Penjejalan kredensial adalah jenis serangan dunia maya yang melibatkan 'memasukkan' kredensial curian ke beberapa situs web.
Alat seperti bot telah memungkinkan peretas untuk mengotomatiskan isian, memungkinkan mereka menguji jutaan kredensial masuk terhadap lusinan situs dalam waktu singkat. Inilah yang perlu Anda ketahui tentang serangan ini dan cara sederhana untuk melindungi diri Anda sendiri.
Apa itu Credential Stuffing?
Penjejalan kredensial melibatkan menjejalkan banyak koleksi kata sandi dan nama pengguna curian ke beberapa situs web. Mereka bergantung pada pelanggaran monster dan kebocoran yang dijajakan di web gelap untuk data mereka. Tujuannya adalah untuk menggunakan jutaan kombinasi login dan nama pengguna dari kebocoran sebelumnya untuk menyusup ke situs lain.
Tahukah Anda bahwa penggunaan kembali #passwords dan kekurangan #multifactorauthentication membuka jalan untuk #credentialstuffing serangan. Faktanya, FBI mengatakan 41% dari semua serangan sektor keuangan antara 2017 dan 2020 disebabkan oleh penjejalan kredensial.
https://t.co/h99KM6RPL7pic.twitter.com/4IEEEwbZ2n- Simon Heslop (@ supersi101) 9 Desember 2020
Mereka mengandalkan satu kesalahan manusia untuk membuat serangan mereka berhasil — menggunakan nama pengguna dan / atau sandi yang sama di beberapa situs. Menurut penelitian, 85 persen kekalahan dari semua pengguna mendaur ulang kata sandi mereka di akun yang berbeda.
Dan pemikiran semacam inilah yang memungkinkan penjahat dunia maya menggunakan kredensial masuk dari satu pelanggaran situs web untuk masuk ke layanan lain.
Tingkat keberhasilannya cukup rendah pada 0,1 hingga sekitar 2 persen. Ini berarti bahwa untuk setiap juta kredensial login yang diuji, hanya sekitar 1.000 kredensial yang dapat digunakan untuk masuk ke situs web lain. Tetapi yang membuat upaya mereka sepadan adalah tambang emas data yang dapat mereka kumpulkan dari setiap akun yang mereka infiltrasi.
Katakanlah mereka berhasil meretas sekitar seribu akun dan ini memiliki informasi perbankan atau kredensial kartu kredit. Mereka dapat menyedot dana atau menggunakannya untuk melakukan bentuk penipuan lainnya. Informasi Identitas Pribadi (PII) lainnya seperti nomor jaminan sosial atau informasi pajak dapat digunakan untuk melakukan kejahatan seperti pencurian identitas.
Penjahat dunia maya memonetisasi apa pun yang mereka temukan di setiap akun yang membuat serangan itu sepadan dengan usaha meskipun tingkat pencocokan login sangat rendah.
Bagaimana Serangan Stuffing Dilakukan?
Tentu saja, peretas tidak secara manual memasukkan kredensial login yang dicuri satu per satu ke dalam akun lain situs web karena mereka membutuhkan jutaan (atau bahkan miliaran) kredensial login yang dicuri untuk melakukan serangan setimpal.
Sebagai gantinya, kredensial yang diretas dari pelanggaran data dimuat ke botnet yang meluncurkan upaya login otomatis. Mereka kemudian menggunakan alat lebih lanjut untuk menghindari deteksi.
Terkait: Apa Itu Botnet dan Apakah Komputer Anda Bagian dari Satu?
Botnet adalah sumber utama malware, ransomware, spam, dan banyak lagi. Tapi apa itu botnet? Bagaimana mereka muncul? Siapa yang mengontrol mereka? Dan bagaimana kita bisa menghentikan mereka?
Botnet tunggal dapat melakukan ribuan upaya masuk per jam. Misalnya, serangan penjejalan kredensial pada tahun 2016 menggunakan botnet yang mengirimkan lebih dari 270.000 permintaan login di beberapa situs per jam.
Bagaimana Serangan Stuffing Menghindari Deteksi?
Sementara banyak situs menggunakan langkah-langkah keamanan untuk mendeteksi banyak login nakal, peretas telah menemukan cara untuk menghindari tindakan ini.
Daftar proxy digunakan untuk memantulkan permintaan dan menutupi sumber atau, sederhananya, membuat permintaan login tampak seperti berasal dari lokasi yang berbeda. Mereka juga menggunakan alat lain untuk membuatnya tampak seperti upaya masuk multipel yang berasal dari browser berbeda.
Ini dilakukan karena beberapa upaya masuk dari hanya satu jenis browser (seribu per jam, misalnya) terlihat mencurigakan dan memiliki peluang lebih besar untuk ditandai sebagai penipuan.
Semua teknik ini meniru aktivitas masuk yang sah dari ribuan pengguna di berbagai lokasi. Ini membuat vektor serangan menjadi sederhana, namun sulit untuk dideteksi.
Apa Perbedaan Antara Serangan Kredensial dan Serangan Brute Force?
Credential Stuffing adalah sub-jenis serangan brute force yang jauh lebih kuat karena lebih bertarget.
Serangan brute force pada dasarnya melibatkan menebak kata sandi menggunakan kombinasi karakter acak yang berbeda. Mereka menggunakan perangkat lunak otomatis untuk membuat beberapa tebakan dengan menguji beberapa kemungkinan kombinasi hingga kata sandi ditemukan. Itu dilakukan tanpa konteks.
#credentialstuffing#cybersecurityminiseries#ntellitechs#infografis#techpic.twitter.com/IPuiyja79v
- Ntellitechs (@ntellitechs) 7 Desember 2020
Di sisi lain, isian kredensial menggunakan detail login dan kata sandi dari pelanggaran data sebelumnya. Mereka menggunakan pasangan kata sandi-nama pengguna dari kebocoran dari satu situs web dan kemudian mengujinya di layanan lain.
Meskipun menggunakan kata sandi yang kuat dapat melindungi Anda dari serangan brute force, ini tidak berguna jika Anda menggunakan kata sandi yang sama di situs web lain, saat serangan isian diluncurkan.
Apa Perbedaan Antara Penjejalan Kredensial dan Pembuangan Kredensial?
Meskipun kelihatannya sama, credential dumping adalah jenis serangan berbeda yang menargetkan satu titik masuk atau mesin untuk menyusup ke jaringan.
Sementara isian kredensial menggunakan beberapa kredensial masuk dari pelanggaran sebelumnya untuk masuk ke yang lain situs web, pembuangan kredensial melibatkan masuk ke satu mesin dan mengekstraksi banyak login kredensial.
Ini dilakukan dengan mengakses kredensial yang disimpan dalam cache di banyak registri komputer atau mengekstrak kredensial dari database Security Account Manager (SAM). Yang terakhir berisi semua akun yang dibuat dengan kata sandi yang disimpan sebagai hash.
Tujuan serangan credential dumping adalah mendapatkan pijakan ke jaringan atau masuk ke komputer lain dalam sistem. Setelah menarik kredensial masuk dari satu mesin, peretas dapat masuk kembali ke perangkat atau mendapatkan akses ke seluruh jaringan untuk menyebabkan lebih banyak kerusakan.
Tidak seperti isian, serangan dumping kredensial menggunakan satu titik masuk, satu mesin dengan kerentanan yang belum ditambal untuk menyusup ke jaringan.
TERKAIT: Apa Itu Credential Dumping? Lindungi Diri Anda Dengan 4 Tips Ini
Bagaimana Anda Melindungi Diri Anda Dari Serangan Stuffing?
Bagi sebagian besar pengguna, cara terbaik dan termudah untuk melindungi diri Anda sendiri adalah dengan menggunakan sandi unik untuk setiap situs web atau akun. Paling tidak, lakukan ini untuk mereka yang memiliki informasi sensitif seperti detail perbankan atau kartu kredit.
Mengaktifkan otentikasi dua faktor (2FA) atau otentikasi banyak faktor (MFA) membantu membuat pengambilalihan akun lebih sulit bagi peretas. Ini bergantung pada cara validasi sekunder, yaitu mengirim kode ke nomor telepon Anda serta meminta nama pengguna dan kata sandi Anda.
Jika Anda merasa mengingat banyak kata sandi dan nama pengguna membingungkan, Anda dapat menggunakan pengelola kata sandi yang andal. Jika Anda tidak yakin tentang keamanan mereka, lihat metode aman yang digunakan pengelola kata sandi.
Atau coba pengelola kata sandi sumber terbuka.
Lindungi Kata Sandi Anda
Kata sandi Anda seperti kunci rumah Anda. Itu harus unik, kuat, dan yang terpenting, Anda harus menyimpannya di tempat yang aman setiap saat.
Ini juga harus mudah diingat dan aman. Anda dapat menjelajahi berbagai alat kata sandi yang dapat membantu Anda membuat kata sandi yang unik namun mudah diingat yang sulit diretas oleh peretas.
Buat kata sandi yang kuat yang dapat Anda ingat nanti. Gunakan aplikasi ini untuk meningkatkan keamanan Anda dengan kata sandi baru yang kuat hari ini.
- Keamanan
- Keamanan Online
Loraine telah menulis untuk majalah, surat kabar, dan situs web selama 15 tahun. Dia memiliki gelar master dalam teknologi media terapan dan minat dalam media digital, studi media sosial, dan keamanan siber.
Berlangganan newsletter kami
Bergabunglah dengan buletin kami untuk mendapatkan tip teknologi, ulasan, ebook gratis, dan penawaran eksklusif!
Satu langkah lagi…!
Harap konfirmasi alamat email Anda di email yang baru saja kami kirimkan kepada Anda.
