FBI waarschuwt voor gebruik van proxies bij credential stuffing-aanvallen
Criminelen maken bij het uitvoeren van credential stuffing-aanvallen steeds vaker gebruik van proxies om hun ip-adressen te verbergen, zo waarschuwt de FBI. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.
De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Om detectie te voorkomen worden bij dergelijke aanvallen steeds vaker proxies ingezet. Zodoende kunnen aanvallers bijvoorbeeld blokkades van bepaalde geografische locaties omzeilen, aldus de FBI.
Daarnaast kunnen cybercriminelen bij het uitvoeren van de aanvallen zich ook richten op mobiele applicaties. Volgens de FBI hebben mobiele applicaties vaak zwakkere beveiligingsprotocollen dan webapplicaties, waardoor er meer inlogpogingen per minuut kunnen worden geprobeerd.
Om credential stuffing-aanvallen te voorkomen raadt de FBI het gebruik van multifactor-authenticatie aan. Daarnaast moeten organisaties hun personeel leren om voor elk account een unieke passphrase te gebruiken, een wachtwoord dat uit meerdere woorden bestaat. Verder doen organisaties er verstandig aan om publiek gelekte inloggegevens tegen eigen klantaccounts te gebruiken en bij succesvolle inlogpogingen een wachtwoordreset te verplichten. Ook stelt de FBI dat CAPTCHA's alleen geen voldoende bescherming tegen credential stuffing bieden.
Gebruik een wachtwoordmanager (zoals KeePass)
Om credential stuffing-aanvallen te voorkomen, raad niet alleen ik een wachtwoordmanager aan met lange, unieke random gegenereerde wachtwoorden (in elk geval zolang we geen passkeys hebben).
Belangrijk is wel dat je zorgt voor betrouwbare back-ups van de database daarvan, en dat je de wachtwoordmanager uitsluitend opent op betrouwbare apparaten en software (Nb. om kopiejatten van de inloggegevens van een website te voorkomen, heb je sowieso een betrouwbaar apparaat en software -zonder keyloggers en dergelijke- nodig als je ergens inlogt).
En check de domeinnaam + slotje
Om te voorkomen dat je slachtoffer wordt van phishing, moet je, bij het aanmaken van elk account (bij het gegenereerde wachtwoord) de exacte domeinnaam van de betreffende website opslaan in jouw wachtwoordmanager.
Als je ooit door het klikken op een link op een website terechtkomt, waarvan je denkt dat het een website is waar jij een account hebt, moet je, vóórdat je ook maar iets invult, zorgvuldig controleren of het essentiële deel van de domeinnaam van die website exact overeenkomt met het essentiële deel van de opgeslagen domeinnaam in jouw wachtwoordmanager én dat jouw webbrowser op de juiste plaats een slotje toont (zonder doorhalingen) ten teken dat er sprake is van eem gevalideerde "https://" verbinding.
Met het "essentiële deel" bedoel ik dat als je normaal gesproken inlogt op
"https://bankieren.rabobank.nl/" dat de volgende link ook veilig is:
"https://ideal.rabobank.nl/".
Toelichtingen:
Wat je moet weten om redelijk veilig te kunnen surfen (lange post): https://security.nl/posting/765191
Neppe domeinnamen lijken vaak echt, maar helaas ook vaak andersom (lange post): https://security.nl/posting/765222
Waarom de meeste vormen van MFA kansloos zijn (en waarom uit bovenstaand artikel blijkt dat "Number Matching" en/of geofencing ook niet helpen): https://www.security.nl/posting/764727/Microsoft+meldt+phishingaanval+op+tientallen+organisaties+en+%22people+of+interest%22#posting764738
The Matrix
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
No more ransomware! De nieuwe Ransomware Awareness Experience training biedt een realistische maar ook leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer wordt van ransomware en leren meteen hoe een besmetting kan worden voorkomen! Zoals altijd met realistische scenario's en actuele voorbeelden.
Security Trainer
Heb jij net als de rest van ons een passie voor cybersecurity en wil je in een team werken met mensen die minstens zo enthousiast en gedreven zijn als jij? Lijkt het je tof om wereldwijd security trainingen te geven en je security kennis over te dragen? Dan zijn wij op zoek naar jou!
Are you ready for a challenge?
Full Stack Developer (Python)
Lijkt het jou leuk om je coding skills in te zetten voor het ontwikkelen van de latest en greatest security challenges? Certified Secure maakt gebruik van de latest tech-stacks, wij bouwen praktisch alles in Python, maar soms ook in Java, C, Assembly of PHP.