Credential Stuffing merupakan serangan siber terhadap kredensial pribadi yang mana diperoleh melalui pelanggarn data dengan satu servis yag digunakan untuk mencoba masuk ke servis lain yang tidak berkaitan. Para Attacker menggunakan sederet kredensial pengguna yang telah dirusak untuk melakukan pelanggaran ke dalam sistem. Mereka menggunakan bot untuk otomasi dan skala berdasarkan asumsi kalau banyak pengguna menggunakan password yang sama di beberapa layanan. Sebuah statistik menunjukan bahwa 0.1% pelanggaran data ini telah dicoba pada servis lain dan berhasil.
Credential Stuffing adalah sebuah vektor ancaman yang sedang menimbulkan taringnya karena 2 alasan berikut:
- Ketersediaan database besar, contoh Collection 1-5 yang mana memuat 22 juta kombinasi username dan passoword tersedia secara bebas dalam bentuk plaintext bagi komunitas hacker.
- Kecanggihan bot yang terus-menerus mencoba aktivitas log-in dan tampaknya berasal dari alamat IP berbeda. Bot ini bisa mengagalkan keamanan siber yang sederhana seperti melarang alamat IP dengan begitu banyak kegagalan aktivitas log-in.
Bagaimana Credential Stuffing bekerja?
- Menyiapkan bot yang otomatis masuk ke dalam multipel akun secara paralel sementara memalsukan alamat IP.
- Menjalankan proses yang diotomasi untuk memeriksa bila kredensial yang dicuri berfungsi di banyak situs web. Dengan menjalankan prosesnya secara paralel terhadap beberapa situs, akan mengurangi kebutuhan log-in dengan diulang-ulang dalam single service.
- Memantau terhadap keberhasilan aktivitas log-in dan mendapatkan PII (Personal Identifieable Information), kartu kredit, atau data lainnya yang bernilai tinggi dari akun yang dirusak.
- Menyimpan informasi akun untuk keperluan di masa mendatang, misalnya melancarkan serangan phising atau memungkinkan adanya transaksi oleh layanan yang dirusak.
Tindakan Pencegahan Terhadap Serangan Credential Stuffing
Dari sudut pandang pengguna, melawan Credential Stuffing sangatlah mudah. Pengguna hanya perlu menggunakan password yang unik untuk berbagai platform servis (akan menjadi lebih mudah dengan mengandalkan password manager). Dan menambbahkan beberapa tindakan otentikasi berikut ini untuk memaksimalkan keamanan akun.
- Menggunakan Multi Factor Authentication (MFA)
Mewajibkan pengguna untuk mengotentikasi dengan sesuatu yang hanya mereka miliki sendiri, ini merupakan cara terbaik untuk menjauhkan diri dari serangan Credential Stuffing. Bot tidak akan bisa melakukan otentikasi fisik selain nomor ponsel atau token. Dan MFA ini bisa dikombinasikan dengan teknik lainnya, misalnya digunakan bersama perangkat sidik jari (fingerprint).
- Menggunakan CAPTCHA
Yang mana mewajibkan pengguna untuk menjalankan suatu aksi yang menunjukan kalau mereka adalah manusia bukan robot dan mampu mengurangi efektifitas Credential Stuffing.
- Fingerprint Device
Perangkat fingerprint merupakan kombinasi parameter dari operating system, bahasa, browser, zona waktu, agen pengguna, dan lain-lain. Apabila Anda melihat fingerprint yang ketat, Anda bisa menerapkan banyak tindakan-tindakan yang parah, seperti melarang alamat IP. Untuk menangkap banyak serangan, diperlukan kombinasi 2-3 parameter dan mengurangi tindakan seperti pelarangan IP sebelumnya. Fingerprint yang umum digunakan biasanya menggunakan kombinasi antara operating system, Geolokasi, dan Bahasa.
- Daftar Hitam Alamat IP
Hacker biasanya memiliki alamat IP yang terbatas, cara yang efektif untuk menahannya adalah memblokir atau meletakannya pada IP sandbox yang terus mencoba log-in ke beberapa akun. Anda juga bisa memantau aksi IP terakhir dan membandingkannya dengan suspected bad IP guna mengurangi risiko buruk terjadi.
- Melarang Alamat Email digunakan sebagai User ID
Credential Stuffing benar-benar mengandalkan penggunaan ulang password dan username yang sama di beberapa servis. Dan akan menjadi mungkin terjadi apabila ID pengguna adalah sebuah alamat email. Dengan melarang pengguna untuk tidak menggunakan alamat email sebagai account ID, maka akan mengurangi kesempatan bagi pengguna untuk menggunakan password dan username yang sama berulang-ulang di servis yang berbeda.
