Berita Terbaru

Serangan Credential Stuffing dengan AI: Begini Cara Kerjanya!

Ilustrasi Cyber Security

Ilustrasi Cyber Security

Pada tahun 2024, serangan credential stuffing telah menjadi ancaman utama dalam dunia siber. Dengan miliaran kredensial curian yang tersebar luas di internet, penjahat siber semakin mudah mengakses akun korban menggunakan kombinasi email dan kata sandi yang sudah bocor. 

Berdasarkan data terbaru, 80% serangan terhadap aplikasi web disebabkan oleh kredensial yang bocor. Ini terjadi karena miliaran kredensial tersedia di internet, dan para penjahat siber dapat membeli database kredensial terbaru hanya dengan $10 di forum kriminal.

Beberapa kebocoran data berskala besar turut memperburuk situasi, salah satunya serangan terhadap pelanggan Snowflake, yang menyebabkan 165 akun pelanggan dikompromikan dan ratusan juta data bocor. Data yang bocor ini digunakan oleh penyerang dalam skema credential stuffing yang lebih luas.

Namun, yang lebih mengkhawatirkan adalah bagaimana kemajuan teknologi kecerdasan buatan (AI) memperburuk keadaan. Computer-Using Agents (CUA) AI agent yang mampu meniru perilaku manusia dalam berinteraksi dengan sistem bisa membuat serangan credential stuffing lebih cepat, lebih otomatis, dan lebih sulit dideteksi.

Artikel ini akan membahas bagaimana serangan credential stuffing berkembang, bagaimana AI agent seperti OpenAI Operator bisa mengubah lanskap serangan ini, dan langkah-langkah yang dapat diambil untuk menghadapinya.

Apa Itu Credential Stuffing?

Credential stuffing adalah jenis serangan siber di mana penyerang menggunakan kombinasi nama pengguna dan kata sandi yang telah bocor untuk mencoba masuk ke berbagai akun online. Serangan ini memanfaatkan fakta bahwa banyak orang menggunakan kembali kata sandi yang sama di beberapa platform.

AI Agent dan Otomatisasi Credential stuffing

Credential stuffing sebenarnya bukan teknik baru. Namun, tantangan utama bagi penyerang adalah kompleksitas sistem modern. Dulu, bisnis mengandalkan sistem IT yang lebih sederhana, dengan aplikasi dan data yang berada dalam satu infrastruktur yang aman. Kini, perusahaan menggunakan ratusan aplikasi berbasis cloud yang membuat identitas pengguna tersebar luas.

Masalahnya, setiap aplikasi memiliki interface yang berbeda, serta berbagai mekanisme keamanan seperti CAPTCHA dan rate limiting, yang menyulitkan serangan otomatis.

Sebelumnya, penyerang hanya membutuhkan satu alat otomatis untuk menyerang berbagai sistem. Kini, mereka harus menyesuaikan alat mereka dengan setiap aplikasi, yang memakan waktu dan sumber daya.

Namun, dengan hadirnya AI Agent, hambatan ini bisa diatasi.

 

AI Agent: Membantu Penjahat Siber Melakukan Serangan Lebih Efektif

AI Agent dapat berperan dalam serangan credential stuffing dengan:

  1. Mempelajari Interface Aplikasi Secara Otomatis
    • AI dapat mengidentifikasi cara kerja login di berbagai aplikasi tanpa perlu pemrograman manual.
    • AI bisa menyesuaikan serangan dengan menghindari proteksi bot seperti CAPTCHA dan deteksi anomali login.
  2. Mengoptimalkan Penggunaan Kredensial yang Dicuri
    • AI dapat memilah 15 miliar kredensial yang bocor di internet dan mengeliminasi data yang sudah tidak berlaku.
    • AI bisa menguji kredensial pada aplikasi yang paling berpotensi berhasil.
  3. Memanfaatkan Kelemahan Sistem Keamanan
    • AI dapat menyesuaikan strategi serangan untuk menghindari deteksi, misalnya dengan meniru pola login manusia.
    • Dengan AI, serangan bisa dilakukan lebih lambat dan tersebar untuk menghindari pemblokiran IP.

Skalabilitas Serangan dengan AI

  1. Menargetkan Aplikasi Secara Efisien
    Serangan credential stuffing menghadapi tantangan karena:
    • Ada lebih dari 40.000 aplikasi SaaS yang tersedia di internet.
    • Menulis skrip khusus untuk setiap aplikasi sangat sulit dan memakan waktu.
    • Proteksi keamanan semakin canggih, seperti MFA, CAPTCHA, dan pembatasan login berbasis lokasi.

    Namun, AI Agent dapat mengatasi kendala ini dengan:

    • Menargetkan aplikasi yang lebih spesifik dan memiliki celah keamanan yang lebih besar.
    • Mengotomatisasi pengujian kredensial di ribuan aplikasi secara bersamaan.

  2. Eksploitasi Kebiasaan Pengguna
    Salah satu kelemahan utama keamanan siber adalah penggunaan ulang kata sandi.
    Menurut studi terbaru:

    • 1 dari 3 karyawan menggunakan kembali kata sandi mereka.
    • 9% akun tidak memiliki MFA dan menggunakan kata sandi yang sama di beberapa aplikasi.
    • 10% akun SSO menggunakan kata sandi yang tidak unik.

    AI Agent dapat memanfaatkan kebiasaan ini dengan mencoba kredensial yang sama di berbagai aplikasi bisnis, meningkatkan peluang serangan yang berhasil.

 

Dampak AI terhadap Serangan Identitas

Hingga saat ini, kecerdasan buatan (AI) telah digunakan dalam berbagai bentuk serangan siber, seperti:

  1. Pembuatan email phishing yang lebih meyakinkan menggunakan large language model (LLM).
  2. Pengembangan malware dengan bantuan AI untuk membuat kode yang sulit dideteksi oleh sistem keamanan.
  3. Pembuatan bot di media sosial untuk menyebarkan disinformasi atau mencuri informasi pengguna.

Meskipun serangan berbasis AI sudah cukup canggih, sejauh ini AI belum benar-benar mengubah metode serangan identitas secara fundamental. Peretas masih perlu melakukan intervensi manual dalam banyak kasus. Namun, dengan kemunculan Computer-Using Agent (CUA) seperti OpenAI Operator, ancaman ini bisa berubah secara drastis.

 

Apa Itu OpenAI Operator?

OpenAI Operator adalah sistem AI yang dirancang untuk mengakses dan berinteraksi dengan situs web seperti yang dilakukan manusia, tetapi dalam skala yang jauh lebih besar. Operator berjalan di dalam browser terisolasi (sandboxed browser) dan dapat menjalankan berbagai tugas secara otomatis, termasuk:

  1. Mengakses halaman web dan berinteraksi dengan elemen-elemen di dalamnya, seperti tombol login, formulir, dan captcha.
  2. Melakukan tugas-tugas di internet tanpa memerlukan intervensi manusia.
  3. Menyesuaikan diri dengan situs baru tanpa perlu pemrograman atau konfigurasi tambahan.

Perbedaan utama antara Operator dengan bot otomatis lainnya adalah kemampuannya untuk beradaptasi dengan cepat. Biasanya, bot otomatis harus dikodekan secara khusus untuk menargetkan situs tertentu. Namun, Operator dapat langsung berinteraksi dengan situs baru tanpa pengaturan tambahan. Hal ini menjadikannya alat yang sangat mudah diadopsi oleh penyerang untuk menyerang berbagai aplikasi dan platform sekaligus.

Eksperimen: Operator dalam Serangan Credential Stuffing
Para peneliti di Push Security menguji potensi penyalahgunaan OpenAI Operator dalam skenario serangan credential stuffing. Serangan ini memanfaatkan kombinasi username dan password yang telah bocor untuk mencoba masuk ke berbagai akun di internet.
Dalam eksperimen ini, mereka menggunakan Operator untuk:

  1. Mengidentifikasi perusahaan yang memiliki akun aktif pada berbagai aplikasi tertentu.
  2. Mencoba login ke aplikasi-aplikasi tersebut menggunakan daftar kredensial yang telah bocor.

Hasilnya cukup mengejutkan, Operator terbukti mampu menargetkan aplikasi secara otomatis dan melakukan aksi di dalamnya.

Jika teknologi ini dioptimalkan dan diperbesar skalanya hingga 10, 100, bahkan 10.000 kali lipat, maka dampaknya bisa sangat luas. Serangan kredensial yang sebelumnya dilakukan secara manual atau dengan bot sederhana kini bisa dilakukan oleh agen AI yang lebih canggih.

Keunggulan dari Operator bukanlah hanya kemampuannya untuk menangani tugas-tugas yang rumit, melainkan kemampuannya untuk melakukan serangan dalam skala besar.

Bayangkan jika Operator diintegrasikan dengan API yang memungkinkan serangan ini berjalan secara paralel di ribuan situs sekaligus. Saat ini, model seperti ChatGPT sudah memiliki fitur untuk menjalankan beberapa tugas dalam waktu bersamaan dan jika Operator diadopsi dengan cara yang sama, maka potensi serangannya bisa meningkat secara eksponensial.

Namun, ancaman ini tidak hanya berasal dari Operator. Kemajuan AI secara keseluruhan membuka peluang bagi alat serupa bahkan yang mungkin dirancang sejak awal untuk tujuan jahat.

 

Bagaimana Peretas Bisa Memanfaatkan Operator?

Seorang peretas yang ingin menyalahgunakan Operator bisa menggunakannya untuk berbagai tujuan, seperti:

  1. Serangan Credential Stuffing Massal
    • Menggunakan kredensial yang telah bocor untuk login ke akun pengguna di berbagai layanan.
    • Operator bisa secara otomatis mencoba berbagai kombinasi username dan password, bahkan menyesuaikan input berdasarkan umpan balik dari sistem (misalnya, jika sebuah kata sandi gagal, AI bisa mencoba variasi lain).
  2. Otomatisasi Serangan Phishing
    • Operator bisa digunakan untuk menganalisis dan meniru situs web asli, membuat serangan phishing lebih meyakinkan.
    • AI dapat secara otomatis mengisi formulir phishing dengan informasi korban, meningkatkan tingkat keberhasilan serangan.
  3. Eksploitasi Sistem CAPTCHA
    • Sebagian besar situs menggunakan CAPTCHA untuk menghalangi bot otomatis.
    • Namun, Operator dapat memanfaatkan AI untuk menganalisis dan menyelesaikan tantangan CAPTCHA dengan lebih akurat dibandingkan bot tradisional.
  4. Serangan Terarah ke Perusahaan dan Individu
    • Operator dapat dikonfigurasi untuk mengidentifikasi akun korporat yang berisiko dan menargetkan individu tertentu dalam perusahaan.
    • Hal ini bisa menyebabkan kebocoran data skala besar atau bahkan pengambilalihan akun administrator dalam suatu organisasi.

 

Langkah Pencegahan: Cara Melindungi Identitas Digital dari Ancaman AI

AI memungkinkan pelaku kejahatan melakukan serangan yang lebih canggih, seperti phishing otomatis, pencurian kata sandi dengan brute force, hingga serangan credential stuffing. Oleh karena itu, kita perlu menerapkan langkah-langkah perlindungan yang efektif agar identitas digital tetap aman. Berikut adalah beberapa langkah penting yang dapat diambil:

  1. Gunakan Autentikasi Multifaktor (MFA)
    Autentikasi multifaktor (MFA) adalah salah satu cara terbaik untuk mencegah akses tidak sah ke akun Anda. Dengan MFA, meskipun seseorang berhasil mendapatkan kata sandi Anda, mereka tetap tidak bisa masuk tanpa kode verifikasi tambahan. Biasanya, kode ini dikirim ke perangkat Anda melalui SMS, aplikasi autentikator, atau bahkan melalui kunci keamanan fisik. Pastikan Anda mengaktifkan MFA di semua akun yang mendukung fitur ini, terutama untuk layanan email, perbankan, dan media sosial.
  2. Gunakan Password Manager untuk Kata Sandi yang Kuat dan Unik
    Banyak orang masih menggunakan kata sandi yang sama untuk berbagai akun, yang sangat berisiko jika salah satu akun tersebut diretas. Solusinya, gunakan password manager, yaitu aplikasi yang membantu Anda menyimpan dan membuat kata sandi yang kuat serta unik untuk setiap akun. Dengan cara ini, Anda tidak perlu mengingat banyak kata sandi, tetapi tetap memiliki tingkat keamanan yang tinggi.
  3. Pantau Aktivitas Login Secara Berkala
    Pastikan untuk memeriksa riwayat login pada akun-akun penting, seperti email, perbankan online, dan media sosial. Banyak platform menyediakan fitur notifikasi jika ada aktivitas login dari perangkat atau lokasi yang tidak dikenal. Jika Anda melihat aktivitas yang mencurigakan, segera lakukan langkah-langkah berikut:
    • Ganti kata sandi akun yang terindikasi mengalami percobaan login mencurigakan.
    • Keluar dari semua perangkat yang terhubung jika tersedia opsi tersebut.
    • Laporkan aktivitas mencurigakan kepada penyedia layanan terkait agar akun Anda tetap aman.
  4. Waspadai Serangan Phishing yang Semakin Canggih
    AI dapat digunakan untuk membuat serangan phishing yang lebih sulit dikenali. Email, pesan teks, atau situs web palsu kini bisa terlihat sangat meyakinkan. Oleh karena itu, selalu periksa dengan teliti sebelum memasukkan kredensial Anda:
    • Cek alamat URL dengan seksama, pastikan domainnya benar. Hindari mengklik tautan mencurigakan.
    • Perhatikan ejaan dan tata bahasa dalam email atau pesan. Phishing sering kali mengandung kesalahan kecil yang bisa menjadi petunjuk.
    • Jangan mudah tergiur ancaman atau iming-iming hadiah yang meminta Anda untuk segera mengklik tautan atau mengungkapkan informasi pribadi.
  5. Perusahaan Perlu Menggunakan Sistem Deteksi Berbasis AI
    Bagi perusahaan yang memiliki layanan online, langkah pencegahan juga harus diterapkan di tingkat sistem. Dengan memanfaatkan AI dalam keamanan siber, perusahaan dapat:
    • Mendeteksi pola login mencurigakan dan mencegah serangan otomatis sebelum terjadi.
    • Menggunakan sistem analisis perilaku pengguna untuk mengidentifikasi aktivitas tidak biasa yang bisa menjadi indikasi penyusupan.
    • Mengadopsi teknologi enkripsi yang lebih kuat untuk melindungi data pengguna dari pencurian.

Kesimpulan

AI agent seperti OpenAI Operator telah membuka era baru dalam serangan credential stuffing. Dengan kemampuannya untuk mengakses dan berinteraksi dengan aplikasi web layaknya manusia, AI agent dapat melakukan serangan dalam skala besar yang lebih sulit dideteksi.

Bagi perusahaan dan individu, kesadaran akan ancaman ini sangat penting. Penerapan keamanan berbasis AI, MFA, dan kebijakan kata sandi yang ketat akan menjadi kunci utama dalam melawan serangan di era AI ini.

Jika tidak segera ditangani, masa depan keamanan siber akan menghadapi tantangan yang lebih besar dari sebelumnya.

Bagikan artikel ini
Komentar ()

Artikel Terpopuler

LABEL ARTIKEL TERPOPULER

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait