Credential stuffing loopt zwaar uit de hand. In sommige landen gaat het zelfs zo ver dat het aantal valse inlogpogingen de legitieme overstijgt.
Een onderzoeksrapport van Okta, een platform voor digitale identificatie, bevat enkele alarmerende statistieken over online identiteitsfraude. Tijdens de eerste 90 dagen van 2022 ontdekte het bedrijf 10 miljard valse inlogpogingen. Zogenaamde ‘credential stuffing’-aanvallen hebben daarmee een aandeel van 34 procent in het totale aantal inlogpogingen via de platformen van Okta.
Wat is credential stuffing?
Credential stuffing is een veel minder agressieve aanvalstechniek dan bijvoorbeeld phishing. Het grote verschil is dat bij een credential stuffing de aanvallers je inloggegevens al te pakken hebben (of menen te hebben) voor ze hun aanval inzetten. Ze profiteren van vroegere datalekken om je mailadres al één of enkele wachtwoorden te koppelen.
Die verschillende inlogcombinaties gaan ze dan, veelal met de hulp van geautomatiseerde bots, in het wilde weg uitproberen op andere websites. De aanvallers rekenen er dus in feite op dat je je wachtwoorden hergebruikt voor meerdere accounts. Hoewel dit een hoofdzonde is in de cybersecurity, recycleren consumenten nog zeer vaak hun wachtwoorden omdat het nu eenmaal eenvoudiger is om slechts een paar wachtwoorden te moeten houden.
De teller loopt op
In de praktijk zal een credential stuffing-aanval zelden van de eerste keer lukken. Zo loopt de teller van het aantal valse inlogpogingen sneller op. Volgens Okta ligt het aantal valse inlogpogingen in de Verenigde Staten in 2022 zelfs hoger dan het aantal legitieme inlogpogingen. De aanvalstechniek komt het vaakst voor bij e-commerceplatformen.
Credential stuffing kan ook voor webbeheerders vervelende gevolgen hebben. Een ongewoon aantal hoog inlogpogingen zet het verificatiesysteem van websites onder zware druk, waardoor latentie ontstaat en de gebruikservaring van webbezoekers verslechtert.
Gebruik MFA
Okta raadt zowel gebruikers als webbeheerders aan om waar mogelijk MFA in te schakelen voor hun accounts. Hoewel MFA ook niet honderd procent waterdicht is, voegt het wel meerdere beveiligingslagen toe waar hackers moeten zien voorbij te geraken. Daarbovenop krijgen webbeheerders de extra taak om proactieve controles uit te voeren en verdachte inlogpogingen preventief onschadelijk te maken.