Jenis kredensial bocor merupakan upaya klasifikasi atau pengkategorian kredensial sebagai upaya untuk menilai keparahan kebocoran kredensial yang terjadi, berikut pemaparannya.
Malware Infostealer adalah salah satu vektor risiko yang paling besar. Infostealer menginfeksi komputer, mencuri semua kredensial yang disimpan di browser bersama dengan cookie sesi aktif dan data lainnya, lalu mengekspornya kembali ke infrastruktur command & control (C2).
Kali ini kita akan mengeksplorasi cara pelaku memanfaatkan kredensial untuk membobol infrastruktur TI yang memiliki hak istimewa untuk menciptakan pelanggaran data dan mendistribusikan ransomware.
Namun, pencuri informasi bukanlah satu-satunya ancaman kredensial. Kebocoran kredensial dari sumber tradisional masih merupakan risiko besar bagi organisasi.
Tidak mengherankan jika sebagian besar pengguna menggunakan kembali kata sandi di banyak aplikasi, sehingga menciptakan peluang sempurna bagi pelaku untuk secara paksa memasuki SaaS dan aplikasi lokal.
Jenis Kredensial Bocor
Untuk lebih memahami kredensial yang bocor, ada baiknya untuk “mengelompokan” kredensial tersebut ke dalam kategori berdasarkan:
1. Metode kebocorannya.
2. Risiko yang ditimbulkannya terhadap organisasi.
Pendekatan ini untuk memungkinkan para profesional keamanan mengomunikasikan dengan jelas risiko yang terkait dengan kebocoran kredensial dengan cara yang mudah dan praktis bagi para manajer dan eksekutif perusahaan.
Kredensial Tingkat 1 yang Bocor
Kebocoran kredensial Tingkat 1 disebabkan oleh pelanggaran aplikasi/layanan pihak ketiga, dan kata sandi semua pengguna layanan tersebut disusupi dan didistribusikan dalam dump data di web gelap.
Sebagai contoh, katakanlah perusahaan fiksi Imaginary memiliki login pengguna dengan ratusan ribu login konsumen.
Penyerang melanggar Imaginary dan mengakses sistem manajemen identitas dan akses, lalu mencuri kredensial ini dan membocorkannya ke dark web.
Cukup mudah bagi perusahaan Imaginary untuk memaksa pengaturan ulang kata sandi di semua pengguna, namun kemungkinan besar pengguna ini telah menggunakan kembali kata sandi yang sama di banyak layanan.
Kebocoran ini memungkinkan pelaku ancaman menggunakan alat brute force/pentesting untuk mencoba memaksa kredensial ribuan pengguna di aplikasi lain yang mungkin menggunakan kata sandi yang sama.
Bertahan dari Kebocoran Kredensial Tingkat 1
Ada banyak pertahanan yang telah diteliti dengan baik dan dapat digunakan organisasi untuk mengurangi risiko.
1. Pantau database kredensial yang bocor untuk email karyawan perusahaan. Karena pelaku dengan sengaja mencari kata sandi yang terkait dengan alamat email perusahaan untuk memfasilitasi pelanggaran data.
2. pengguna secara rutin mengatur ulang password pada jadwal tertentu sehingga jika password dilanggar, mereka sudah merotasi kredensial perusahaan lainnya.
3. menggunakan password manager dengan kebijakan yang mengharuskan karyawan mengacak kata sandi untuk berbagai aplikasi dan menyimpannya di password manager,
Dengan menggunakan teknologi semacam ini diharapkan dapat mengurangi risiko bahwa karyawan hanya akan melakukan sedikit perubahan pada kata sandi.
Kasus Khusus Combolist
Combolis biasanya terdiri dari pasangan kredensial yang diatur berdasarkan layanan, atau secara geografis, yang kemudian digunakan oleh penjahat dunia maya bersama dengan alat Brute Forcing untuk mencoba mendapatkan akses ke berbagai layanan.
Kredensial ini biasanya berasal dari pelanggaran yang diketahui sebelumnya, atau catatan pencuri, atau terkadang dibuat-buat; sumber aslinya tidak pernah benar-benar jelas.
Namun banyaknya kredensial yang dapat diperoleh melalui combolist dikombinasikan dengan seringnya penggunaan kembali kata sandi di pihak pengguna masih menjadikannya vektor serangan yang cukup besar.
Tingkat 2
Kebocoran kredensial Tingkat 2 menimbulkan risiko tingkat khusus bagi perusahaan. Ini adalah kredensial yang diambil langsung dari pengguna melalui malware infostealer yang mencuri semua kata sandi yang disimpan di browser.
Dari sini dapat dianggap kebocoran kredensial tingkat 2 memiliki peningkatan risiko yang signifikan bagi perusahaan dan pengguna karena alasan berikut:
- Satu log pencuri akan berisi semua kredensial yang disimpan pengguna di browsernya. Hal ini menciptakan peluang sempurna bagi pelaku ancaman untuk merekayasa sosial korban, meja bantuan TI, atau bahkan perusahaan menggunakan informasi korban.
- Log berisi nama pengguna, password, dan host teks biasa untuk kredensial, seringkali untuk ratusan login berbeda. Pelaku mempunyai keuntungan sangat besar jika mendapatkannya.
- Log ini sering kali berisi data pengisian formulir dengan jawaban atas pertanyaan rahasia yang dapat digunakan secara efektif untuk melewati situs web yang memiliki pertanyaan rahasia.
Kredensial Tingkat 3 yang Bocor
Tingkat kebocoran ini juga berasal dari log pencuri, namun menimbulkan risiko ekstrem bagi organisasi. Log pencuri baru sering kali memiliki cookie sesi aktif di dalamnya
Ini dapat dengan mudah digunakan pelaku untuk serangan pembajakan sesi dimana mereka menyamar sebagai korban dan berpotensi melewati 2FA dan MFA.
Menemukan log pencuri baru yang didistribusikan dengan kredensial perusahaan harus segera mendorong penyelidikan insiden.
Karena kemungkinan besar kata sandi tersebut berfungsi dan pelaku dapat langsung mengakses sumber daya perusahaan.
Bertahan Terhadap Kebocoran Kredensial Tingkat 3
Jika memungkinkan, batasi TTL untuk aplikasi perusahaan guna mengurangi risiko cookie sesi masih valid jika didistribusikan sebagai akibat dari infeksi pencuri info.
Otentikasi Multi-Faktor
Jika Anda tidak memantau kebocoran kredensial dan kemungkinan besar Anda memiliki autentikasi satu faktor untuk banyak karyawan Anda karena banyak dari mereka yang kata sandinya terekspos.
Banyak orang beranggapan bahwa mengaktifkan autentikasi dua faktor merupakan perlindungan yang cukup mapan terhadap serangan pencurian kredensial,
Namun kenyataannya, seperti yang telah kita saksikan berkali-kali, pelaku sangat menyadari hambatan yang ditimbulkan oleh 2FA dan memiliki teknik dan strategi. untuk mengatasi rintangan tersebut.
Baik melalui social engineering pada karyawan, atau menggunakan bot 2FA untuk menangkap kode/kata sandi satu kali dari korbannya.
Atau bahkan pertukaran SIM, ada banyak cara yang mengejutkan untuk melewati kontrol otentikasi multi-faktor yang secara aktif digunakan dalam sistem. liar.
Pertahanan terbaik terhadap jenis serangan tersebut adalah dengan menggunakan aplikasi autentikator, yang menampilkan kode berputar sementara
Dibandingkan kata sandi satu kali yang mungkin diperoleh pengguna melalui email atau SMS, karena aplikasi ini biasanya jauh lebih aman.
Dan sampai batas tertentu memastikan pengguna yang bersangkutan memiliki kendali atas (biasanya) perangkat kedua sehingga kontrol ada di tanggan penguna.
Demikian pemaparan mengenai jenis kredensial bocor, semoga informasi seputar keamanan dan kejahatan siber dapat bermanfaat dan dapat menambah wawasan pembacanya.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: