BLOG – Inloggegevens – zoals gebruikersnamen, e-mailadressen en wachtwoorden – vallen regelmatig in verkeerde handen. Voor cybercriminelen zijn deze gegevens een goudmijn, omdat ze hiermee eenvoudig toegang krijgen tot netwerken en belangrijke data. Dit kan weer leiden tot de overname van een account, identiteitsdiefstal, financieel verlies en datalekken. Bovendien zijn de gegevens handelswaar, waardoor de gevolgen verder toenemen. Daarom een overzicht van welke stappen cybercriminelen ondernemen om inloggegevens te misbruiken.
- Stap 1: Inloggegevens stelen
In Q3 van 2024 had driekwart van de GreyMatter Digital Risk Protection (DRP)-waarschuwingen in ons klantenbestand betrekking op inloggegevens. Ter vergelijking: gemarkeerde documenten, die op de tweede plek stonden, vormden negen procent van alle waarschuwingen. Het is dus essentieel om te begrijpen hoe inloggegevens worden gecompromitteerd en je omgeving hier beter tegen te beschermen. De twee meest voorkomende methoden om inloggegevens te stelen zijn infostealers en datalekken.
Infostealers verzamelen persoonlijke, financiële en zakelijke gegevens – zoals wachtwoorden, creditcardnummers en browsegeschiedenis – van gecompromitteerde systemen. Ze komen vaak systemen binnen via phishingmails of gecompromitteerde websites en werken op de achtergrond, waardoor het moeilijk is om ze te detecteren. Gestolen inloggegevens belanden vaak op cybercriminele marktplaatsen voordat bedrijven door hebben dat er wat gestolen is. Van Q3 tot Q4 2023 zagen we een stijging van dertig procent in marktplaatsvermeldingen voor ‘stealer logs’. Deze stijging geeft aan hoe effectief infostealers zoals LummaC2, RedLine en Raccoon zijn om gevoelige gegevens te verzamelen.
Telegram is favoriet voor het verkopen en lekken van inloggegevens
Bij datalekken stelen cybercriminelen grote hoeveelheden gevoelige informatie. Vervolgens verkopen ze deze op cybercriminele fora, marktplaatsen en andere illegale kanalen, waardoor anderen de gegevens ook kunnen misbruiken. Vaak treft een datalek meer dan alleen het directe doelwit. Veel organisaties delen gegevens met externe verkopers, partners of dienstverleners. Als een van hen is gecompromitteerd, kan de inbreuk de gegevens van meerdere organisaties blootleggen, waardoor de schaal en impact van een aanval toenemen.
Om wachtwoorden veilig te houden, moet worden voorkomen dat gegevens in browsers worden opgeslagen, waar ze makkelijker toegankelijk zijn voor cybercriminelen. Gebruik in plaats daarvan speciale wachtwoordmanagers. Beveiligingsteams moeten ook het uitgaande verkeer controleren op communicatie met command-and-control-infrastructuur om gecompromitteerde machines in een vroeg stadium te detecteren en verder dataverlies te voorkomen.
- Stap 2: Inloggegevens verhandelen
Cybercriminelen verkopen of verspreiden gestolen inloggegevens vaak op meerdere platforms, waaronder berichtendiensten zoals Telegram, cybercriminele fora en gespecialiseerde marktplaatsen.
Telegram is favoriet voor het verkopen en lekken van inloggegevens. Er zijn veel Telegram-kanalen, waardoor het lastig is om ze te traceren en het risico op wijdverspreide blootstelling toeneemt. Bovendien maakt het hoge verloop van Telegram-kanalen dat het ingewikkeld en tijdrovend is om ze te monitoren. GreyMatter DRP (in te zien na het achterlaten van gegevens) houdt voortdurend een vinger aan de pols van een groot aantal Telegram-kanalen om vermeldingen van gelekte inloggegevens en andere bedrijfseigen gegevens op te vangen. Het geeft waarschuwingen wanneer het overeenkomsten vindt met assets van klanten. Deze proactieve aanpak helpt organisaties snel gecompromitteerde inloggegevens te identificeren en accounts te beveiligen.
Op veel cybercriminele fora worden inloggegevens aangeboden, denk aan XSS, Exploit en de Engelstalige BreachForums. De bronnen van de gegevens worden meestal niet bekendgemaakt, hoewel sommige gebruikers op BreachForums de verantwoordelijkheid opeisen voor specifieke hacks. Dit drijft de verkoopprijs van de gegevens op, vooral als bekend is dat de gebruiker regelmatig nieuwe gegevens vrijgeeft.
Bij de gespecialiseerde cybercriminele marktplaatsen onderscheidt Russian Market zich door de verkoop van logs van gecompromitteerde inloggegevens. Het geeft gedetailleerde informatie over de herkomst van de gelekte gegevens, inclusief het type infostealer dat is gebruikt en de internetprovider en locatie van de diefstal.
- Stap 3: Inloggegevens misbruiken
Twee van de meest voorkomende methoden om gestolen inloggegevens te misbruiken, zijn het misbruiken van geldige accounts en credential stuffing. Zodra cybercriminelen toegang hebben tot een netwerk, kunnen ze zich lateraal verplaatsen om andere hosts en servers aan te vallen. Ze doen zich voor als legitieme gebruikers, waardoor het moeilijk is om systeem- of netwerkafwijkingen op tijd te detecteren en ze langer in het netwerk kunnen blijven. Ze kunnen breder toegang krijgen tot het systeem en gevoelige gegevens stelen of ransomware implementeren.
Bij credential stuffing hergebruiken cybercriminelen inloggegevens die zijn gestolen bij andere inbreuken om toegang te krijgen tot specifieke accounts. Dit levert dus problemen op als mensen wachtwoorden hergebruiken voor persoonlijke en zakelijke accounts. Cybercriminelen gebruiken geautomatiseerde tools om enorme aantallen gebruikersnaam- en wachtwoordparen te testen op verschillende aanmeldingsformulieren, in de hoop op een overeenkomst en dus op een nieuw doelwit. Ondanks de vele authenticatiefouten en blokkering van accounts, blijft credential stuffing populair vanwege het potentiële succes. Met behulp van beveiligingsvragen, herstelmails of andere persoonlijke informatie die is gevonden in gelekte gegevens, kunnen cybercriminelen bovendien proberen wachtwoorden van bedrijfsaccounts opnieuw in te stellen, zelfs als de wachtwoorden niet opnieuw worden gebruikt. Zo kunnen ze bedrijfsaccounts compromitteren en toegang krijgen tot gevoelige informatie of interne phishing-e-mails versturen vanaf gecompromitteerde accounts.
Blik op de toekomst
Er zijn veranderingen op komst. Telegram introduceert beleid om gebruikersgegevens te delen met wetshandhavingsinstanties en de politie trad recent op tegen infostealer RedLine.
Een nog grotere verandering is de mogelijke verschuiving van traditionele wachtwoorden naar ‘passkeys’, die cryptografie met openbare sleutels gebruiken om de beveiliging te verbeteren. Deze technologie belooft betere beveiliging, maar wijdverspreid gebruik binnen twaalf tot achttien maanden is onwaarschijnlijk. Traditionele methoden voor misbruik van inloggegevens zullen dus risico’s blijven vormen. Door robuuste beveiligingsmaatregelen te implementeren kunnen organisaties hun belangrijke assets beschermen. Het aanpassen en verbeteren van beveiliging is essentieel om de dynamische tactieken van cybercriminelen die inloggegevens willen stelen, verhandelen of misbruiken tegen te gaan.
Jim Wilson is cyber threat intelligence analyst bij ReliaQuest
