Dinilai Sangat Berbahaya, FBI Rutin Terbitkan Peringatan Credential Stuffing
Ilustrasi
Cyberthreat.id - FBI kembali menerbitkan peringatan untuk sektor keuangan Amerika Serikat (AS), khususnya perbankan, tentang terus meningkatnya upaya serangan pencurian kredensial (Credential Stuffing) yang menargetkan jaringan perusahaan dan menyebabkan kerugian finansial yang cukup besar.
Credential stuffing merupakan jenis serangan otomatis (automated attack) untuk mencuri kumpulan nama pengguna (username) dan kata sandi (password) yang bocor secara online - misalnya melalui pelanggaran data di perusahaan lain - kemudian data yang bocor itu digunakan untuk membobol akun dan layanan online lainnya.
Awalnya, serangan credential stuffing ini tidak menjadi masalah besar namun menjadi populer di tahun 2010-an setelah penjahat cyber membocorkan miliaran nama pengguna dan kombinasi kata sandi dari ratusan perusahaan selama lima tahun terakhir.
Kredensial yang bocor ini kemudian dicobakan kepada berbagai layanan online. Pada awalnya, penjahat siber menargetkan game online dan akun pemesanan makanan.
Tetapi, karena taktik tersebut berhasil, muncul kelompok penjahat siber yang lebih profesional menargetkan akun layanan perbankan online dan pertukaran mata uang kripto. Tentu saja tujuannya untuk mencuri uang dan aset berharga.
Masalah Utama Perbankan
Seorang penasihat keamanan FBI mengatakan serangan credential stuffing terus mengalami peningkatan dan sekarang telah menjadi masalah besar bagi organisasi/perusahaan keuangan.
Sejak 2017 FBI telah menerima banyak laporan mengenai serangan credential stuffing terhadap lembaga keuangan AS. FBI juga secara kolektif telah merinci hampir 50 ribu akun yang berhasil disusupi.
"Para korban termasuk bank, penyedia jasa keuangan, perusahaan asuransi, dan perusahaan investasi," ungkap FBI dilansir ZDNet, Selasa (15 September 2020).
Pencurian kredensial, kata FBI, kebanyakan menargetkan antarmuka pemrograman aplikasi (API) karena sistem ini cenderung tidak memerlukan otentikasi multi-faktor (MFA) dan kurang diperhatikan oleh tim keamanan.
FBI menegaskan serangan credential stuffing menjadi kian masif dengan permintaan otentikasi yang dikemas dalam keadaan "tanpa istirahat". Akibatnya terjadi down di sistem otentikasi di perusahaan/organisasi keuangan. Beberapa target percaya bahwa mereka terkena serangan DDOS sebagaimana laporan unit keamanan F5 Networks tahun lalu.
Credential stuffing tidak saja menargetkan profil pengguna, tetapi juga akun-akun milik staf/karyawan dengan tujuan mendapatkan akses akun dengan hak istimewa. Memang, beberapa dari serangan ke perusahaan ini gagal namun tidak sedikit yang berhasil menyebabkan kerugian jutaan dolar AS di beberapa organisasi selama setahun terakhir.
Catatan FBI
FBI mencatat sejumlah serangan pencurian kredensial yang jadi perhatian sekaligus pelajaran. Serangan itu diantaranya:
1. Bulan Juli 2020, sebuah lembaga keuangan AS melaporkan platform perbankan Internet-nya telah mengalami rangkaian serangan terus-menerus dengan upaya login yang menggunakan berbagai pasangan kredensial. Ada indikasi penggunaan bot dalam serangan ini.
Bulan Januari hingga Agustus 2020, penjahat cyber menggunakan perangkat lunak agregasi untuk menghubungkan akun yang dikendalikan penjahat ke akun klien dalam satu lembaga. Serangan ini mengakibatkan terjadinya penarikan cek palsu senilai lebih dari $ 3,5 juta dan transfer ACH. Namun, laporan tersebut tidak menyatakan apakah login dan transaksi ini dilakukan satu pelaku yang sama atau ada pelaku lainnya.
2. Bulan Juni 2019 hingga Januari 2020, sebuah perusahaan investasi yang berbasis di New York dan platform transfer uang internasional mengalami serangan pencurian kredensial terhadap API seluler mereka. Meskipun tidak ada entitas yang melaporkan penipuan, serangan mengakibatkan pemadaman sistem diperpanjang mengakibatkan kehilangan pendapatan $ 2 juta.
3. Bulan Juni dan November 2019, sekelompok penjahat cyber menarget layanan keuangan dan tiga kliennya yang mengakibatkan peretasan lebih dari 4.000 akun perbankan online. Penjahat cyber kemudian menggunakan layanan pembayaran tagihan untuk mengirimkan pembayaran palsu dengan total sekitar $ 40.000 ke diri mereka sendiri. Uang itu kemudian ditransfer ke berbagai rekening bank asing.
Menurut studi kasus tahun 2020 di salah satu perusahaan, peneliti keamanan mengidentifikasi lebih dari 1.500 email dan 6.000 kata sandi yang terekspos di lebih dari 80 pelanggaran data. Beberapa kredensial adalah milik pimpinan perusahaan, administrator sistem, dan karyawan lain dengan hak istimewa. []
Redaktur: Arif Rahman
