Meer dan 1,1 miljoen online accounts zijn gecompromitteerd bij een reeks ‘credential stuffing’-aanvallen. Het gaat om 17 “bekende bedrijven”, aldus het Openbaar Ministerie van de Amerikaanse staat New York.
Wat is credential stuffing?
Credential stuffing is een cyberaanvalmethode waarbij eerder gelekte e-mailadressen en wachtwoorden worden gebruikt om toegang te krijgen tot accounts. Cybercriminelen proberen in te loggen op online accounts met inloggevens die zijn gestolen van andere niet-gerelateerde online diensten.
Bij een credential stuffing-aanval kan een aanvaller honderdduizenden of zelfs miljoenen aanmeldingspogingen doen. Hackers doen dit met behulp van geautomatiseerde credential stuffing-software en lijsten van gestolen aanmeldingsgegevens die afkomstig zijn van het dark web of hackingfora.
Hoewel slechts een klein percentage van deze pogingen succesvol zal zijn, kan één enkele aanval door het grote aantal inlogpogingen toch duizenden gecompromitteerde accounts opleveren. In 2020 slaagden hackers er bijvoorbeeld in om een credential stuffing-aanval uit te voeren en de Spotify-accounts van meer dan 300.000 gebruikers te hacken.
De cybercriminelen kunnen de gecompromitteerde accounts voor verschillende doeleinden gebruiken. Ze kunnen gevoelige informatie van accounts halen zoals naam en adres, en deze informatie gebruiken voor phishing. Als het om een e-mailaccount gaat kunnen criminelen zich voordoen als het slachtoffer, met mogelijk identiteitsfraude als gevolg.
Dergelijke aanvallen zijn alleen succesvol als gebruikers hun wachtwoorden hergebruiken. Het is daarom erg belangrijk om voor al je online accounts unieke en sterke wachtwoorden te maken.
Meer dan 1 miljoen gebruikersaccounts gekaapt
Het ministerie heeft een onderzoek gedaan naar activiteiten op ondergronde cybercrimeforums die zich bezighouden met credential stuffing. Tijdens dit onderzoek zijn duizenden berichten met inloggegevens gevonden die aanvallers bij credential stuffing-aanvallen hadden getest. Deze konden worden gebruikt om toegang te krijgen tot gebruikersaccounts op websites of op apps.
De 17 getroffen organisaties zijn “bekende online winkels, restaurantsketens en voedselbezorgdiensten”, aldus het ministerie. In totaal werden 1,1 miljoen gebruikersaccounts gecompromitteerd.
De betrokken bedrijven zijn op de hoogte gesteld zodat ze de wachtwoorden kunnen resetten en klanten op de hoogte kunnen stellen. Uit onderzoek bleek dat de meeste aanvallen niet eerder waren ontdekt.
Credential stuffing voorkomen
Naar aanleiding van de credential stuffing-aanvallen heeft het ministerie een lijst opgesteld met advies om credential stuffing te voorkomen. Bedrijven krijgen de raad om botdetectiediensten, tweestapsverificatie en wachtwoordloze authenticatie te gebruiken. Daarnaast is het erg belangrijk dat wachtwoorden die eerder gecompromitteerd zijn, niet opnieuw gebruikt worden.
