Kredensial Menjadi Titik Nol untuk Serangan Siber

Alasan di balik tren serangan siber yang kini marak adalah kredensial curian. Alih-alih merusak sistem dan memicu alarm, para peretas lebih suka mencuri kata sandi, token otentikasi, dan session cookie.

Kredensial curian tersebut untuk menyusup ke jaringan seolah-olah mereka adalah pengguna yang sah. Dengan cara ini, mereka dapat menghindari kode autentikasi multifaktor (MFA).

Menurut laporan Verizon, “penggunaan kredensial curian” menjadi salah satu metode paling populer untuk mendapatkan akses awal. Tahun lalu, sepertiga (32%) dari semua pelanggaran data melibatkan penggunaan kredensial curian.

Meskipun banyak cara yang digunakan pelaku ancaman untuk mendapatkan kredensial, ada juga banyak peluang untuk menghentikan mereka.

Kredensial Menjadi Titik Nol untuk Serangan Siber

Diperkirakan lebih dari 3,2 miliar kredensial dicuri dari bisnis global pada tahun 2024, meningkat 33% setiap tahunnya. Dengan akses yang diberikan oleh kredensial ini, pelaku ancaman dapat menyelinap diam-diam ke dalam sistem dan merencanakan serangan lanjutan, seperti:

Melakukan pengintaian jaringan: Mencari data, aset, dan izin pengguna yang bisa mereka targetkan selanjutnya.
Meningkatkan hak istimewa: Misalnya, melalui eksploitasi kerentanan, untuk bergerak secara lateral dan mencapai penyimpanan atau sistem data bernilai tinggi.
Membangun komunikasi rahasia dengan command-and-control (C2) server: Tujuannya untuk mengunduh malware tambahan dan mengeksfiltrasi (mengambil) data.

Dengan langkah-langkah ini, peretas dapat melancarkan serangan ransomware atau kampanye siber lainnya yang sangat merusak.

Mendapatkan Kata Sandi

Para pelaku ancaman telah mengembangkan berbagai cara untuk membobol kredensial karyawan atau bahkan kode MFA mereka. Beberapa di antaranya:

Phising: Email atau pesan teks yang dipalsukan agar terlihat seperti dikirim dari sumber resmi (misalnya, departemen IT atau pemasok teknologi). Korban didorong untuk mengeklik tautan berbahaya yang mengarahkan mereka ke halaman login palsu.
Vishing: Varian dari phishing, tetapi kali ini korban menerima panggilan telepon dari pelaku. Mereka mungkin menyamar sebagai helpdesk IT dan meminta korban memberikan kata sandi atau mendaftarkan perangkat MFA baru dengan dalih cerita fiktif.
Infostealer: Malware yang dirancang untuk mengumpulkan kredensial dan session cookie dari komputer atau perangkat korban. Malware ini bisa masuk melalui tautan phishing, lampiran berbahaya, situs web yang disusupi, aplikasi seluler jebakan, atau bahkan mod game tidak resmi. Infostealer diduga bertanggung jawab atas 75% kredensial yang disusupi tahun lalu.
Serangan brute-force: Ini termasuk credential stuffing, di mana peretas mencoba kombinasi nama pengguna/kata sandi yang sebelumnya pernah bocor terhadap situs dan aplikasi perusahaan. Sementara itu, password spraying menggunakan kata sandi umum pada berbagai situs. Bot otomatis membantu mereka melakukannya dalam skala besar hingga salah satunya berhasil.
Pelanggaran pihak ketiga: Pelaku menyusupi pemasok atau mitra yang menyimpan kredensial untuk kliennya, seperti penyedia layanan terkelola (MSP) atau penyedia SaaS. Mereka juga bisa membeli tumpukan “kombo” login yang sudah bocor untuk digunakan dalam serangan berikutnya.
Bypass MFA: Teknik yang digunakan termasuk SIM swapping (mengambil alih nomor telepon), MFA prompt bombing (membombardir target dengan notifikasi push hingga menyebabkan “kelelahan” dan memicu persetujuan), dan serangan Adversary-in-the-Middle (AitM) di mana penyerang menyisipkan diri antara pengguna dan layanan otentikasi yang sah untuk mencegat token sesi MFA.

Tetap Waspada dan Lindungi Data

Semua kasus di atas menekankan pentingnya melindungi kata sandi karyawan, mengamankan proses login, dan memantau lingkungan IT lebih ketat untuk mendeteksi tanda-tanda pelanggaran.

Ini dapat dicapai dengan mengikuti pendekatan Zero Trust yang didasarkan pada prinsip: jangan pernah percaya, selalu verifikasi. Pendekatan ini mengadopsi otentikasi berbasis risiko di “perimeter” dan berbagai tahap dalam jaringan yang tersegmentasi.

Pengguna dan perangkat harus dinilai berdasarkan profil risiko mereka, yang dapat dihitung dari waktu dan lokasi login, jenis perangkat, dan perilaku sesi.

Untuk memperkuat perlindungan dari akses tidak sah dan memastikan kepatuhan terhadap peraturan, penggunaan otentikasi multifaktor (MFA) yang kuat adalah garis pertahanan yang tidak bisa ditawar.

Selain itu, lengkapi pendekatan ini dengan program pelatihan dan kesadaran yang diperbarui untuk karyawan, termasuk simulasi nyata menggunakan teknik social engineering terkini.

Kebijakan ketat dan tool yang mencegah pengguna mengunjungi situs berisiko juga penting, begitu pula perangkat lunak keamanan di semua server, endpoint, dan perangkat lain.

Alat pemantauan terus-menerus akan membantu mendeteksi perilaku mencurigakan dan menemukan pelaku yang mungkin sudah berada di dalam jaringan Anda karena kredensial yang disusupi.

Organisasi juga perlu memiliki cara untuk mengurangi kerusakan yang bisa ditimbulkan oleh akun yang disusupi, misalnya dengan mengikuti prinsip hak istimewa paling rendah (least privilege).

Terakhir, pemantauan dark web dapat membantu Anda memeriksa apakah ada kredensial perusahaan yang dijual di pasar gelap siber.

Secara lebih luas, pertimbangkan untuk meminta bantuan pihak ketiga ahli melalui layanan managed detection and response (MDR), terutama jika perusahaan Anda kekurangan sumber daya.

Penyedia MDR yang terpercaya membawa keahlian khusus, pemantauan 24/7, dan akses ke analis yang memahami seluk-beluk intrusi berbasis kredensial, serta dapat mempercepat respons insiden jika akun yang disusupi terdeteksi.

Baca artikel lainnya: