Delapan ribu akun pelanggan salah satu penyedia layanan keuangan terbesar didunia diambil alih tiap bulan sehingga perusahaan tersebut terpaksa membayar kerugian langsung akibat fraud sebesar US$ 100.000 per hari.
Fakta tersebut menggambarkan betapa seriusnya kejahatan maya credential stuffing dan itu hanya contoh yang dialami satu perusahaan saja. Padahal menurut laporan bertajuk Akamai 2018 State of the Internet/Security Credential Stuffing Attack, Akamai mendeteksi terjadinya 3,2 miliar login jahat (malicious login) per bulan, sepanjang Januari hingga April 2018 dan lebih dari 8,3 miliar percobaan login illegal mengunakan bot di bulan Mei dan Juni 2018. Hasil analisis peneliti Akamai ini juga mengungkapkan bahwa terjadi total 30 miliar percobaan login illegal dalam kurun waktu delapan bulan (November 2017-Juni 2018).
Percobaan login illegal (malicious login attempt) ini merupakan buntut dari aktivitas credential stuffing. Aktivitas ini dilancarkan para peretas dengan mengerahkan pasukan botnet untuk mencuri informasi login di web. Halaman login bank dan peritel kerap menjadi sasaran empuk para hacker karena banyak pelanggan yang menggunakan satu login credential untuk mengakses beberapa layanan dan akun. Menurut laporan dari Ponemon Institute, “The Cost of Credential Stuffing”, pencurian login credential ini dapat merugikan perusahaan hingga jutaan bahkan puluhan juta dolar per tahun.
“Salah satu penyedia layanan finansial terbesar di dunia mengalami lebih dari 8.000 pengambil alihan akun (account takeover) setiap bulannya, yang berakibat pada (kerugian sebesar) US$ 100.000 per hari karena kehilangan akibat fraud,” ujar Josh Shaul, Vice President Web Security, Akamai.
Josh memaparkan setelah dipasangi pendeteksi bot berbasis perilaku (behavioral-based) dari Akamai pada login endpoint setiap pelanggan, jumlah account takeover itu menurut drastis menjdi satu atau tiga per bulan, dan kerugian yang terkait fraud juga berkurang menjadi US$ 1.000-2.000 per hari.
Contoh lain datang dari institusi keuangan yang termasuk dalam Fortune 500. Peretas menggunakan botnet untuk melakukan percobaan login illegal sebanyak 8,5 juta kali dalam waktu 48 jam. Padahal website milik institusi tersebut umumnya hanya mengalami tujuh juga login attempt per minggu.
Peretas mengerahkan 20.000 perangkat dalam botnet ini untuk mengirimkan ratusan request dalam satu menit. Akamai mengidentifikasi bahwa hampir sepertiga traffic dalam serangan ini berasal dari Vietnam dan Amerika Serikat.
“Hasil riset kami memperlihatkan bahwa orang yang melancarkan serangan credential stuffing secara terus menerus mengevolusi senjatanya. Metodologinya bervariasi, mulai dari noisier, serangan berbasis volume, sampai dengan serangan tersembunyi bergaya ‘low & slow’,” ujar Martin McKeay, Senior Security Advocate, Akamai dan Lead Author dari laporan State of the Internet/ Security.
Menurut Martin, ketika sejumlah besar serangan secara serentak mengganggu satu target tunggal, ini hal yang mengkhawatirkan. “ Tanpa keahlian dan tool yang spesifik untuk melindungi dari aneka serangan dari banyak sumber ini, beberapa serangan credential yang sangat berbahaya bisa dengan mudah luput dari pantauan organisasi,” imbuh Martin McKeay.