image

FBI waarschuwt voor gebruik van proxies bij credential stuffing-aanvallen

maandag 22 augustus 2022, 11:49 door Redactie, 4 reacties

Criminelen maken bij het uitvoeren van credential stuffing-aanvallen steeds vaker gebruik van proxies om hun ip-adressen te verbergen, zo waarschuwt de FBI. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen.

De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Om detectie te voorkomen worden bij dergelijke aanvallen steeds vaker proxies ingezet. Zodoende kunnen aanvallers bijvoorbeeld blokkades van bepaalde geografische locaties omzeilen, aldus de FBI.

Daarnaast kunnen cybercriminelen bij het uitvoeren van de aanvallen zich ook richten op mobiele applicaties. Volgens de FBI hebben mobiele applicaties vaak zwakkere beveiligingsprotocollen dan webapplicaties, waardoor er meer inlogpogingen per minuut kunnen worden geprobeerd.

Om credential stuffing-aanvallen te voorkomen raadt de FBI het gebruik van multifactor-authenticatie aan. Daarnaast moeten organisaties hun personeel leren om voor elk account een unieke passphrase te gebruiken, een wachtwoord dat uit meerdere woorden bestaat. Verder doen organisaties er verstandig aan om publiek gelekte inloggegevens tegen eigen klantaccounts te gebruiken en bij succesvolle inlogpogingen een wachtwoordreset te verplichten. Ook stelt de FBI dat CAPTCHA's alleen geen voldoende bescherming tegen credential stuffing bieden.

Reacties (4)
22-08-2022, 13:51 door Anoniem
Niets nieuw eigelijk. Ze kunnen beter bedrijven aanraden om logins via proxy te melden aan de gebruiker. Of logins van onbekende plekken/apparaten.
22-08-2022, 14:21 door Erik van Straten - Bijgewerkt: 22-08-2022, 14:22
Verouderd advies van de FBI. Op hardware keys na geven alle mij bekende vormen van MFA schijnveiligheid, leiden af van waar je echt op moet letten en geven gedonder als jouw telefoon stuk is, je deze thuis hebt laten liggen of de accu leeg is.

Gebruik een wachtwoordmanager (zoals KeePass)
Om credential stuffing-aanvallen te voorkomen, raad niet alleen ik een wachtwoordmanager aan met lange, unieke random gegenereerde wachtwoorden (in elk geval zolang we geen passkeys hebben).

Belangrijk is wel dat je zorgt voor betrouwbare back-ups van de database daarvan, en dat je de wachtwoordmanager uitsluitend opent op betrouwbare apparaten en software (Nb. om kopiejatten van de inloggegevens van een website te voorkomen, heb je sowieso een betrouwbaar apparaat en software -zonder keyloggers en dergelijke- nodig als je ergens inlogt).

En check de domeinnaam + slotje
Om te voorkomen dat je slachtoffer wordt van phishing, moet je, bij het aanmaken van elk account (bij het gegenereerde wachtwoord) de exacte domeinnaam van de betreffende website opslaan in jouw wachtwoordmanager.

Als je ooit door het klikken op een link op een website terechtkomt, waarvan je denkt dat het een website is waar jij een account hebt, moet je, vóórdat je ook maar iets invult, zorgvuldig controleren of het essentiële deel van de domeinnaam van die website exact overeenkomt met het essentiële deel van de opgeslagen domeinnaam in jouw wachtwoordmanager én dat jouw webbrowser op de juiste plaats een slotje toont (zonder doorhalingen) ten teken dat er sprake is van eem gevalideerde "https://" verbinding.

Met het "essentiële deel" bedoel ik dat als je normaal gesproken inlogt op
"https://bankieren.rabobank.nl/" dat de volgende link ook veilig is:
"https://ideal.rabobank.nl/".

Toelichtingen:
Wat je moet weten om redelijk veilig te kunnen surfen (lange post): https://security.nl/posting/765191

Neppe domeinnamen lijken vaak echt, maar helaas ook vaak andersom (lange post): https://security.nl/posting/765222

Waarom de meeste vormen van MFA kansloos zijn (en waarom uit bovenstaand artikel blijkt dat "Number Matching" en/of geofencing ook niet helpen): https://www.security.nl/posting/764727/Microsoft+meldt+phishingaanval+op+tientallen+organisaties+en+%22people+of+interest%22#posting764738
22-08-2022, 15:05 door Anoniem
Bring back the retail-market,and less internet shopping

The Matrix
22-08-2022, 16:07 door Anoniem
Project No More Leaks (https://www.security.nl/posting/758930/Politie+gaat+hashes+van+gestolen+inloggegevens+met+bedrijven+delen) is een zeer effectief middel tegen credential stuffing aanvallen gebleken. Proxies of niet, één login met (bij de politie bekende) uitgelekte inloggegevens is voldoende om als bedrijf actie te kunnen ondernemen (bijvoorbeeld de inlogpoging stoppen of de wetenschap dat het een uitgelekt account betreft meenemen in de risico analyse).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.