Financiële dienstverleners continu doelwit kwaadaardige inlogpogingen

In mei en juni bedroeg het aantal inlogpogingen in totaal 8,3 miljard. Dat blijkt uit het rapport 2018 State of the Internet / Security Credential Stuffing Attacks van Akamai. In totaal vonden er tussen begin november 2017 en eind juni 2018 meer dan 30 miljard kwaadaardige inlogpogingen plaats, zo blijkt uit de analyse van Akamai. Vooral financiële dienstverleners zijn slachtoffer.

Credential stuffing

Kwaadaardige inlogpogingen zijn het gevolg van credential stuffing, waarbij hackers systematisch botnets inzetten om gebruik te maken van gestolen logins. Ze richten zich op inlogpagina’s van banken en webwinkels in de wetenschap dat veel klanten dezelfde gebruikersnaam en wachtwoord gebruiken voor verschillende diensten en accounts. De financiële schade van credential stuffing kan voor organisaties oplopen tot tientallen miljoenen dollars, zo blijkt uit het rapport The Cost of Credential Stuffing van het Ponemon Institute.

De security- en dreigingsonderzoeken van Akamai in combinatie met gedragsanalyses zijn de drijvende krachten van de bot management technologie van Akamai. Josh Shaul, Vice President of Web Security bij Akamai, geeft een voorbeeld van hoe het bedrijf misbruik van inloggegevens bestrijdt bij een klant. ‘Eén van ’s werelds grootste financiële dienstverleners had te kampen met meer dan 8.000 accountovernames per maand. Dit leidde dagelijks tot meer dan $100.000 aan fraudegerelateerde verliezen,’ zegt Shaul. ‘Het bedrijf richtte zich tot Akamai met het verzoek om op gedrag gebaseerde botdetectie te plaatsen op iedere endpoint waarop klanten kunnen inloggen. Zij zagen direct een flinke afname van het aantal accountovernames naar slechts één tot drie per maand. De fraudegerelateerde verliezen liepen terug naar slechts $1.000 tot $2.000 per dag.’

Botnet

Het State of the Internet rapport bevat daarnaast twee voorbeelden van credential stuffing die laten zien hoe ernstig de methode is.

Het eerste voorbeeld betreft de problemen waar een financiële dienstverlener uit de Fortune 500-lijst mee te maken had toen aanvallers een botnet inzette om binnen 48 uur 85 miljoen kwaadaardige inlogpogingen uit te voeren op een site die normaal gesproken slechts zeven miljoen inlogpogingen per week verwerkt. Dit botnet zette meer dan 20.000 devices in , waardoor er honderden verzoeken per minuut konden worden gedaan. Onderzoek van Akamai liet zien dat bijna een derde van dit verkeer afkomstig was uit Vietnam en de VS.

Het tweede praktijkvoorbeeld is een ‘low and slow’-type aanval op een kredietunie eerder dit jaar. Deze financiële instelling zag een enorme piek in kwaadaardig inlogpogingen, veroorzaakt door wat uiteindelijk drie verschillende botnets waren. Terwijl een zeer actief botnet het meest in het oog sprong, werd er ook een botnet ontdekt dat juist heel langzaam en methodisch probeerde in te breken en een veel groter gevaar vormde.

Multivector-aanvalcampagnes

‘Het onderzoek toont aan dat de mensen achter credential stuffing-aanvallen continu bezig zijn om hun methodes te verfijnen. Ze wisselen hun methodes af, van zeer actieve, volume-based aanvallen tot een geheimzinnige ‘low and slow’-achtige aanval,’ zegt Martin McKeay, Senior Security Advocate bij Akamai en auteur van het rapport State of the Internet / Security. ‘Het is vooral alarmerend wanneer er meerdere aanvallen tegelijkertijd worden uitgevoerd op één doelwit. Zonder de specifieke expertise en tools die nodig zijn om dergelijke multivector-aanvalcampagnes tegen te kunnen houden, lopen organisaties het risico uiteindelijk de meest gevaarlijke credential aanvallen niet eens op te merken.’