Wat aanvallers met hen doen

Cyberbeveiliging
Wat aanvallers met hen doen

Wanneer de inloggegevens van een organisatie worden gelekt, zijn de onmiddellijke gevolgen zelden zichtbaar-maar de langetermijneffecten zijn verreikend. Verre van de mantel-en-dagger-tactieken die in fictie worden gezien, beginnen veel real-world cyberinbreuken met iets bedrieglijk eenvoudigs: een gebruikersnaam en wachtwoord.

Volgens het rapport van het onderzoek van de gegevensbreuk van Verizon 2025 waren gelekte referenties goed voor 22% van de inbreuken in 2024, die phishing en zelfs software -exploitatie overtreffen. Dat is bijna een kwart van alle incidenten, niet geïnitieerd door nuldagen of geavanceerde aanhoudende bedreigingen, maar door in te loggen via de voordeur.

Deze stille en aanhoudende dreiging is gegroeid. Nieuwe gegevens verzameld door Cyberint – een extern risicobeheer en bedreigingsinformatiebedrijf dat onlangs met checkpunt is overgenomen – heeft een toename van 160% in gelekte referenties in 2025 vergeleken met het voorgaande jaar. Het rapport, getiteld De opkomst van gelekte referentiesgeeft een kijkje in niet alleen het volume van deze lekken, maar hoe ze worden uitgebuit en wat organisaties kunnen doen om voor hen voor te blijven. Het is de moeite waard om volledig te lezen voor degenen die verantwoordelijk zijn voor risicoreductie.

Lees het rapport: De opkomst van gelekte referenties

Een golf gevoed door automatisering en toegankelijkheid

De toename van gelekte referenties gaat niet alleen over volume. Het gaat ook over snelheid en toegankelijkheid. Alleen al in één maand identificeerde Cyberint meer dan 14.000 blootstelling aan bedrijfsreferenties gekoppeld aan organisaties wier wachtwoordbeleid nog steeds intact was – het impliciete actief gebruik en reëel bedreigingspotentieel.

Automatisering heeft een diefstal van referentie eenvoudiger gemaakt. Infostealer malware, vaak verkocht als een service, stelt zelfs laaggeschoolde aanvallers in staat om inloggegevens uit browsers en geheugen te oogsten. AI-gegenereerde phishing-campagnes kunnen toon, taal en branding nabootsen met griezelige nauwkeurigheid. Zodra referenties zijn verzameld, worden ze verkocht op ondergrondse marktplaatsen of aangeboden in bundels op telegramkanalen en illegale forums.

Zoals uiteengezet in het e -boek is de gemiddelde tijd die nodig is om inloggegevens te verhelpen die zijn gelekt door GitHub -repositories 94 dagen. Dat is een venster van drie maanden waar een aanvaller de toegang kan benutten, onopgemerkt.

Hoe referenties worden gebruikt als valuta

Geleekte referenties zijn valuta voor aanvallers – en hun waarde gaat verder dan de initiële login. Eenmaal verkregen, worden deze referenties een vector voor een reeks kwaadaardige activiteiten:

  • Accountovername (ATO): Aanvallers loggen in op het account van een gebruiker om phishing -e -mails te verzenden vanuit een legitieme bron, knoeien met gegevens of financiële oplichting lanceren.
  • Referentie -vulling: Als een gebruiker wachtwoorden over services hergebruikt, kan de schending van één account ertoe leiden dat anderen in een kettingreactie vallen.
  • Spamdistributie en botnetwerken: E -mail en sociale accounts dienen als lanceerplaten voor desinformatie, spamcampagnes of promotionele misbruik.
  • Chantage en afpersing: Sommige actoren nemen contact op met slachtoffers en dreigen referenties bloot te leggen, tenzij de betaling wordt gedaan. Hoewel wachtwoorden kunnen worden gewijzigd, raaken slachtoffers vaak in paniek als de omvang van de inbreuk niet duidelijk is.

De stroomafwaartse effecten zijn niet altijd duidelijk. Een gecompromitteerd persoonlijk Gmail -account kan bijvoorbeeld aanvallers toegang geven tot herstel -e -mails voor bedrijfsdiensten, of gedeelde links ontdekken met gevoelige bijlagen.

Zien wat anderen missen

Cyberint, nu onderdeel van Check Point, maakt gebruik van geautomatiseerde verzamelsystemen en AI -agenten om een breed scala aan bronnen over het open, diepe en donkere web te controleren. Deze systemen zijn ontworpen om gelekte referenties op schaal te detecteren, details te correleren zoals domeinpatronen, hergebruik van wachtwoord en organisatorische metadata om waarschijnlijke blootstelling te identificeren – zelfs wanneer referenties anoniem worden geplaatst of met anderen worden gebundeld. Waarschuwingen zijn verrijkt met context die snelle triage ondersteunt, en integraties met SIEM- en SOAR -platforms maken onmiddellijke actie mogelijk, zoals het intrekken van referenties of het afdwingen van wachtwoordresets.

Vervolgens komen de analisten van Cyberint in. Deze teams voeren gerichte onderzoeken uit op gesloten forums, beoordelen de geloofwaardigheid van claims van dreigingsacteur en stukken identiteits- en toeschrijvingssignalen samen. Door machinegestuurde dekking te combineren met directe toegang tot ondergrondse gemeenschappen, biedt Cyberint zowel schaal als precisie-waardoor teams kunnen handelen voordat gelekte referenties actief worden gebruikt.

LEAKS LEAKTEN VOORDELEN niet alleen op bewaakte werkstations. Volgens cyberint -gegevens werd 46% van de apparaten die gekoppeld zijn aan lekken van bedrijfsreferenties niet beschermd door eindpuntmonitoring. Deze omvatten persoonlijke laptops of onbeheerde apparaten waar werknemers toegang krijgen tot zakelijke applicaties, die voor veel teams als blinde vlekken kunnen dienen.

Cyberint’s dreigingsdetectiestapel integreert met SIEM- en SOAR -tools, waardoor geautomatiseerde antwoorden mogelijk zijn, zoals het intrekken van toegang of het dwingen van wachtwoord opnieuw ingesteld op het moment dat een inbreuk wordt geïdentificeerd. Dit sluit de kloof tussen detectie en actie – een cruciale factor wanneer elk uur telt.

Het volledige rapport duikt dieper in hoe deze processen werken en hoe organisaties deze intelligentie kunnen operationaliseren tussen teams. U kunt het volledige rapport hier lezen voor meer informatie.

Blootstellingsdetectie is nu een concurrentievoordeel

Zelfs met veilig wachtwoordbeleid, MFA en moderne e -mailfiltering, blijft diefstal van de referenties een statistische waarschijnlijkheid. Wat organisaties onderscheidt, is hoe snel ze blootstelling detecteren en hoe strak hun saneringsworkflows zijn uitgelijnd.

Twee playbooks in het e-boek laten zien hoe teams effectief kunnen reageren, zowel voor de referenties van werknemers als voor externe leveranciers. Elk schetst procedures voor detectie, bronvalidatie, toegang tot intrekking, communicatie van belanghebbenden en post-incident review.

Maar de belangrijkste afhaalmaaltijden is deze: proactieve ontdekking is belangrijker dan reactieve forensische stoffen. Wachten op dreigingsacteurs om de eerste zet te maken verlengt de verblijftijd en verhoogt de reikwijdte van schade.

De mogelijkheid om inloggegevens te identificeren kort nadat ze op ondergrondse forums verschijnen – voordat ze zijn verpakt of bewapend in geautomatiseerde campagnes – is wat een succesvolle verdediging scheidt door reactief opruimen.

Als u zich afvraagt of uw organisatie referenties heeft blootgelegd in het diepe of donkere web, hoeft u niet te raden. U kunt het controleren.

Controleer nu het open, diepe en donkere web voor de inloggegevens van uw organisatie

Mitigatie gaat niet alleen over preventie

Geen enkele controle kan het risico van blootstelling aan referenties volledig elimineren, maar meerdere lagen kunnen de impact verminderen:

  • Sterk wachtwoordbeleid: Regelmatige wachtwoordwijzigingen afdwingen en hergebruik op verschillende platforms verbieden.
  • SSO en MFA: Barrières toevoegen buiten het wachtwoord. Zelfs Basic MFA maakt vulling van referentie veel minder effectief.
  • Rate beperkende: Stel drempels in voor inlogpogingen om brute-force en inlogtactieken te verstoren.
  • Polp: Beperk de toegang van de gebruiker tot alleen wat nodig is, dus gecompromitteerde accounts bieden geen breder inzending.
  • PHISCHE AUTHUIDING Training: Leer gebruikers over sociale engineeringtechnieken om de eerste lekken te verminderen.
  • Blootstelling aan monitoren: Implementeer detectie op forums, marktplaatsen en plaksites om vermeldingen van bedrijfsreferenties te markeren.

Elk van deze bedieningselementen is nuttig, maar zelfs samen zijn ze niet genoeg als blootstelling weken of maanden onopgemerkt blijft. Dat is waar detectie -intelligentie van Cyberint binnenkomt.

U kunt meer methoden leren door het volledige rapport te lezen.

Voordat het volgende wachtwoord wordt gestolen

Het is niet een kwestie van of een account die aan uw domein is gekoppeld, zal worden blootgesteld – het is al gebeurd. De echte vraag is: is het gevonden?

Duizenden referenties die aan actieve accounts zijn gekoppeld, worden momenteel doorgegeven aan marktplaatsen, forums en telegramchats. Velen zijn van gebruikers die nog steeds toegang hebben tot bedrijfsbronnen. Sommige zijn gebundeld met metagegevens zoals apparaattype, sessiekoekjes of zelfs VPN -inloggegevens. Eenmaal gedeeld, verspreidt deze informatie zich snel en wordt het onmogelijk om in te trekken.

Het identificeren van blootstellingen voordat ze worden gebruikt, is een van de weinige betekenisvolle voordelen die verdedigers hebben. En het begint met weten waar te kijken.

Bedreigingsinformatie speelt een centrale rol in detectie en reactie, vooral als het gaat om blootgestelde referenties. Gezien hun wijdverbreide circulatie op criminele netwerken, vereisen referenties gerichte monitoring en duidelijke processen voor mitigatie.

Controleer of de inloggegevens van uw bedrijf worden blootgesteld aan het Open, Deep en Dark Web. Hoe eerder ze worden gevonden, hoe minder incidenten er later op zullen reageren.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 10 Pro, 10 Pro Fold & Bekijk 4 -sterren in korte maar sappige videolekken

Apple Pay naar verluidt gebouwd op gestolen technologie – zo veel om anders te denken

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]