Hva er forskjellen mellom credential stuffing og brute force-angrep?

Et brute force-angrep prøver å gjette passord ved å systematisk teste tilfeldige eller ordbokbaserte kombinasjoner. Credential stuffing bruker derimot ekte brukernavn og passord som allerede er stjålet fra tidligere datainnbrudd. Dette gjør credential stuffing mer effektivt, siden angriperne tester legitimasjon som faktisk har fungert et sted tidligere – i stedet for å gjette på måfå.

Kan en VPN beskytte meg mot credential stuffing?

Ikke direkte. En VPN krypterer internetttrafikken din og skjuler IP-adressen din, men den kan ikke forhindre at noen logger inn på kontoen din med et passord de allerede har skaffet seg fra et datainnbrudd. Det beste forsvaret mot credential stuffing er å bruke unike passord for hver konto kombinert med tofaktorautentisering (2FA).

Hvordan vet jeg om legitimasjonen min har blitt eksponert?

Du kan sjekke om e-postadressen eller passordet ditt er en del av et kjent datainnbrudd ved å bruke gratis tjenester som HaveIBeenPwned (haveibeenpwned.com). Mange passordbehandlere tilbyr også innebygd overvåking av innbrudd som varsler deg hvis lagret legitimasjon dukker opp i lekkede databaser.

Hvorfor er suksessraten for credential stuffing lav, men likevel effektiv?

Suksessrater på mellom 0,1 % og 2 % høres kanskje ubetydelig ut, men angripere tester gjerne millioner av legitimasjonssett på én gang. Selv en suksessrate på 0,5 % mot én million forsøk gir 5 000 kompromitterte kontoer. Kombinert med automatiserte verktøy og billig tilgang til lekkede databaser gjør dette credential stuffing til en kostnadseffektiv angrepsmetode – til tross for den lave treffprosenten.

Credential Stuffing

Credential Stuffing: Når ett innbrudd blir til mange

Hvis du noen gang har gjenbrukt et passord på tvers av flere kontoer – og det har de fleste – er du et potensielt mål for credential stuffing. Det er en av de vanligste og mest effektive angrepsmetodene nettkriminelle bruker i dag, og den utnytter en svært menneskelig vane: å velge bekvemmelighet fremfor sikkerhet.

Hva det er

Credential stuffing er en type automatisert nettangrep der hackere tar store lister med lekkede brukernavn og passord (vanligvis hentet fra tidligere datainnbrudd) og systematisk prøver dem mot dusinvis eller hundrevis av forskjellige nettsteder. Logikken er enkel: hvis noen brukte samme e-post og passord på både et spillforum og nettbanken sin, gir tilgang til det ene i praksis tilgang til det andre.

I motsetning til brute force-angrep, som prøver tilfeldige eller ordbokbaserte passord, bruker credential stuffing ekte legitimasjon som allerede har vist seg å fungere et sted. Dette gjør metoden betydelig mer effektiv og vanskeligere å oppdage.

Slik fungerer det

Prosessen følger vanligvis et forutsigbart mønster:

Dataanskaffelse — Angripere kjøper eller laster ned databaser med kompromittert legitimasjon fra markedsplasser på det mørke nettet. Noen lister inneholder hundrevis av millioner brukernavn- og passordpar.
Automatisering — Ved hjelp av spesialiserte verktøy (noen ganger kalt «account checkers» eller credential stuffing-rammeverk) laster angripere inn den stjålne legitimasjonen og retter den mot en målrettet påloggingsside.
Distribuert angrep — For å unngå å utløse hastighetsbegrensning eller IP-blokkering, ruter angripere trafikk gjennom botnet eller et stort antall private proxyer, slik at det ser ut som om påloggingsforsøkene kommer fra tusenvis av forskjellige brukere over hele verden.
Innhøsting av gyldige kontoer — Programvaren merker vellykkede pålogginger, og gir angriperne tilgang til verifiserte kontoer. Disse utnyttes enten direkte, selges videre eller brukes til ytterligere svindel.

Suksessraten er generelt lav – ofte mellom 0,1 % og 2 % – men når man tester millioner av legitimasjonssett, tilsvarer selv 0,5 % tusenvis av kompromitterte kontoer.

Hvorfor dette er relevant for VPN-brukere

VPN-brukere er ikke immune mot credential stuffing – faktisk finnes det en spesifikk vinkling som er verdt å kjenne til. Noen VPN-leverandører har selv vært målrettet. I tidligere hendelser har credential stuffing-angrep mot VPN-tjenester resultert i at angripere har fått tilgang til brukernes kontoer og, i noen tilfeller, tilkoblede enheter eller private konfigurasjoner.

Utover det beskytter ikke en VPN deg hvis legitimasjonen din allerede er kompromittert. En VPN skjuler IP-adressen din og krypterer trafikken din, men den kan ikke hindre en angriper i å logge inn på Netflix-, e-post- eller bankkontoen din med et passord du gjenbrukte fra et kompromittert nettsted.

En VPN kan imidlertid bidra til å redusere eksponeringen din på indirekte måter. Ved å maskere den virkelige IP-adressen din blir det vanskeligere for sporere og datameglere å bygge profiler som kobler sammen dine ulike nettkontoer – noe som kan begrense skadeomfanget når innbrudd faktisk skjer.

Eksempler fra virkeligheten

I 2020 rammet credential stuffing-angrep flere VPN-leverandører og videostrømmetjenester samtidig, der angripere testet legitimasjon stjålet fra ikke-relaterte spill- og netthandelsinnbrudd.
Disney+ opplevde en bølge av kontoovertakelser kort tid etter lanseringen – ikke på grunn av et innbrudd i Disneys egne systemer, men fordi brukere hadde gjenbrukt passord fra andre kompromitterte tjenester.
Finansinstitusjoner ser jevnlig credential stuffing-forsøk i millionklassen per dag, hvorav de fleste avverges av hastighetsbegrensning og flerfaktorautentisering.

Slik beskytter du deg

Forsvaret er enkelt, selv om det kan være vanskelig å endre vanene:

Bruk et unikt passord for hver konto. En passordbehandler gjør dette praktisk gjennomførbart.
Aktiver tofaktorautentisering (2FA) der det er mulig. Selv om en angriper har passordet ditt, har de ikke den andre faktoren din.
Sjekk innbruddsregistre som HaveIBeenPwned for å se om legitimasjonen din har blitt eksponert.
Overvåk kontopålogginger for ukjente steder eller enheter.

Credential stuffing fungerer fordi folk gjenbruker passord. Slutt med det, og angrepet slutter i stor grad å virke mot deg.

Credential StuffingMiddels