Vandaag introduceert Cloudflare een nieuwe reeks functies voor fraudepreventie, ontworpen om accountmisbruik te voorkomen voordat er problemen ontstaan. We hebben Cloudflare-klanten jarenlang in staat gesteld hun applicaties tegen geautomatiseerde aanvallen te beschermen, maar het dreigingslandschap is veranderd. De toename van hybride misbruik waarbij zowel geautomatiseerde als menselijke methoden worden ingezet, vormt een complexe uitdaging op het gebied van beveiliging voor website-eigenaren. Neem bijvoorbeeld een account dat binnen dezelfde vijf minuten vanuit New York, Londen en San Francisco wordt geraadpleegd. De kernvraag in dit geval is niet: "Is dit geautomatiseerd?" maar eerder: "Is dit authentiek?"
Website-eigenaren hebben de middelen nodig om misbruik op hun website tegen te gaan, ongeacht wie erachter zit.
Tijdens onze verjaardagsweek in 2024 hebben we alle klanten, inclusief iedereen met een Free-abonnement, de mogelijkheid geboden om gelekte inloggegevens te detecteren. Sindsdien hebben we ID's voor het detecteren van accountovernames aan onze botbeheeroplossing toegevoegd om bots te identificeren die inlogpagina's aanvallen.
Nu combineren we deze krachtige tools met nieuwe. Dankzij de controle op wegwerp-e-mailadressen en het e-mailrisico kun je beveiligingsvoorkeuren afdwingen voor gebruikers die zich met wegwerp-e-mailadressen aanmelden, een veelgebruikte tactiek voor het aanmaken van nepaccounts en aanbiedingmisbruik, of wiens e-mails op basis van e-mailpatronen en infrastructuur als risicovol worden beschouwd. We introduceren ook Hashed User IDs: domeinspecifieke identificatiecodes die worden gegenereerd door de gebruikersnamen cryptografisch te hashen. Zo krijgen onze klanten een beter inzicht in verdachte accountactiviteiten en kunnen ze potentieel frauduleus verkeer beter beperken, zonder de privacy van de eindgebruiker in gevaar te brengen.
De nieuwe functies die we vandaag aankondigen gaan verder dan automatisering: ze sporen misbruik en risicovolle identiteiten op bij zowel menselijke gebruikers als bots. Account Abuse Protection is beschikbaar via Vroege Toegang en alle klanten met een Bot Management Enterprise-abonnement kunnen deze functies gedurende een beperkte periode zonder extra kosten gebruiken, totdat Cloudflare Fraud Prevention later dit jaar algemeen beschikbaar wordt gesteld. Wil je meer weten over deze Vroege Toegang? Meld je dan hier aan.
Gelekte inloggegevens maken inlogprocedures veel te kwetsbaar
De drempel voor frauduleus gedrag is gevaarlijk laag, vooral nu er enorme datasets beschikbaar zijn en er toegang is tot geautomatiseerde tools waarmee op grote schaal accountfraude kan worden gepleegd. Website-eigenaren hebben niet alleen te maken met individuele hackers, maar ook met grootschalige fraude. Vorig jaar wezen we erop dat 41% van de aanmeldingen op ons netwerk gebruikmaakt van gelekte inloggegevens. Dit aantal is alleen maar toegenomen na de blootstelling van een database met 16 miljard records, en sindsdien zijn er meerdere opvallende datalekken aan het licht gekomen.
Bovendien gebruiken gebruikers dezelfde wachtwoorden op meerdere platforms, wat betekent dat één enkel datalek van jaren geleden vandaag de dag nog steeds toegang kan verschaffen tot een waardevol winkelaccount of zelfs tot een bankrekening. Onze gratis functie voor het controleren op gelekte inloggegevens checkt of een wachtwoord tijdens een bekend gegevenslek van een andere dienst of applicatie op het internet is gelekt. Dit is een dienst voor het controleren van inloggegevens waarbij de privacy wordt gewaarborgd. Onze gebruikers worden bovendien beschermd tegen gestolen inloggegevens, wat betekent dat Cloudflare deze controles uitvoert zonder toegang te hebben tot de wachtwoorden van eindgebruikers in leesbare tekst, of deze op te slaan. De wachtwoorden worden gehasht – dat wil zeggen, omgezet in een willekeurige reeks tekens met behulp van een cryptografisch algoritme – om ze te vergelijken met een database van gelekte inloggegevens. Als je onze controle op gelekte inloggegevens nog niet hebt ingeschakeld, doe dat dan nu om je accounts tegen eenvoudige hacks te beschermen!
Toegang tot een grote database met gelekte inloggegevens heeft alleen zin als een aanvaller deze snel op tal van websites kan doorlopen om te achterhalen welke accounts nog steeds kwetsbaar zijn doordat wachtwoorden worden hergebruikt. In onze Black Friday-analyse van 2024 constateerden we dat meer dan 60% van het verkeer naar inlogpagina's op ons netwerk geautomatiseerd was. Dat zijn heel veel bots die proberen in te breken.
We wilden onze klanten helpen om hun login-eindpunten tegen deze constante aanvallen te beschermen, en daarom hebben we specifieke detecties voor accountovername (ATO) toegevoegd om verdachte verkeerspatronen te signaleren. Dit is onderdeel van onze recente focus op klantspecifieke detecties, waarbij we voor elke klant van ons botbeheer een op maat gemaakte detectie van afwijkend gedrag bieden. Klanten die gebruikmaken van botbeheer kunnen pogingen tot ATO-aanvallen in hun inlogverzoeken nu rechtstreeks op het dashboard met beveiligingsanalyses zien en afweren.
Aan de linkerkant van het dashboard voor beveiligingsanalyses kun je de pogingen tot accountovername bekijken en aanpakken.
De afgelopen week hebben onze ATO-detectiesystemen dagelijks gezamenlijk gemiddeld 6,9 miljard verdachte inlogpogingen binnen ons netwerk onderschept. Deze ATO-detecties vormen, samen met de vele andere detectiemechanismen in onze botbeheeroplossing, een gelaagde verdediging tegen ATO en andere kwaadaardige geautomatiseerde aanvallen.
Van automatisering naar intentie en identiteit
Wil je automatisering of intentie en identiteit herkennen? Dat is de vraag. Ons antwoord: ja en ja, want beide zijn cruciale onderdelen van een robuuste beveiligingsstrategie. Aanvallers opereren tegenwoordig op een schaal die voorheen alleen was voorbehouden aan zakelijke diensten: ze maken gebruik van massale gegevenslekken, zetten bemande fraudefarms in om apparaten en locaties te vervalsen en creëren synthetische identiteiten om duizenden – zelfs miljoenen – nepaccounts te onderhouden voor het misbruik van aanbiedingen en platforms. Een persoon die geautomatiseerde tools gebruikt, kan rekeningen leeghalen, aanbiedingen misbruiken, betalingsfraude plegen of al het bovenstaande.
Daarnaast is automatisering toegankelijker dan ooit, vooral omdat gebruikers steeds beter vertrouwd raken met het gebruik van AI-agents en zelfs de aloude, 'traditionele' browsers standaard agentische functies bieden. Of het nu gaat om een individuele dader die gebruikmaakt van een AI-agent of om een gecoördineerde fraudecampagne: de dreiging is niet zo eenvoudig als één enkel script. Er kan sprake zijn van menselijke opzet, in combinatie met geautomatiseerde uitvoeringsfuncties.
Lees de volgende voorbeelden die van onze klanten afkomstig zijn:
We hebben deze maand 1000 nieuwe gebruikers, maar meer dan de helft daarvan zijn nepaccounts die profiteren van een gratis proefperiode en vervolgens weer verdwijnen.
De aanvaller heeft zich met het juiste wachtwoord aangemeld, dus hoe weet ik dat het niet de echte gebruiker is?
Deze organisatie werkt op een rustig, menselijk tempo en haalt rekeningen leeg.
Deze problemen kunnen niet alleen worden opgelost door de automatisering te beoordelen; er moet ook worden gecontroleerd op authenticiteit en integriteit. Dit is de leemte die onze gespecialiseerde fraudepreventieoplossingen opvullen.
Verdachte e-mails beoordelen
Laten we beginnen met het beoordelen van het vroegste moment waarop mogelijk misbruik van een account kan plaatsvinden: het aanmaken van een account. Het aanmaken van nepaccounts of massaal aanmaken van accounts is een van de belangrijkste onderwerpen in de discussies over websitefraude, aangezien dit aanvallers in staat stelt om toegang te verkrijgen tot een applicatie of zelfs tot een heel bedrijfsmodel.
Cloudflare biedt klanten de tools om verdachte accountaanmaak op twee manieren bij de bron te beoordelen:
Controle op wegwerp-e-mailadressen: detecteer wanneer gebruikers zich aanmelden met tijdelijke of wegwerp-e-mailadressen die vaak worden gebruikt voor het misbruiken van aanbiedingen en het aanmaken van nepaccounts. Met deze diensten voor wegwerp-e-mailadressen kunnen aanvallers duizenden 'unieke' accounts aanmaken zonder dat ze daarvoor echte infrastructuur hoeven te onderhouden, met name niet-geverifieerde wegwerp-e-mailadressen die directe toegang bieden zonder dat er een account hoeft te worden aangemaakt, of gratis onbeperkte e-mail-aliassen. Klanten kunnen dit binaire veld gebruiken bij het opstellen van regels om beveiligingsvoorkeuren af te dwingen. Ze kunnen ervoor kiezen om alle wegwerp-e-mailadressen direct te blokkeren of om een waarschuwing te sturen naar iedereen die probeert een account met een wegwerp-e-mailadres aan te maken.
E-mailrisico: Cloudflare analyseert e-mailpatronen en infrastructuur om risiconiveaus (laag, gemiddeld, hoog) vast te stellen die klanten in hun beveiligingsregels kunnen opnemen. We weten dat niet alle e-mailadressen hetzelfde zijn; een adres met de indeling voornaam.achternaam@bekenddomein.com heeft andere risicokenmerken dan xk7q9m2p@nieuwdomein.xyz. Met verschillende e-mail-risiconiveaus kunnen klanten bij het aanmaken van een account aangeven hoeveel risico en ongemak ze bereid zijn te accepteren.
De controle op zowel wegwerp-e-mailadressen als op het e-mailrisico is nu beschikbaar voor beveiligingsanalyses en beveiligingsregels, waardoor website-eigenaren hun aanmeldingsproces kunnen beveiligen. Deze detecties pakken een fundamenteel probleem aan: tegen de tijd dat een account misbruik pleegt, is het al te laat. De website-eigenaar heeft de aanschafkosten al betaald, de frauduleuze gebruiker heeft de promotietegoeden opgebruikt, en het oplossen van het probleem vereist handmatige controle. Om het risico van verdachte e-mails te beperken, moet je bij de aanmelding de juiste drempel opwerpen – op het moment waarop dat het belangrijkste is.
Introductie van gehashte gebruikers-ID's
Om inzicht te krijgen in misbruikpatronen is zichtbaarheid nodig: niet alleen in het netwerk, maar ook in de accountactiviteit. Van oudsher hield beveiliging in dat er via IP-adressen en afzonderlijke HTTP-verzoeken geautomatiseerde activiteiten werden opgespoord, maar website-eigenaren kijken niet alleen naar netwerksignalen; ze houden ook rekening met hun gebruikers en bekende accounts. Daarom breiden we onze reeks maatregelen uit om beter aan te sluiten bij de manier waarop applicaties daadwerkelijk zijn opgezet, waarbij we ons richten op het op gebruikersniveau opsporen van frauduleuze activiteiten.
Aanvallers kunnen moeiteloos van IP-adres wisselen om hun sporen te wissen. Maar door hen te dwingen steeds weer nieuwe, geloofwaardige accounts aan te maken, ontstaat er enorme weerstand, vooral in combinatie met beschermingsmaatregelen bij het aanmaken van accounts. Als we verder kijken dan de netwerklaag en frauduleuze handelingen koppelen aan een specifiek gehackt of misbruikt account, kunnen we heel gericht het gedrag van één enkele, hardnekkige dader opsporen en een einde maken aan het misbruik. Op deze manier verleggen we onze beveiligingsstrategie naar het accountniveau, in plaats van een eindeloze strijd te voeren tegen steeds wisselende IP-adressen en residentiële proxy's. Dit betekent dat onze klanten misbruik kunnen tegengaan door de manier waarop hun applicaties identiteiten scheiden.
We willen website-eigenaren deze functies bieden en daarom introduceert Cloudflare een gehashte gebruikers-ID die klanten voor beveiligingsanalyses, beveiligingsregels en beheerde transformaties kunnen gebruiken. Gebruikers-ID’s zijn per domein geldende, cryptografisch gehashte versies van de waarden in het veld 'gebruikersnaam', en elke gebruikers-ID is een versleutelde, unieke en stabiele identificatiecode die voor een bepaalde gebruikersnaam in een klantapplicatie wordt gegenereerd. Belangrijk hierbij is dat de daadwerkelijke gebruikersnaam niet door Cloudflare wordt geregistreerd of opgeslagen als onderdeel van deze service. Net als bij de controle op gelekte inloggegevens en ATO-detecties, waarbij het inlogverkeer wordt geïdentificeerd en de inloggegevens vervolgens worden versleuteld om ze te kunnen vergelijken, geven we prioriteit aan de privacy van de eindgebruiker en stellen we onze klanten in staat om actie te ondernemen tegen frauduleus gedrag.
Met toegang tot gehashte gebruikers-ID's kunnen website-eigenaren:
De meest actieve gebruikers bekijken: welke accounts vertonen de meeste activiteit?
Zien wanneer een unieke gebruiker inlogt vanuit een land waar hij of zij normaal gesproken niet inlogt, of vanuit meerdere landen op één dag!
Het verkeer beperken op basis van unieke gebruikers, bijvoorbeeld door gebruikers met een verleden van verdachte activiteiten te blokkeren.
Velden combineren om te zien wanneer accounts met gelekte inloggegevens worden aangevallen.
Ontdekken welke netwerkpatronen of signalen aan unieke gebruikers zijn gekoppeld.
Een uitgebreide weergave van een enkele gehashte gebruikers-ID binnen het beveiligingsanalysedashboard, met de activiteitsdetails van die unieke gebruiker, inclusief de inloglocatie en de gebruikte browser.
Deze zichtbaarheid op gebruikersniveau verandert de manier waarop website-eigenaren het verkeer kunnen analyseren en beheersen. In plaats van individuele verzoeken afzonderlijk te bekijken, krijgen onze klanten een volledig beeld van hoe aanvallers zich op legitieme gebruikers richten en zich onder hen verbergen.
Zet vandaag nog de volgende stap op het gebied van accountbeveiliging
Wil je meer weten over deze Vroege Toegang-functie? Meld je dan hier aan. Alle Bot Management Enterprise-klanten kunnen deze nieuwe functies voor bescherming tegen accountmisbruik vandaag nog activeren, en we willen graag met alle potentiële Bot Management-klanten in gesprek gaan.
Terwijl botdetectie zich blijft richten op automatisering en intentie, richt fraudedetectie zich op authenticiteit. Samen bieden ze website-eigenaren uitgebreide hulpmiddelen om alle vormen van accountmisbruik tegen te gaan. Deze functionaliteiten maken deel uit van onze voortdurende investering om het volledige gebruikerstraject te beveiligen – van accounts aanmaken en inloggen tot veilige betalingsprocessen en de integriteit van elke interactie.