Het aantal kwaadaardige inlogpogingen is in mei en juni dit jaar per maand met gemiddeld 30% gestegen. In de eerste vier maanden van dit jaar werden 3,2 miljard inlog-pogingen per maand geregistreerd. In mei en juni lag dit aantal op 8,3 miljard.
Dat blijkt uit het rapport 2018 State of the Internet / Security Credential Stuffing Attacks. In totaal vonden er tussen begin november 2017 en eind juni 2018 meer dan 30 miljard kwaadaardige inlogpogingen plaats. Vooral financiële dienstverleners zijn slachtoffer.
Kwaadaardige inlogpogingen
Kwaadaardige inlogpogingen zijn het gevolg van credential stuffing. Hackers zetten daarbij systematisch botnets in om gebruik te maken van gestolen logins. Ze richten zich op inlogpagina’s van banken en webwinkels. Dit doen ze in de wetenschap dat veel klanten dezelfde gebruikersnaam en wachtwoord gebruiken voor verschillende diensten en accounts.
De financiële schade van credential stuffing kan voor organisaties oplopen tot tientallen miljoenen dollars. Dit blijkt uit het rapport The Cost of Credential Stuffing van het Ponemon Institute.
Het State of the Internet rapport bevat voorbeelden van credential stuffing die laten zien hoe ernstig de methode is.
Het eerste betreft de problemen waar een financiële dienstverlener uit de Fortune 500-lijst mee te maken had. Aanvallers zetten een botnet in om binnen 48 uur 85 miljoen kwaadaardige inlogpogingen uit te voeren. Dit gebeurde op een site die normaal gesproken slechts zeven miljoen inlogpogingen per week verwerkt.
Dit botnet zette meer dan 20.000 devices in. Zo konden er honderden verzoeken per minuut plaatsvinden. Bijna een derde van dit verkeer kwam uit Vietnam en de VS.
Low and slow
Een ander voorbeeld is een ‘low and slow’-type aanval op een kredietunie eerder dit jaar. Deze financiële instelling zag een enorme piek in kwaadaardig inlogpogingen, veroorzaakt door wat uiteindelijk drie verschillende botnets waren. Terwijl een zeer actief botnet het meest in het oog sprong, werd er ook een botnet ontdekt dat juist heel langzaam en methodisch probeerde in te breken en een veel groter gevaar vormde.
“Het onderzoek toont aan dat de mensen achter credential stuffing-aanvallen continu bezig zijn om hun methodes te verfijnen. Ze wisselen hun methodes af, van zeer actieve, volume-based aanvallen tot een geheimzinnige ‘low and slow’-achtige aanval,” zegt Martin McKeay, Senior Security Advocate bij Akamai en auteur van het rapport State of the Internet / Security. “Het is vooral alarmerend wanneer er meerdere aanvallen tegelijkertijd worden uitgevoerd op één doelwit. Zonder de specifieke expertise en tools die nodig zijn om dergelijke multivector-aanvalcampagnes tegen te kunnen houden, lopen organisaties het risico uiteindelijk de meest gevaarlijke credential aanvallen niet eens op te merken.”
