Apakah credential stuffing sama dengan serangan brute-force?

Tidak. Serangan brute-force mencoba menebak kata sandi secara acak atau menggunakan daftar kata umum, sedangkan credential stuffing menggunakan kombinasi nama pengguna dan kata sandi nyata yang telah bocor dari kebocoran data sebelumnya. Karena kredensial tersebut sudah terbukti valid di suatu tempat, credential stuffing jauh lebih efisien daripada brute-force.

Apakah menggunakan VPN dapat melindungi saya dari credential stuffing?

Tidak secara langsung. VPN mengenkripsi lalu lintas internet Anda dan menyembunyikan alamat IP Anda, tetapi tidak dapat mencegah penyerang menggunakan kredensial yang sudah bocor untuk masuk ke akun Anda. VPN dapat membantu secara tidak langsung dengan mempersulit pelacak membangun profil yang menghubungkan akun-akun online Anda, namun pertahanan terbaik tetaplah penggunaan kata sandi unik dan autentikasi dua faktor.

Bagaimana cara mengetahui apakah akun saya telah menjadi korban credential stuffing?

Tanda-tandanya meliputi notifikasi login dari lokasi atau perangkat yang tidak dikenal, aktivitas akun yang tidak biasa, atau Anda tidak bisa lagi masuk ke akun Anda. Anda juga dapat memeriksa situs seperti HaveIBeenPwned untuk mengetahui apakah alamat email Anda muncul dalam kebocoran data yang diketahui.

Seberapa efektif credential stuffing sebagai metode serangan?

Meskipun tingkat keberhasilannya relatif rendah — biasanya antara 0,1% hingga 2% — skala serangan inilah yang membuatnya berbahaya. Ketika penyerang menguji jutaan kredensial, bahkan tingkat keberhasilan yang kecil pun dapat menghasilkan ribuan akun yang berhasil dibobol. Itulah mengapa serangan ini tetap menjadi salah satu metode yang paling sering digunakan oleh penjahat siber.

Credential Stuffing

Credential Stuffing: Ketika Satu Kebocoran Menjadi Banyak Kerugian

Jika Anda pernah menggunakan ulang kata sandi yang sama di beberapa akun — dan kebanyakan orang melakukannya — Anda adalah calon target credential stuffing. Ini adalah salah satu metode serangan yang paling umum dan efektif yang digunakan oleh penjahat siber saat ini, dan metode ini mengeksploitasi kebiasaan yang sangat manusiawi: memilih kemudahan daripada keamanan.

Apa Itu Credential Stuffing

Credential stuffing adalah jenis serangan siber otomatis di mana peretas mengambil daftar besar nama pengguna dan kata sandi yang bocor (biasanya diperoleh dari kebocoran data sebelumnya) dan mencobanya secara sistematis di puluhan atau ratusan situs web berbeda. Logikanya sederhana: jika seseorang menggunakan email dan kata sandi yang sama untuk forum game dan akun perbankan online mereka, berhasil membobol satu akun berarti membobol akun yang lain juga.

Berbeda dengan serangan brute-force yang mencoba kata sandi acak atau berbasis kamus, credential stuffing menggunakan kredensial nyata yang sudah terbukti bekerja di suatu tempat. Hal ini membuatnya jauh lebih efisien dan lebih sulit dideteksi.

Cara Kerjanya

Prosesnya biasanya mengikuti pola yang dapat diprediksi:

Akuisisi data — Penyerang membeli atau mengunduh basis data kredensial yang bocor dari pasar dark web. Beberapa daftar berisi ratusan juta pasangan nama pengguna/kata sandi.
Otomatisasi — Menggunakan alat khusus (kadang disebut "pemeriksa akun" atau kerangka kerja credential stuffing), penyerang memuat kredensial yang dicuri dan mengarahkannya ke halaman login target.
Serangan terdistribusi — Untuk menghindari pemicu pembatasan laju atau pemblokiran IP, penyerang mengarahkan lalu lintas melalui botnet atau sejumlah besar proksi residensial, sehingga tampak seolah-olah upaya login berasal dari ribuan pengguna berbeda di seluruh dunia.
Pemanenan akun valid — Perangkat lunak menandai setiap login yang berhasil, memberikan penyerang akses ke akun yang telah terverifikasi. Akun-akun ini kemudian dieksploitasi secara langsung, dijual, atau digunakan untuk penipuan lebih lanjut.

Tingkat keberhasilan umumnya rendah — sering kali antara 0,1% hingga 2% — tetapi ketika Anda menguji jutaan kredensial, bahkan 0,5% saja berarti ribuan akun yang berhasil dibobol.

Mengapa Ini Penting bagi Pengguna VPN

Pengguna VPN tidak kebal terhadap credential stuffing — bahkan, ada sudut pandang khusus yang perlu diketahui. Beberapa penyedia VPN sendiri pernah menjadi target. Dalam insiden-insiden sebelumnya, serangan credential stuffing terhadap layanan VPN mengakibatkan penyerang mengakses akun pengguna dan, dalam beberapa kasus, perangkat yang terhubung atau konfigurasi pribadi mereka.

Selain itu, menggunakan VPN tidak melindungi Anda jika kredensial Anda sudah dikompromikan. VPN menyembunyikan alamat IP Anda dan mengenkripsi lalu lintas Anda, tetapi tidak dapat menghentikan penyerang untuk masuk ke akun Netflix, email, atau rekening bank Anda dengan kata sandi yang Anda gunakan ulang dari situs yang telah bocor.

Namun, VPN dapat membantu mengurangi paparan Anda secara tidak langsung. Dengan menyembunyikan alamat IP asli Anda, pelacak dan pialang data akan lebih sulit membangun profil yang menghubungkan berbagai akun online Anda — yang dapat membatasi dampak kerugian ketika kebocoran data terjadi.

Contoh Nyata

Pada tahun 2020, serangan credential stuffing menyerang beberapa penyedia VPN dan layanan streaming video secara bersamaan, dengan penyerang menguji kredensial yang dicuri dari kebocoran game dan ritel yang tidak terkait.
Disney+ mengalami gelombang pengambilalihan akun tak lama setelah diluncurkan — bukan karena kebocoran sistem Disney, melainkan karena pengguna mendaur ulang kata sandi dari layanan lain yang telah dikompromikan.
Lembaga keuangan secara rutin melihat upaya credential stuffing hingga jutaan kali per hari, yang sebagian besar berhasil ditangkal oleh pembatasan laju dan autentikasi multi-faktor.

Cara Melindungi Diri Anda

Pertahanannya mudah dipahami, meskipun perubahan kebiasaannya tidak selalu mudah:

Gunakan kata sandi unik untuk setiap akun. Pengelola kata sandi membuat hal ini menjadi praktis.
Aktifkan autentikasi dua faktor (2FA) di mana pun memungkinkan. Bahkan jika penyerang memiliki kata sandi Anda, mereka tidak akan memiliki faktor kedua Anda.
Periksa basis data kebocoran seperti HaveIBeenPwned untuk melihat apakah kredensial Anda telah terekspos.
Pantau login akun untuk lokasi atau perangkat yang tidak dikenal.

Credential stuffing berhasil karena orang menggunakan ulang kata sandi. Hentikan kebiasaan itu, dan serangan ini sebagian besar tidak akan lagi efektif terhadap Anda.

Credential StuffingMenengah