Was ist Credential Stuffing?

Credential Stuffing hat in den letzten Jahren die Schlagzeilen beherrscht und ist schnell zur bevorzugten Angriffsmethode von Cyberkriminellen geworden.

Zwischen dem 1. Januar 2018 und dem 31. Dezember 2019 verzeichnete Akamai Technologies mehr als 88 Milliarden Angriffe über alle Branchen hinweg. Es wird erwartet, dass diese Zahl angesichts der Zunahme von Datenschutzverletzungen und der massiven Verlagerung auf Online-Dienste während der Covid-19-Pandemie noch steigen wird.

Credential Stuffing-Angriffe treten auf, wenn Kriminelle große Mengen an gestohlenen Benutzernamen und Passwörtern verwenden, um sich auf betrügerische Weise Zugang zu Benutzerkonten zu verschaffen. Diese Informationen werden in der Regel über das Dark Web als Folge einer der vielen Datenschutzverletzungen in Unternehmen erlangt.

Mit Hilfe von Bots und spezialisierten Automatisierungstools können Hacker dann diese gestohlenen Anmeldedaten verwenden, um mehrere Login-Anfragen auf verschiedenen Websites zu starten. Diese Art von Angriff ist relativ einfach auszuführen und beruht darauf, dass die Benutzer immer wieder dasselbe Passwort verwenden.

Es handelt sich dabei um eine Art Brute-Force-Angriff, aber anstatt zufällige Passwortkombinationen zu erraten, werden legitime Anmeldedaten verwendet, was die Erfolgsquote insgesamt erhöht.

Wie bei den meisten Cyberangriffen ist das Hauptmotiv finanzieller Natur. Die Hacker versuchen, die kompromittierten Konten zu Geld zu machen, indem sie sich Zugang zu den verknüpften Bankkonten verschaffen, oder sie nutzen die persönlichen Daten, um Identitätsdiebstahl zu begehen.

Was ist der Grund für die Zunahme von Credential Stuffing-Angriffen?

Ganz einfach, es sind die Milliarden von kompromittierten Zugangsdaten, die im Dark Web zum Kauf angeboten werden. Die Website HaveIBeenPwned.com verzeichnet über 8,5 Milliarden kompromittierte Zugangsdaten aus über 400 Datenschutzverletzungen, und einige dieser Verletzungen sind absolut kolossal.

Das bemerkenswerteste Beispiel dafür ist der Mega-Einbruch bei Collection #1. Die Sicherheitslücke wurde 2019 bekannt und enthüllte 1,2 Milliarden einzigartige E-Mail-Adressen und Passwortkombinationen, 773 Millionen einzigartige E-Mail-Adressen und 21 Millionen Passwörter.

Dieser einfache Zugang zu riesigen Datenmengen ermöglicht es Hackern, Millionen von verschiedenen E-Mail- und Passwortkombinationen zu testen, in der Hoffnung, dass die Benutzer dasselbe Passwort wieder verwendet haben.

Die zunehmende Raffinesse der Tools, die Hacker für diese Angriffe verwenden, hat es auch einfacher gemacht, mehrere Anmeldeversuche zu unternehmen und dabei den Anschein zu erwecken, dass sie von verschiedenen IP-Adressen stammen.

Welche Branchen sind von Credential Stuffing Angriffen betroffen?

Alle Branchen sind Ziel von Credential Stuffing-Angriffen, aber einige sind anfälliger als andere. Zu den am stärksten betroffenen Branchen gehören E-Commerce, Einzelhandel, Finanzdienstleistungen, Unterhaltung, Hochschulbildung und Gesundheitswesen.

Die Finanzdienstleistungsbranche ist besonders stark betroffen. Im September dieses Jahres hat das FBI eine Warnung an Organisationen im Finanzsektor vor der Zunahme dieser Angriffe herausgegeben. Die Behörde stellte fest, dass 41 % aller Angriffe auf den Finanzsektor zwischen 2017 und 2020 auf Credential Stuffing zurückzuführen waren und zu einem Verlust von Millionen von Dollar führten.

Diese Art von Angriffen kann verheerende Folgen für Unternehmen haben: Umsatzeinbußen, betriebliche Ausfallzeiten, Rufschädigung, finanzielle Strafen und Verlust von Kunden.

Beispiele für jüngste Credential Stuffing Angriffe

Die Zahl der Datenschutzverletzungen, die auf Angriffe mit Zugangsdaten zurückzuführen sind, hat deutlich zugenommen. Einige aktuelle Beispiele sind:

• Dunkin Donuts – Im Februar 2019 bestätigte Dunkin Donuts, dass es zum zweiten Mal innerhalb von drei Monaten Opfer eines Angriffs wurde, bei dem Zugangsdaten gestohlen wurden. Bei beiden Angriffen nutzten Hacker gestohlene Zugangsdaten, die von anderen Websites durchgesickert waren, um Zugang zu DD Perks Prämienkonten zu erhalten. Sobald sie drin waren, konnten sie auf die Vor- und Nachnamen der Benutzer, die E-Mail-Adresse, die DD Perks Kontonummern und den DD Perks QR-Code zugreifen. Bei diesem speziellen Angriff waren die Hacker nicht auf die persönlichen Daten der Benutzer aus, sondern auf das Konto selbst, das sie dann im Dark Web verkauften.
• Nintendo – Im April 2020 gab Nintendo bekannt, dass 160.000 Konten im Rahmen eines Angriffs zum Ausfüllen von Zugangsdaten missbraucht wurden. Mit Hilfe von zuvor veröffentlichten Benutzer-IDs und Passwörtern konnten sich die Hacker Zugang zu den Benutzerkonten verschaffen, so dass sie mit gespeicherten Karten digitale Artikel kaufen konnten. Sie waren auch in der Lage, sensible Daten wie Name, E-Mail-Adresse, Geburtsdatum, Geschlecht und Land einzusehen.

Wie Sie Credential Stuffing verhindern können

Starke Passwortsicherheit

Wir alle wissen, wie wichtig es ist, sichere und eindeutige Passwörter zu verwenden, doch laut einer aktuellen Sicherheitsumfrage von Google verwenden 65 % der Menschen dasselbe Passwort für mehrere Konten.

Dies ist eine äußerst riskante Praxis, denn Angriffe auf Zugangsdaten beruhen in hohem Maße darauf, dass wir die gleichen alten, wiederverwendeten Passwörter verwenden. Vielleicht nehmen Sie sich vor, dies zu tun, aber es lohnt sich, digital aufzuräumen und für jedes Ihrer Online-Konten ein eigenes Passwort zu erstellen.

Eine gute Möglichkeit, ein längeres und komplexeres Passwort zu erstellen, ist die Verwendung einer Passphrase. Eine Passphrase ist eine satzähnliche Folge von Wörtern, die Sie sich merken können, die aber für andere schwer zu knacken ist. Der erste Buchstabe jedes Wortes bildet die Grundlage Ihres Passworts, und die Buchstaben können durch Zahlen und Symbole ersetzt werden, um es noch sicherer zu machen.

Verwenden Sie einen Passwort-Manager

Wenn der Gedanke, sich mehrere Passwörter merken zu müssen, Sie mit Grauen erfüllt, könnte ein Passwort-Manager die Lösung sein. Ein Passwort-Manager bietet einen zentralen und verschlüsselten Ort, an dem alle Ihre Passwörter sicher aufbewahrt werden.

Passwort-Manager speichern die Anmeldedaten für alle von Ihnen genutzten Websites und melden Sie dann jedes Mal automatisch an, wenn Sie zu einer Website zurückkehren. Der erste Schritt bei der Verwendung eines Passwortmanagers besteht darin, ein Master-Passwort zu erstellen. Das Master-Passwort steuert den Zugriff auf Ihre gesamte Passwort-Datenbank. Dieses Passwort ist das einzige, das Sie sich merken müssen. Daher ist es wichtig, dass Sie es so sicher wie möglich machen.

Passwort-Manager können auch vor Phishing-Angriffen schützen, da sie die Kontoinformationen auf der Grundlage Ihrer registrierten Webadressen ausfüllen. Wenn Sie also glauben, dass Sie sich auf der Website Ihrer Bank befinden, der Passwort-Manager Sie aber nicht automatisch anmeldet, haben Sie sich möglicherweise versehentlich auf eine Phishing-Website verirrt.

Implementieren Sie die Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung, auch bekannt als MFA, ist eine der besten Methoden, um die Sicherheit Ihrer Online-Konten zu schützen. Laut Microsoft ist die Wahrscheinlichkeit, dass Ihr Konto kompromittiert wird, um mehr als 99,9 % geringer, wenn Sie MFA verwenden.

Anstatt Ihre Identität nur mit einem einfachen Benutzernamen und einem Passwort zu bestätigen, müssen Sie zwei oder mehr Authentifizierungsfaktoren angeben, auf die nur Sie Zugriff haben. Dadurch verringert sich die Wahrscheinlichkeit, dass ein Hacker sich leicht Zugang zu Ihren Konten verschaffen kann.

Es gibt viele verschiedene Authentifizierungstechnologien, die verwendet werden können, um Ihre Identität zu bestätigen. Diese basieren in der Regel auf etwas, das Sie wissen, etwas, das Sie haben, oder etwas, das Sie sind.

Einige dieser Verifizierungsmethoden sind zweifellos sicherer als andere, aber im Wesentlichen bedeutet dies, dass selbst wenn jemand Ihr Passwort stiehlt oder errät, er ohne einen weiteren Authentifizierungsfaktor nicht auf Ihr Konto zugreifen kann.

Verdächtige Login-Versuche überwachen und blockieren

Wenn Hacker versuchen, Konten durch Credential Stuffing zu kompromittieren, verwenden sie oft Bots oder andere automatisierte Tools, um Tausende von Anmeldedaten in schneller Folge einzugeben. Diese sind in der Regel über mehrere IP-Adressen verteilt, was es schwierig macht, festzustellen, ob es sich um legitime Anmeldeversuche oder um Anzeichen eines koordinierten Angriffs handelt.

Wenn jedoch mehrere Anmeldeversuche innerhalb eines relativ kurzen Zeitraums fehlschlagen, kann dies ein Anzeichen dafür sein, dass ein Angriff zum Ausfüllen von Anmeldeinformationen stattfindet. Um dies zu verhindern, können IT-Abteilungen die Anzahl der Anmeldeversuche begrenzen, die eine einzelne IP-Adresse innerhalb eines bestimmten Zeitraums unternehmen kann. Sie können auch Anmeldungen verfolgen, die zu Betrug führen, und diese IP-Adressen auf eine schwarze Liste setzen.