Credential stuffing atau pengisian kredensial adalah metode serangan siber yang dilakukan oleh penyerang dengan menggunakan daftar kredensial pengguna yang disusupi untuk membobol sistem.
Serangan ini menggunakan bot untuk otomatisasi dan skalabilitas, serta didasarkan pada asumsi bahwa banyak pengguna menggunakan kembali nama pengguna dan kata sandi di beberapa layanan. Statistik menunjukkan bahwa sekitar 0,1% kredensial yang dibobol pada layanan lain akan menghasilkan login yang berhasil.
Pengisian credential stuffing merupakan vektor ancaman yang meningkat karena dua alasan utama:
- Ketersediaan basis data kredensial yang sangat besar, misalnya, “Koleksi #1-5” yang membuat 22 miliar kombinasi nama pengguna dan kata sandi tersedia secara terbuka dalam bentuk teks biasa bagi komunitas peretas.
- Bot yang lebih canggih yang secara bersamaan mencoba beberapa login, dan tampaknya berasal dari alamat IP yang berbeda. Bot ini sering kali dapat menghindari langkah-langkah keamanan sederhana seperti memblokir alamat IP dengan terlalu banyak login yang gagal.
Baca juga: Serangan Phising Kredensial |
Credential Stuffing Vs Serangan Brute Force
Perlu diketahui bahwa credential stuffing mirip dengan serangan brute force, tetapi ada beberapa perbedaan penting:
- Bahwa serangan brute force mencoba menebak kredensial tanpa konteks, menggunakan string acak, pola kata sandi yang umum digunakan, atau kamus frasa umum
- Serangan brute force berhasil jika pengguna memilih kata sandi yang sederhana dan dapat ditebak
- Pada serangan brute force tidak memiliki konteks dan data dari pelanggaran sebelumnya, sehingga tingkat keberhasilan loginnya jauh lebih rendah
Dalam aplikasi web modern dengan langkah-langkah keamanan dasar, serangan brute force cenderung gagal, sementara serangan credential stuffing dapat berhasil. Alasannya adalah meskipun Anda menerapkan kata sandi yang kuat, pengguna dapat berbagi kata sandi tersebut di seluruh layanan, yang mengarah pada kompromi.
Cara Kerja Credential Stuffing atau Pengisian Kredensial
Berikut adalah proses umum yang diikuti oleh penyerang dalam serangan credential stuffing skala besar. Penyerang:
Menyiapkan bot yang dapat secara otomatis login ke beberapa akun pengguna secara paralel, sambil memalsukan alamat IP yang berbeda. Menjalankan proses otomatis untuk memeriksa apakah kredensial yang dicuri berfungsi di banyak situs web. Dengan menjalankan proses secara paralel di beberapa situs, mengurangi kebutuhan untuk berulang kali masuk ke satu layanan.
Memantau login yang berhasil dan memperoleh informasi identitas pribadi, kartu kredit, atau data berharga lainnya dari akun yang disusupi.
Menyimpan informasi akun untuk penggunaan di masa mendatang, misalnya, serangan phishing atau transaksi lain yang dimungkinkan oleh layanan yang disusupi.
Pencegahan Pengisian Kredensial
Langkah-langkah berikut dapat membantu Anda melindungi situs web Anda dari serangan pengisian kredensial.
Baca juga: Akses Kredensial |
Autentikasi Multifaktor (MFA)
Meminta pengguna untuk mengautentikasi dengan sesuatu yang mereka miliki, selain sesuatu yang mereka ketahui, merupakan pertahanan terbaik terhadap penjejalan kredensial.
Bot penyerang tidak akan dapat menyediakan metode autentikasi fisik, seperti ponsel atau token akses. Dalam banyak kasus, tidak memungkinkan untuk meminta autentikasi multifaktor untuk seluruh basis pengguna.
Jika demikian, hal tersebut dapat dikombinasikan dengan teknik lain, misalnya, MFA hanya dapat diterapkan dalam kombinasi dengan sidik jari perangkat.
Gunakan CAPTCHA
CAPTCHA, yang mengharuskan pengguna untuk melakukan tindakan guna membuktikan bahwa mereka manusia, dapat mengurangi efektivitas credential stuffing.
Namun, peretas dapat dengan mudah melewati CAPTCHA dengan menggunakan browser tanpa kepala. Seperti MFA, CAPTCHA dapat dikombinasikan dengan metode lain dan diterapkan hanya dalam skenario tertentu.
Sidik Jari PerangkatAnda dapat menggunakan JavaScript untuk mengumpulkan informasi tentang perangkat pengguna dan membuat “sidik jari” untuk setiap sesi yang masuk.
Sidik jari adalah kombinasi parameter seperti sistem operasi, bahasa, browser, zona waktu, agen pengguna, dll. Jika kombinasi parameter yang sama dicatat beberapa kali secara berurutan, kemungkinan besar itu adalah serangan brute force atau credential stuffing.
Jika Anda menggunakan sidik jari ketat dengan beberapa parameter, Anda dapat menerapkan tindakan yang lebih berat, seperti memblokir IP.
Untuk menangkap lebih banyak serangan, Anda dapat menggunakan kombinasi 2-3 parameter umum, dan menerapkan tindakan yang tidak terlalu berat seperti pemblokiran sementara. Kombinasi sidik jari yang umum adalah Sistem Operasi + Geolokasi + Bahasa.
Daftar Hitam IP
Penyerang biasanya memiliki kumpulan alamat IP yang terbatas, jadi pertahanan efektif lainnya adalah memblokir atau mengunci IP yang mencoba masuk ke beberapa akun.
Anda dapat memantau beberapa IP terakhir yang digunakan untuk masuk ke akun tertentu dan membandingkannya dengan IP yang diduga buruk, untuk mengurangi positif palsu.
Baca juga: Verifikasi Kredensial |
Rate-Limit Non-Residential Traffic Sources
Sangat mudah untuk mengidentifikasi lalu lintas yang berasal dari Amazon Web Services atau pusat data komersial lainnya. Lalu lintas ini hampir pasti merupakan lalu lintas bot dan harus ditangani dengan lebih hati-hati daripada lalu lintas pengguna biasa. Terapkan batas kecepatan yang ketat dan blokir atau larang IP dengan perilaku yang mencurigakan.
Blokir Browser Headless
Peramban tanpa kepala seperti PhantomJS dapat dengan mudah diidentifikasi melalui panggilan JavaScript yang digunakannya. Blokir akses ke peramban tanpa kepala karena mereka bukan pengguna yang sah, dan hampir pasti menunjukkan perilaku yang mencurigakan.
Larang Alamat Email sebagai ID Pengguna
Credential stuffing bergantung pada penggunaan kembali nama pengguna atau ID akun yang sama di seluruh layanan. Hal ini lebih mungkin terjadi jika ID tersebut adalah alamat email.
Dengan mencegah pengguna menggunakan alamat email mereka sebagai ID akun, Anda secara drastis mengurangi kemungkinan mereka menggunakan kembali pasangan pengguna/kata sandi yang sama di situs lain.
Sumber berita: