Credential Stuffing, Kenali Upaya Pengambilalihan Akun
Ilustrasi
Cyberthreat.id - Akhir-akhir ini masyarakat Eropa dan Amerika Serikat (AS) serta beberapa negara di dunia marak dengan istilah credential stuffing (pengisian kredensial). Adalah jenis serangan siber yang melibatkan penggunaan password dari pelanggaran data sebelumnya lalu menggunakan permintaan login otomatis untuk mencoba mengakses berbagai akun.
Laporan terbaru menunjukkan bahwa serangan dengan jenis credential stuffing meningkat signifikan. Perusahaan/organisasi diminta untuk mengambil langkah preventif terkait potensi serangan seperti ini. Dan serangan berupa akses terhadap akun-akun bukanlah hal baru, tetapi harus diantisipasi.
"Credential stuffing sangat berbahaya bagi situs yang menyimpan data sensitif," tulis Cyware Hacker News, Kamis (5 Desember 2019).
Apa yang bisa dilakukan?
1. Pertama, tandai perangkat yang tidak dikenal dan lokasi baru karena sebagian besar upaya pengambilalihan akun adalah menggunakan perangkat baru.
2. Anda dapat menggunakan IP address untuk memverifikasi apakah akun sedang diakses dari perangkat yang sudah dikenal dan berikan peringatan jika terjadi keanehan.
3. Melacak lokasi baru juga membantu mencegah upaya credential stuffing dan pengambilan akun. Meskipun beberapa login dari lokasi baru mungkin sah/diterima, tetapi Anda selalu bisa ekstra hati-hati dengan memonitor lokasi.
4. Anda dapat memperingatkan pengguna dengan beberapa cara jika login. Untuk tindakan pencegahan tambahan, organisasi/perusahaan bisa membuat kebijakan untuk memberi tahu pengguna setiap kali ada upaya masuk ke akun.
Aktifkan otentikasi multi-faktor
Lapisan keamanan tambahan seperti kode keamanan, Biometrik, atau pertanyaan keamanan dapat membantu mencegah sejumlah upaya akses akun yang curang.
Batasi permintaan otentikasi
Organisasi/perusahaan harus mempertimbangkan penerapan kebijakan keamanan yang membatasi jumlah upaya login dari satu IP dalam jangka waktu tertentu.
Buat kebijakan password
Menetapkan password yang kuat dan unik adalah pengetahuan umum, tidak banyak orang menganggapnya serius, tetapi kebijakan ini harus diambil.
Organisasi/perusahaan harus tetapkan kebijakan yang memaksakan perubahan password secara berkala dan juga memastikan dasar-dasar password yang kuat. Langkah-langkah ini tidak sepenuhnya menghindari kita dari serangan credential stuffing, tetapi jika dilakukan telah membantu kita bergerak maju beberapa langkah ke arah yang benar.
