I en ny rapport från IT-säkerhetsföretaget Digital Shadows kartläggs de metoder som cyberkriminella använder sig av för att, med hjälp av stulna inloggningsuppgifter, genomföra attacker mot företag. Rapporten ger också exempel på hur organisationer kan arbeta för att minimera riskerna och skydda sig mot den typen av automatiserade attacker.

En av de metoder som uppmärksammas i rapporten är "credential stuffing", en metod som används i stor utsträckning bland hackers för att automatisera kapningsförsök. Med credential stuffing testas ett stort antal läckta inloggningsuppgifter automatiskt mot olika sajter tills de till slut kanske matchar mot ett existerande användarkonto som då kan kapas. Främst är det företag och organisationer inom gaming-, teknik-, sändnings-, och detaljhandelssektorn som utsätts för och är måltavlor för sådana attacker.

Förra året kunde Digital Shadows konstatera att 97 % av företagen på Forbes 1000-lista hade sina inloggningsuppgifter exponerade. Detta just på grund av att de anställda använt sig av samma inloggningsuppgifter på flera olika sidor. Det är nämligen något som cyberkriminella börjat uppmärksamma och ta vara på i högre grad för att kunna komma åt företagens nätverk genom massautomatiserade attacker.

– Många organisationer upplever en typ av hjälplöshet när det kommer till dataintrång efter alla attacker som skett mot både stora aktörer som MySpace, LinkedIn, Dropbox och tiotusentals mindre företag. Men det är viktigt att företag fortsätter öka sina kunskaper för att kunna hantera den digitala risken och förhindra att läckta inloggningsuppgifter växer till ett ännu större och allvarligare problem, säger Rick Holland, VP Strategy på Digital Shadows.

Rapporten visar också att även om multifaktorsautentisering (MFA) kan hjälpa till att skydda organisationer och deras kunder från dataintrång, kan det inte ses som en fullständig lösning på problemet.

– Företag och organisationer måste vara mer förberedda på den här sortens brute force-attacker, fortsätter Rick Holland.

Nedan följer Digital Shadows sju förebyggande åtgärder som företag bör vidta för att skydda sig mot credential stuffing:

1. Bevaka om de anställdas inloggningsuppgifter har läckts
Till exempel är https://www.haveibeenpwned.com en mycket bra sajt som varnar om det läckts uppgifter som innehåller organisations emaildomän.

2. Bevaka hur företagsnamn eller varumärken används i olika hackar-forum
Det kan göra det lättare att välja vilka säkerhetslösningar som man bör investera i. Google Alerts är ett mycket bra verktyg för just det och kan hjälpa att identifiera risker som är specifika för just det företag man jobbar på.

3. Bevaka kunders läckta uppgifter
Det medför att man kan vara proaktiv i sitt agerande.

4. Använd en inline Web Application Firewall (WAF)
Kommersiella Web Application Firewalls med öppen källkod, såsom ModSecurity, kan
användas för att uppmärksamma och hindra stuffing-attacker.

5. öka användarnas medvetenhet
Utbilda både anställda och kunder om vilka risker det innebär att använda sin
företagsemailadress för privata konton och att återanvända samma lösenord på flera olika plattformar och sajter.

6. öka kunskapen om credential stuffing-verktyg
Håll ett öga på hur verktygen för automatiserade dataintrång utvecklas och hur väl ens säkerhetslösningar kan hantera de ökande riskerna.

7. Implementera en flerfaktorsautensierings-lösning som inte använder sig av SMS
Det kan minimera risken för dataintrång, men då blir det viktigt att ta hänsyn till den ökade friktion som en sådan autensieringslösning kan bidra till.