de gewoonte van gebruikers om op meerdere platforms en voor meerdere accounts dezelfde inloggegevens te gebruiken.
In dit spel hebben de hackers de beste kaarten. Want hoewel consumenten vaak genoeg op de risico’s worden gewezen, blijven zij voor verschillende websites en applicaties stug hetzelfde wachtwoord gebruiken in plaats van voor elk account een nieuw wachtwoord te bedenken. Natuurlijk: één of twee wachtwoorden zijn lekker makkelijk te onthouden, maar op deze manier wordt het cybercriminelen wel heel makkelijk gemaakt.
In de afgelopen vijf jaar zijn er ongeveer 360 datalekken geweest, waarbij zo’n drie miljard accounts en 550 miljoen unieke wachtwoorden op straat kwamen te liggen. Daar zijn lijsten van gemaakt die relatief makkelijk te vinden zijn als je weet waar je moet zoeken. Ook de ip-proxydiensten die aanvallers gebruiken om databeperkingen en firewalls te omzeilen, zijn goedkoop, gemakkelijk te vinden en effectief. Al voor dertig dollar per maand kun je deze diensten afnemen en heb je toegang tot miljoenen ip-adressen. Bovendien zijn credential stuffing-aanvallen complex en moeilijk te voorkomen.
Uit een onderzoek naar credential stuffing door het Ponemon Institute blijkt dat meer dan tachtig procent van de bedrijven het moeilijk vindt om deze aanvallen op te sporen of te herstellen, met als resultaat gemiddeld zes miljoen dollar aan kosten per jaar per bedrijf.
Ken je vijand
Credential stuffing verloopt onopvallend, waardoor het ongelooflijk lastig is om onderscheid te maken tussen een aanval of een normale inlogpoging. Vooral bij websites met veel verkeer is het niet gek als er ineens een piek in het aantal inlogpogingen te zien is. Bedrijven die aanvallen proberen af te wenden, moeten dus de vreemde eend in de bijt eruit weten te vissen. Dit kan door de metrics goed in de gaten te houden; worden er ineens heel veel verkeerde wachtwoorden ingevoerd, komen er veel inlogverzoeken vanaf één ip-adres of probeert iemand in te loggen vanaf ongebruikelijke locaties? Dan moeten de alarmbellen afgaan.
Je moet ook in staat zijn het verschil te zien tussen menselijke fouten en een geautomatiseerde aanval. Door het verkeer op je website te analyseren (wat gebeurt er normaal gesproken in een uur, waar liggen de pieken, wat zijn de volumes?) pik je de afwijkingen er sneller uit. Ziet een retailer bijvoorbeeld dat er om twee uur ’s nachts uitzonderlijk veel verkeer op zijn website was, dan is er waarschijnlijk iets aan de hand – de meeste mensen slapen ’s nachts, geautomatiseerde aanvallen niet.
Touwtjes in handen
Een simpele, vaak geadviseerde maar ook veel vergeten methode is het opnieuw instellen van wachtwoorden. Veel bedrijven verplichten hun werknemers om de wachtwoorden regelmatig aan te passen, meestal eens in de drie tot zes maanden. Waterdicht is het niet, maar het maakt oudere lijsten met inloggegevens wel minder effectief.
Voor consumenten is het een lastiger verhaal. Een retailer die zijn klanten dwingt drie tot vier keer per jaar het wachtwoord van hun app te wijzigen, kan inkomsten mislopen omdat zijn klanten dat te veel gedoe vinden en afhaken. Ook al zouden bedrijven het doen om hun klanten te beschermen, de huidige consument wil er niet mee lastiggevallen worden. Aan de andere kant willen bedrijven koste wat het kost voorkomen dat zij een slechte naam krijgen omdat zij de gegevens van klanten niet goed beschermen.
Vier beschermingslagen
Het advies is om in verschillende lagen bescherming in te bouwen. Een aantal voorbeelden.
- Bot detection
Met bot detection kun je verdachte aanvragen in twijfel trekken en zelfs blokkeren. Hiermee bouw je een eerste vertragende laag in, nog voordat de loginaanvragen verwerkt worden.
- Ip velocity
Wanneer er wordt gedetecteerd dat een bepaald aantal foutieve inlogpogingen vanaf hetzelfde ip-adres komt, of wanneer je weet hebt van onbetrouwbare/malafide ip-adressen, kan je deze adressen blokkeren.
- Gestolen-wachtwoorddetectie (breached passwords)
Hierbij worden inlogpogingen opgespoord met behulp van gebruikersnaam-wachtwoordcombinaties waarvan bekend is dat ze eerder zijn buitgemaakt. Een nuttig hulpmiddel, maar wel een waar je een service of provider voor nodig hebt die zijn database zorgvuldig up-to-date houdt. Alleen dan kun je effectief ten strijde trekken in een wereld waar elke week wel een grote dataroof lijkt plaats te vinden.
Bedrijven kunnen ervoor kiezen de klant een seintje te geven als hij een eerder gehackte gebruikersnaam-wachtwoordcombinatie gebruikt en hem verzoeken een nieuw wachtwoord aan te maken. Dit ervaart de consument vaak wél als positief.
- Multi-factorauthenticatie (mfa)
De beste bescherming tegen credential stuffing is multi-factorauthenticatie (mfa). Accounts die beveiligd zijn met mfa, zijn bijzonder moeilijk op grote schaal te kraken. Hackers hebben namelijk niet alleen de inloggegevens nodig, maar ook het toestel – meestal een mobiele telefoon – voor de tweede factor. Door mfa kost het hackers veel tijd en energie om bij de accounts te komen, in elk geval op de schaal die ze nodig hebben om er wat aan te verdienen. En dat schrikt af.
Mfa kan verplicht worden ingezet, maar in het geval van consumenten ook optioneel worden aangeboden. Door de consument niets te verplichten, ervaart hij het niet als een last, maar geef je als bedrijf wel een duidelijk signaal af dat je je zorgen maakt om zijn digitale veiligheid.
Samengevat
Door hacks als WannaCry is phishing de meest herkenbare vorm van een cyberaanval. Maar internet en zijn dreigingslandschap veranderen dagelijks. Makkelijk beschikbare tools, automatisering en een karig geïnformeerde gebruiker willen dat credential stuffing de laatste jaren bijna exponentieel is toegenomen.
Bescherming begint bij educatie. Meer digitale hygiëne onder gebruikers – of dat nu werknemers zijn of consumenten – vermindert de dreiging. Wachtwoorden vervangen in plaats van ze te blijven hergebruiken, voorkomt dat accounts worden gekraakt. Daarbij kunnen tools, zoals passwordmanagers, voor meerdere accounts unieke en ingewikkelde wachtwoorden genereren die je niet hoeft te onthouden.
Securityteams moeten ook stappen zetten; het is hun taak om voor gebruikers een veilige omgeving te creëren. Maak gebruik van detectietools en -processen om mogelijke credential stuffing-aanvallen in een vroeg stadium op te sporen. Controleer inloggegevens op afwijkingen die erop wijzen dat er een aanval gaande is. Organiseer een security awareness-training om het risico te verkleinen, en laat mfa de overgrote meerderheid van de gebruikers beschermen tegen een credential stuffing-aanval.
