Aantal kwaadaardige inlogpogingen sterk toegenomen

Financieel dienstverleners en hun consumenten zijn voortdurend doelwit van kwaadaardige inlogpogingen door criminelen. En vergeleken met de eerste maanden van het jaar is het aantal in mei en juni flink gestegen. Dat blijkt uit onderzoek van online beveiligingsexpert Akamai. In mei en juni lag het aantal kwaadaardige inlogpogingen wereldwijd op een duizelingwekkende 8,3 miljard per maand.

Akamai registreerde in de eerste vier maanden van 2018 zo’n 3,2 miljard kwaadaardige inlogpogingen per maand. In de maanden mei en juni liep dit aantal op tot maar liefst 8,3 miljard pogingen. Vooral financiële dienstverleners zijn hier het slachtoffer van. Akamai openbaart deze cijfers in het rapport ‘2018 State of the Internet / Security Credential Stuffing Attacks’.

Beproefde methode

Het verkrijgen van iemands inloggegevens is voor criminelen een veelgebruikte en beproefde methode om argeloze consumenten geld afhandig te maken. Banken waarschuwen consumenten met de regelmaat van de klok voorzichtig om te gaan met inloggegevens. Daarbij is het van belang dat inlognaam en wachtwoord voor bijvoorbeeld internetbankieren uniek is, in die zin dat het niet voor andere websites gebruikt wordt.

Credential stuffing

Kwaadaardige inlogpogingen zijn namelijk het gevolg van een verschijnsel genaamd ‘credential stuffing’. Hierbij zetten hackers een netwerk van softwarerobots (ook wel: botnets) in om gebruik te maken van gestolen logins. Veel consumenten gebruiken dezelfde logingegevens voor (veel) verschillende websites. Als één van de partijen achter die websites te maken heeft met een datalek betekent dit automatisch een gevaar voor alle andere sites waar dezelfde logins gebruikt worden. Dat zijn in veel gevallen sites van banken of andere financiële dienstverleners. Uit het rapport The Cost of Credential Stuffing van het Ponemon Institute blijkt dat de financiële schade van credential stuffing voor organisaties kan oplopen tot tientallen miljoenen dollars.

Josh Shaul, Vice President of Web Security bij Akamai, geeft een voorbeeld van hoe het bedrijf misbruik van inloggegevens bestrijdt bij een klant. “Eén van ’s werelds grootste financiële dienstverleners had te kampen met meer dan 8.000 accountovernames per maand. Dit leidde dagelijks tot meer dan $100.000 aan fraudegerelateerde verliezen,” zegt Shaul. “Het bedrijf richtte zich tot Akamai met het verzoek om op gedrag gebaseerde botdetectie te plaatsen op iedere endpoint waarop klanten kunnen inloggen. Zij zagen direct een flinke afname van het aantal accountovernames naar slechts één tot drie per maand. De fraudegerelateerde verliezen liepen terug naar slechts $1.000 tot $2.000 per dag.”

Een inmiddels bekende manier om de malafide praktijken van deze softwarerobots tegen te gaan is het gebruik van zogeheten ‘captcha’s’. Dat begon ooit als het overtypen van een reeks vervormde cijfers en of letters. Inmiddels heeft het zich ook ontwikkeld tot het aanklikken van delen van afbeeldingen waarop bijvoorbeeld een brug of een hond op te zien is. Op die manier ‘controleren’ websites of de gebruiker wel echt een mens is. Omdat bots echter ook steeds slimmer worden zal dit wel een voortdurend kat-en-muisspel blijven.

Afwisselende methodes

Akamai haalt twee voorbeelden aan van de ernst van ‘credential stuffing’ methodes. Een financiële dienstverlener uit de Fortune 500 kreeg te maken met 85 miljoen kwaadaardige inlogpogingen binnen 48 uur. Hiervoor werden meer dan 20.000 devices gemobiliseerd. Zo konden honderden verzoeken per minuut worden gedaan. Een tweede voorbeeld betreft een kredietunie. Het bedrijf zag eerder dit jaar een hoge piek in kwaadaardige inlogpogingen. Één van de ontdekte botnets was erg actief, terwijl een ander botnet juist als een sluipmoordenaar langzaam en methodisch te werk ging.

“Het onderzoek toont aan dat de mensen achter credential stuffing-aanvallen continu bezig zijn om hun methodes te verfijnen. Ze wisselen hun methodes af, van zeer actieve, volume-based aanvallen tot een geheimzinnige ‘low and slow’-achtige aanval,” zegt Martin McKeay, Senior Security Advocate bij Akamai en auteur van het rapport. “Het is vooral alarmerend wanneer er meerdere aanvallen tegelijkertijd worden uitgevoerd op één doelwit. Zonder de specifieke expertise en tools die nodig zijn om dergelijke multivector-aanvalcampagnes tegen te kunnen houden, lopen organisaties het risico uiteindelijk de meest gevaarlijke credential aanvallen niet eens op te merken.”