Wat is het verschil tussen credential stuffing en een brute-force-aanval?

Een brute-force-aanval probeert willekeurige of woordenboekgebaseerde wachtwoorden totdat er één werkt. Credential stuffing maakt gebruik van echte, eerder gelekte gebruikersnaam- en wachtwoordcombinaties. Dit maakt credential stuffing efficiënter, omdat de inloggegevens al ergens bewezen hebben te werken.

Kan een VPN credential stuffing-aanvallen voorkomen?

Niet rechtstreeks. Een VPN verbergt je IP-adres en versleutelt je internetverkeer, maar biedt geen bescherming als je inloggegevens al gecompromitteerd zijn via een eerder datalek. Een VPN kan wel indirect helpen door het moeilijker te maken voor datamakelaars om je online accounts aan elkaar te koppelen.

Hoe weet ik of mijn inloggegevens zijn blootgesteld?

Je kunt dit controleren via diensten zoals HaveIBeenPwned (haveibeenpwned.com), waar je je e-mailadres kunt invoeren om te zien of het is opgedoken in bekende datalekken. Veel wachtwoordmanagers bieden tegenwoordig ook ingebouwde lekcontroles aan.

Wat is de beste manier om mezelf te beschermen tegen credential stuffing?

De meest effectieve stappen zijn: het gebruik van een uniek wachtwoord voor elk account (bij voorkeur beheerd via een wachtwoordmanager), het inschakelen van tweefactorauthenticatie (2FA) op alle accounts die dit ondersteunen, en het regelmatig controleren van je inloggegevens via lekdatabases. Wachtwoorden hergebruiken is de belangrijkste reden waarom credential stuffing zo effectief is.

Credential Stuffing

Credential Stuffing: Wanneer Één Lek Zich Vermenigvuldigt

Als je ooit een wachtwoord hebt hergebruikt voor meerdere accounts — en de meeste mensen doen dat — ben je een potentieel doelwit voor credential stuffing. Het is een van de meest voorkomende en effectieve aanvalsmethoden die cybercriminelen tegenwoordig gebruiken, en het misbruikt een zeer menselijke gewoonte: gemak boven veiligheid kiezen.

Wat Het Is

Credential stuffing is een type geautomatiseerde cyberaanval waarbij hackers grote lijsten met gelekte gebruikersnamen en wachtwoorden (meestal verkregen uit eerdere datalekken) systematisch uitproberen op tientallen of honderden verschillende websites. De logica is eenvoudig: als iemand hetzelfde e-mailadres en wachtwoord heeft gebruikt voor zowel een gamingforum als hun online bankrekening, geeft toegang tot het ene effectief ook toegang tot het andere.

In tegenstelling tot brute-force-aanvallen, waarbij willekeurige of woordenboekgebaseerde wachtwoorden worden geprobeerd, maakt credential stuffing gebruik van echte inloggegevens die ergens al bewezen hebben te werken. Dit maakt het aanzienlijk efficiënter en moeilijker te detecteren.

Hoe Het Werkt

Het proces volgt doorgaans een voorspelbaar patroon:

Gegevensverwerving — Aanvallers kopen of downloaden gelekte inloggegevensdatabases van darkweb-marktplaatsen. Sommige lijsten bevatten honderden miljoenen gebruikersnaam/wachtwoord-combinaties.
Automatisering — Met behulp van gespecialiseerde tools (soms "account checkers" of credential stuffing-frameworks genoemd) laden aanvallers de gestolen inloggegevens en richten ze op een doelgerichte inlogpagina.
Gedistribueerde aanval — Om te voorkomen dat rate-limiting of IP-blokkering wordt geactiveerd, leiden aanvallers verkeer om via botnets of grote aantallen residentiële proxies, waardoor het lijkt alsof inlogpogingen afkomstig zijn van duizenden verschillende gebruikers over de hele wereld.
Verzamelen van geldige accounts — De software markeert elke succesvolle inlogpoging, waardoor aanvallers toegang krijgen tot geverifieerde accounts. Deze worden ofwel direct misbruikt, doorverkocht of gebruikt voor verdere fraude.

Slagingspercentages zijn over het algemeen laag — vaak tussen 0,1% en 2% — maar als je miljoenen inloggegevens test, vertaalt zelfs 0,5% zich naar duizenden gecompromitteerde accounts.

Waarom Het Belangrijk Is voor VPN-gebruikers

VPN-gebruikers zijn niet immuun voor credential stuffing — er is zelfs een specifiek aspect dat het waard is om te weten. Sommige VPN-aanbieders zijn zelf doelwit geweest. Bij eerdere incidenten hebben credential stuffing-aanvallen op VPN-diensten geresulteerd in aanvallers die toegang kregen tot gebruikersaccounts en in sommige gevallen tot hun verbonden apparaten of privéconfiguraties.

Daarnaast beschermt het gebruik van een VPN je niet als je inloggegevens al gecompromitteerd zijn. Een VPN verbergt je IP-adres en versleutelt je verkeer, maar kan een aanvaller niet tegenhouden die inlogt op je Netflix-, e-mail- of bankaccount met een wachtwoord dat je hergebruikte van een gelekte site.

Een VPN kan echter wel helpen je blootstelling op indirecte manieren te verminderen. Door je echte IP-adres te maskeren, wordt het moeilijker voor trackers en datamakelaars om profielen op te bouwen die je verschillende online accounts koppelen — wat de schade bij datalekken kan beperken.

Voorbeelden uit de Praktijk

In 2020 troffen credential stuffing-aanvallen meerdere VPN-aanbieders en videostreaming-diensten tegelijkertijd, waarbij aanvallers inloggegevens testten die gestolen waren bij niet-gerelateerde gaming- en retaildatalekken.
Disney+ kreeg kort na de lancering te maken met een golf van accountovernames — niet door een lek in Disney's systemen, maar omdat gebruikers wachtwoorden hadden hergebruikt van andere gecompromitteerde diensten.
Financiële instellingen zien dagelijks regelmatig miljoenen credential stuffing-pogingen, waarvan de meeste worden afgeweerd door rate-limiting en meerfactorauthenticatie.

Hoe Je Jezelf Beschermt

De verdediging is eenvoudig, ook al is de gedragsverandering dat niet:

Gebruik een uniek wachtwoord voor elk account. Een wachtwoordmanager maakt dit praktisch haalbaar.
Schakel tweefactorauthenticatie (2FA) in waar mogelijk. Zelfs als een aanvaller je wachtwoord heeft, beschikken ze niet over je tweede factor.
Controleer lekdatabases zoals HaveIBeenPwned om te zien of je inloggegevens zijn blootgesteld.
Houd accountinlogpogingen in de gaten op onbekende locaties of apparaten.

Credential stuffing werkt omdat mensen wachtwoorden hergebruiken. Stop daarmee, en de aanval werkt grotendeels niet meer tegen jou.

Credential StuffingGemiddeld