9 Cara Terbaik untuk Melindungi Bisnis Anda dari Credential Stuffing

Tahukah Anda pada tahun 2019, nama pengguna dan kata sandi dari sekitar 4 juta pengguna Canva dicuri, didekripsi, dan dibagikan secara online?

Ini adalah serangan isian kredensial.

Bingung?

Sebelum bergerak maju, mari kita pahami apa arti istilah ini.

Apa itu serangan isian kredensial?

Serangan isian kredensial adalah metode serangan dunia maya di mana penjahat dunia maya mengambil alih basis data besar yang berisi kredensial pengguna untuk menembus sistem. Penjahat ini menggunakan sistem otomatis untuk mengakses nama pengguna dan pasangan kata sandi yang sebelumnya dilanggar di bidang login situs web.

Mereka mencoba mengakses akun pengguna di berbagai platform setelah menemukan pasangan nama pengguna dan kata sandi yang tepat.

Sumber

Penjahat dunia maya ini membajak akun yang bisa mereka masuki.

Teknik ini semakin populer karena peretas pemula memiliki alat yang tersedia untuk masuk ke ratusan layanan dan situs web online.

Menurut penelitian, perusahaan mengalami rata-rata 12,7 serangan isian kredensial setiap bulan, yang menyebabkan kerugian sebesar $6 juta.

Dengan begitu banyak hal di atas meja, perusahaan harus melindungi bisnis mereka dari serangan isian kredensial.

9 cara terbaik untuk melindungi bisnis Anda dari isian kredensial

Gunakan metode ini untuk melindungi bisnis Anda dari potensi kejahatan isian kredensial:

1. Gunakan autentikasi multifaktor saat login

Untuk mencegah terjadinya kejahatan dunia maya, gunakan multi-factor authentication (MFA) untuk memungkinkan pelanggan mengakses platform online Anda. Tujuan utama penggunaan MFA adalah mengurangi risiko pengambilalihan akun dan memberikan keamanan pada akun pelanggan.

Selain meminta nama pengguna dan kata sandi, MFA mewajibkan pelanggan untuk menyelesaikan satu faktor verifikasi lagi, yang secara drastis mengurangi kemungkinan serangan online yang berhasil.

Sumber

Sebagian besar perusahaan lebih suka menggunakan kata sandi satu kali atau OTP, yaitu kode 4 hingga 8 digit yang Anda terima di ponsel atau email.

Statistik menarik: 61% pelanggan menggunakan kata sandi yang sama di beberapa layanan, menjadikan MFA suatu keharusan untuk mencegah akun pelanggan Anda diretas.

2. Hindari menggunakan alamat email sebagai nama pengguna

Karena dasar serangan kredensial adalah orang-orang menggunakan kembali nama pengguna dan kata sandi yang sama, ini membuat pekerjaan penjahat dunia maya jauh lebih mudah ketika pelanggan Anda menggunakan alamat email mereka sebagai nama pengguna.

Minta pengguna untuk memiliki alamat email dan nama pengguna yang berbeda, karena ini mengurangi kemungkinan pelanggan menggunakan kombinasi nama pengguna dan kata sandi yang sama di beberapa situs web.

3. Fokus pada peringatan ambang batas untuk mendeteksi upaya login yang gagal

Ini adalah teknik yang sangat efektif untuk menghentikan contoh serangan cyber isian kredensial. Ketika sistem mendeteksi 'x' jumlah upaya login yang gagal, ia mengirimkan pesan otomatis kepada pengguna tentang upaya yang gagal dan menjalankan skrip khusus untuk menghentikannya.

Skrip ini untuk sementara menonaktifkan fungsi masuk atau bahkan mematikan server, mencegah penjahat dunia maya mendapatkan akses yang tidak diminta ke akun pengguna.

Statistik menarik: Pada tahun 2020, 3,4 miliar serangan isian kredensial memengaruhi bank dan layanan keuangan lainnya.

4. Memiliki kata sandi dan kebijakan autentikasi yang kuat

Salah satu metode pencegahan termudah dan paling banyak digunakan adalah memiliki kebijakan kata sandi dan otentikasi yang kuat. Dorong pelanggan dan karyawan untuk menggunakan pengelola kata sandi untuk menghasilkan kata sandi yang unik dan kuat.

Sumber

Ajari karyawan dan pelanggan Anda manfaat memiliki kata sandi yang berbeda untuk akun yang berbeda.

Juga, tetapkan batasan ketat pada jumlah permintaan login yang gagal.

Misalnya, bank hanya mengizinkan 3-5 upaya sebelum membekukan akun pelanggan untuk sementara.

Pelanggan harus mengunjungi bank atau berbicara dengan rekan layanan pelanggan untuk mencairkan akun mereka.

Selain itu, dorong karyawan dan pelanggan Anda untuk mengatur ulang kata sandi mereka secara teratur.

Menariknya, 81% pelanggaran data terjadi karena pelanggan menggunakan kata sandi yang lemah atau kredensial yang disusupi untuk masuk ke akun mereka.

5. Mengadopsi otentikasi tanpa kata sandi

Banyak perusahaan menggunakan cara baru dan inovatif untuk mencegah serangan cyber isian kredensial – otentikasi tanpa kata sandi.

Alih-alih menggunakan kata sandi untuk mengidentifikasi pelanggan, autentikasi tanpa kata sandi memverifikasi pelanggan menggunakan perangkat mereka, akun lain, atau biometrik.

Autentikasi tanpa kata sandi meningkatkan keamanan masuk Anda dari yang lebih baik menjadi yang terbaik. Ini menghilangkan potensi pencurian kata sandi.

Metode seperti itu menyelamatkan pelanggan Anda dari kerumitan mengingat kata sandi yang panjang dan rumit.

Statistik menarik: 78% pelanggan Gen-Z menggunakan kata sandi yang sama untuk beberapa akun online.

6. Gunakan firewall aplikasi web (WAF)

Menerapkan firewall aplikasi web adalah cara terbaik untuk mendeteksi lalu lintas abnormal dari penjahat dunia maya.

Sebagian besar WAF mengidentifikasi kemungkinan upaya masuk, terutama ketika penjahat dunia maya tiba-tiba mencoba banyak upaya.

Selain mengidentifikasi contoh isian kredensial potensial, WAF mencegah pelanggaran data yang disebabkan selama serangan web.

Pro-tip: Terapkan WAF di semua situs web Anda untuk mencegah pelanggaran data dan isian kredensial.

7. Gunakan pencirian kredensial

Untuk mencegah penjahat dunia maya mencuri kata sandi, gunakan hashing kredensial. Dalam proses pencirian kredensial, sistem mengacak kata sandi pengguna sebelum menyimpannya di database Anda. Bahkan jika penjahat dunia maya mendapatkan akses ke kata sandi ini, mereka tidak akan dapat menggunakannya.

Meskipun hashing kata sandi mungkin terlalu efektif dalam mencegah isian kredensial, ini membantu membatasi apa yang dapat dilakukan penjahat dunia maya dengan kata sandi yang dicuri itu.

Pro-tip: Peretasan kredensial berbeda dari enkripsi karena merupakan fungsi kriptografi satu arah, sementara enkripsi berfungsi dua arah. Karena proses enkripsi bersifat reversibel,

penjahat dunia maya mendapatkan kunci rahasia untuk mendekripsi teks.

8. Gunakan daftar hitam IP

Biasanya, penjahat dunia maya memiliki akses ke kumpulan alamat IP yang terbatas. Saat Anda melihat upaya masuk ke beberapa akun dari alamat IP yang sama, daftar hitam semua alamat IP tersebut.

Untuk menghindari menjadi mangsa positif palsu, lacak beberapa alamat IP terakhir yang digunakan untuk masuk ke akun pelanggan Anda. Kemudian, bandingkan alamat IP dengan yang mencurigakan.

Sumber

Satu-satunya downside menggunakan backlisting IP adalah bahwa penjahat dunia maya mungkin menggunakan teknik seperti spoofing IP, yang memberi kesan bahwa mereka terhubung ke sistem menggunakan alamat IP yang berbeda.

Ini memungkinkan penjahat dunia maya untuk melewati daftar hitam sambil menyembunyikan identitas mereka.

Pro-tip: Proses daftar hitam IP yang komprehensif mencegah penjahat dunia maya mencuri kredensial dan mendapatkan akses ke kredensial pelanggan Anda.

9. Blokir penggunaan browser tanpa kepala

Peramban tanpa kepala adalah peramban web tanpa antarmuka pengguna. Meskipun browser ini mengakses halaman web, antarmuka pengguna grafis atau GUI disembunyikan dari pengguna.

Biasanya, pengembang menggunakan browser tanpa kepala untuk pengujian situs web dan aplikasi serta pengujian perpustakaan JavaScript, tetapi penjahat dunia maya menggunakannya untuk penipuan klik dan untuk mendapatkan akses ke kredensial pelanggan.

Memblokir akses ke browser tanpa kepala ini berarti mencegah aktivitas yang mencurigakan.

Pro-tip: Karena browser ini tidak memiliki GUI untuk dinavigasi, Anda mengontrol atau memblokir browser tersebut menggunakan skrip otomatis atau antarmuka baris perintah.

Contoh serangan isian kredensial

Sejak awal, serangan isian kredensial telah memengaruhi bisnis di setiap sektor. Beberapa serangan yang menonjol dan patut diperhatikan adalah:

Wajah Utara

The North Face, peritel luar ruangan terkenal, menghadapi serangan isian kredensial besar-besaran pada tahun 2020. Penyerang mendapat akses ke informasi, seperti nama pelanggan, nomor telepon, tagihan, alamat pengiriman, preferensi email, dan barang favorit.

Setelah serangan itu, North Face harus menyetel ulang kata sandi untuk sejumlah pelanggan yang belum ditentukan. Juga, perusahaan mengurangi tingkat login akun dari sumber yang dicurigai.

HSBC

Menjelang akhir tahun 2018, HSBC menghadapi serangan credential stuffing besar-besaran, yang membahayakan keamanan finansial ribuan nasabah.

Bank menangguhkan akses ke akun online untuk semua pelanggan yang terkena dampak dan memulai prosedur untuk mengubah kata sandi untuk akun perbankan online. Bank akhirnya menerapkan berbagai langkah keamanan siber untuk mencegah terjadinya serangan di masa mendatang.

DailyMotion

Pada tahun 2019, DailyMotion mengalami serangan isian kredensial skala besar dan berkelanjutan oleh penjahat dunia maya. Platform berbagi video memberi tahu semua pelanggan yang terkena dampak dan memberikan dukungan yang dipersonalisasi untuk masing-masing pelanggan.

Dunkin Donuts

Dalam tiga bulan, Dunkin Donuts menjadi korban serangan isian kredensial dua kali. Penyerang mendapatkan akses ke nama depan, nama belakang, alamat email, dan nomor akun Dunkin Donuts 16 digit pelanggan mereka serta kode QR tunjangan. Dunkin Donuts secara aktif memberi tahu pelanggan tentang serangan ini.

Perusahaan menggunakan berbagai tindakan untuk mencegah serangan lebih lanjut dan memastikan keamanan detail pelanggan.

Mencegah serangan isian kredensial seperti seorang profesional

Meskipun tidak ada solusi pasti untuk mencegah serangan cyber isian kredensial, mengikuti langkah-langkah yang disebutkan di atas memberikan lapisan keamanan tambahan.

Penjahat dunia maya, dan pelanggan Anda menggunakan browser yang sama, sehingga bisnis Anda memerlukan perlindungan isian kredensial yang solid dan efisien untuk mendeteksi potensi serangan.

Terlepas dari apakah Anda adalah bisnis kecil atau menengah, sangat penting untuk memiliki mitra keamanan terkemuka yang membantu Anda mencapai persyaratan keamanan dan memastikan kredensial pelanggan Anda tetap berada di tangan yang aman.

Jangan tinggalkan kebutuhan bisnis yang terlewat saat menerapkan sembilan tip ini, karena ini adalah bisnis Anda dan pelanggan Anda, dan Anda harus melindungi kredensial mereka.