Die Gefahren der Wiederverwendung von Anmeldedaten
In der heutigen digitalen Welt, in der unzählige Websites und Anwendungen individuelle Anmeldedaten verlangen, also einen Benutzernamen und ein Passwort, mag es verlockend sein, auf allen diesen Plattformen dieselben Zugangsdaten zu nutzen. Dies scheint eine einfache Lösung, um das Problem vergessener Passwörter zu umgehen.
Jedoch ist die Wiederverwendung von Passwörtern ein riskantes Unterfangen. Der „Annual Identity Exposure Report 2022“ von SpyCloud, der über 15 Milliarden kompromittierte Zugangsdaten analysierte, die im kriminellen Untergrund kursierten, zeigte auf, dass 65 % der geknackten Passwörter für mehr als ein Konto verwendet wurden.
Diese scheinbar praktische Methode, um sich Passwörter zu merken, entpuppt sich schnell als potenzielle Katastrophe. Sollte ein System gehackt und Ihre Zugangsdaten erbeutet werden, sind automatisch alle anderen Konten, die diese gleichen Anmeldedaten verwenden, ebenfalls gefährdet. Die Tatsache, dass kompromittierte Anmeldedaten im Dark Web günstig gehandelt werden, erhöht das Risiko, Opfer von „Credential Stuffing“ zu werden.
Credential Stuffing ist eine Form von Cyberangriffen, bei der Cyberkriminelle gestohlene Zugangsdaten von einem Online-Konto verwenden, um damit den Zugang zu anderen, unabhängigen Online-Konten zu erzwingen.
Ein konkretes Beispiel hierfür ist ein Angreifer, der sich Zugang zu Ihrem Benutzernamen und Passwort für Ihr Twitter-Konto verschafft und diese Daten dann verwendet, um auf Ihr PayPal-Konto zuzugreifen.
Sollten Sie dieselben Zugangsdaten sowohl für Twitter als auch PayPal verwenden, wird Ihr PayPal-Konto durch die Kompromittierung Ihrer Twitter-Anmeldedaten übernommen.
Wenn Sie Ihre Twitter-Anmeldedaten für zahlreiche Online-Konten verwendet haben, könnten diese Online-Konten ebenfalls kompromittiert werden. Diese Angriffsart, genannt Credential Stuffing, nutzt die Gewohnheit vieler Benutzer aus, dieselben Zugangsdaten für mehrere Online-Konten zu verwenden.
Cyberkriminelle, die Credential-Stuffing-Angriffe durchführen, automatisieren und skalieren den Prozess häufig mit Bots. Dadurch können sie große Mengen kompromittierter Anmeldedaten verwenden und gleichzeitig mehrere Online-Plattformen ins Visier nehmen. Da kompromittierte Zugangsdaten durch Datenlecks und den Handel im Dark Web leicht verfügbar sind, ist Credential Stuffing weit verbreitet.
Funktionsweise von Credential Stuffing
Ein Credential-Stuffing-Angriff beginnt in der Regel mit dem Erwerb kompromittierter Anmeldedaten. Diese Benutzernamen und Passwörter können aus dem Dark Web erworben, von Passwort-Dump-Sites heruntergeladen oder durch Datenlecks und Phishing-Angriffe erlangt werden.
Im nächsten Schritt setzen die Angreifer Bots ein, die diese gestohlenen Zugangsdaten auf verschiedenen Websites automatisiert testen. Diese Bots sind ein ideales Werkzeug, da sie unbemerkt Credential-Stuffing mit einer hohen Anzahl von Anmeldedaten und hoher Geschwindigkeit durchführen können.
Auch die Sperrung einer IP-Adresse nach mehreren fehlgeschlagenen Anmeldeversuchen wird durch den Einsatz von Bots umgangen.
Parallel zum Credential-Stuffing werden automatisierte Prozesse gestartet, die erfolgreiche Anmeldungen überwachen. Auf diese Weise erhalten die Angreifer einen Überblick darüber, welche Zugangsdaten auf bestimmten Online-Sites funktionieren und können damit ein Konto auf diesen Plattformen übernehmen.
Sobald ein Angreifer Zugriff auf ein Konto erlangt hat, kann er nach Belieben damit verfahren. Er kann die Anmeldedaten an andere Angreifer verkaufen, vertrauliche Informationen aus dem Konto stehlen, Identitätsdiebstahl begehen oder das Konto für Online-Käufe nutzen, falls ein Bankkonto damit verknüpft ist.
Warum Credential-Stuffing-Angriffe so effektiv sind
Obwohl Credential-Stuffing-Angriffe auf den ersten Blick nicht sehr erfolgreich erscheinen, sind sie dennoch wirkungsvoll. Der Bericht „Economy of Credential Stuffing Attacks“ der Insikt Group, der Abteilung für Bedrohungsforschung von Recorded Future, zeigt auf, dass die durchschnittliche Erfolgsquote von Credential-Stuffing-Angriffen zwischen ein und drei Prozent liegt.
Trotz dieser geringen Erfolgsquote verzeichnete Akamai Technologies in seinem „State of the Internet / Security“-Bericht für das Jahr 2021, dass im Jahr 2020 weltweit 193 Milliarden Credential-Stuffing-Angriffe durchgeführt wurden.
Die hohe Zahl der Angriffe und ihre zunehmende Verbreitung liegt an der Verfügbarkeit riesiger Mengen kompromittierter Anmeldedaten und dem Zugang zu hochentwickelten Bot-Tools, die Credential-Stuffing-Angriffe effektiver machen und sie kaum noch von menschlichen Anmeldeversuchen unterscheiden lassen.
Selbst bei einer geringen Erfolgsquote von einem Prozent kann ein Angreifer, der beispielsweise 1 Million kompromittierter Anmeldedaten hat, etwa 10.000 Konten kompromittieren. Große Mengen kompromittierter Anmeldedaten werden im Dark Web gehandelt, und diese großen Mengen von Anmeldedaten können auf mehreren Plattformen erneut verwendet werden.
Diese enorme Menge an kompromittierten Anmeldedaten führt zu einem Anstieg der Zahl kompromittierter Konten. In Kombination mit der Tatsache, dass viele Benutzer ihre Anmeldedaten für mehrere Online-Konten wiederverwenden, werden Credential-Stuffing-Angriffe sehr effizient.
Credential Stuffing vs. Brute-Force-Angriffe
Obwohl sowohl Credential Stuffing als auch Brute-Force-Angriffe auf die Übernahme von Konten abzielen und das Open Web Application Security Project (OWASP) Credential Stuffing als eine Unterart von Brute-Force-Angriffen betrachtet, unterscheiden sie sich in ihrer Ausführung.
Bei einem Brute-Force-Angriff versucht ein Angreifer, sich Zugang zu einem Konto zu verschaffen, indem er Benutzernamen, Passwort oder beide errät. Dies geschieht in der Regel durch das Ausprobieren möglichst vieler Kombinationen von Benutzernamen und Passwörtern, ohne einen konkreten Hinweis auf die korrekten Daten.
Ein Brute-Force-Angriff kann häufig verwendete Passwortmuster oder ein Wörterbuch mit häufig benutzten Passwortphrasen wie QWERTZ, Passwort oder 12345 nutzen. Ein Brute-Force-Angriff ist meist erfolgreich, wenn der Benutzer schwache oder Standardpasswörter verwendet.
Im Gegensatz dazu versucht ein Credential-Stuffing-Angriff, sich Zugang zu einem Konto zu verschaffen, indem er kompromittierte Anmeldedaten verwendet, die von anderen Systemen oder Online-Konten stammen. Bei Credential Stuffing werden die Anmeldedaten nicht geraten, sondern der Erfolg des Angriffs hängt davon ab, ob ein Nutzer seine Zugangsdaten für mehrere Online-Konten wiederverwendet.
Typischerweise sind die Erfolgsraten von Brute-Force-Angriffen viel niedriger als bei Credential Stuffing. Brute-Force-Angriffe können durch die Verwendung starker Passwörter erschwert werden. Die Verwendung starker Passwörter verhindert jedoch keinen Credential-Stuffing-Angriff, wenn das gleiche starke Passwort für mehrere Konten verwendet wird. Credential Stuffing lässt sich am besten verhindern, indem man eindeutige Anmeldedaten für Online-Konten verwendet.
So erkennen Sie Credential-Stuffing-Angriffe
Bei Credential-Stuffing-Angriffen werden häufig Bots eingesetzt, die menschliche Benutzer imitieren, wodurch es schwierig wird, einen Anmeldeversuch eines echten Menschen von dem eines Bots zu unterscheiden. Dennoch gibt es Anzeichen, die auf einen laufenden Credential-Stuffing-Angriff hindeuten können.
Beispielsweise sollte ein plötzlicher Anstieg des Web-Traffics Verdacht erregen. In einem solchen Fall sollte man die Anmeldeversuche auf der Website überwachen. Eine Zunahme der Anmeldeversuche bei mehreren Konten von verschiedenen IP-Adressen oder eine erhöhte Fehlerrate bei Anmeldeversuchen können Anzeichen für einen Credential-Stuffing-Angriff sein.
Ein weiteres Anzeichen für einen Credential-Stuffing-Angriff sind Benutzer, die sich darüber beschweren, dass sie von ihren Konten ausgesperrt wurden oder Benachrichtigungen über fehlgeschlagene Anmeldeversuche erhalten, die sie nicht selbst durchgeführt haben.
Zusätzlich sollte die Benutzeraktivität beobachtet werden. Ungewöhnliche Aktivitäten, wie z.B. Änderungen an Einstellungen, Profilinformationen, Geldüberweisungen und Online-Käufe, könnten auf einen Credential-Stuffing-Angriff hinweisen.
So schützen Sie sich vor Credential Stuffing
Es gibt mehrere Maßnahmen, die Sie ergreifen können, um nicht Opfer von Credential-Stuffing-Angriffen zu werden. Dazu gehören:
#1. Vermeiden Sie die Wiederverwendung derselben Anmeldedaten für mehrere Konten
Credential Stuffing ist darauf angewiesen, dass Benutzer ihre Anmeldedaten über verschiedene Online-Konten hinweg teilen. Dies lässt sich leicht vermeiden, indem Sie einzigartige Anmeldedaten für jedes Online-Konto verwenden.
Mit Passwort-Managern wie Google Password Manager können Benutzer individuelle Passwörter nutzen, ohne befürchten zu müssen, ihre Anmeldedaten zu vergessen. Unternehmen können dies auch fördern, indem sie die Verwendung von E-Mail-Adressen als Benutzernamen unterbinden. Auf diese Weise ist es wahrscheinlicher, dass Benutzer auf verschiedenen Plattformen einzigartige Anmeldedaten verwenden.
#2. Nutzen Sie die Multifaktor-Authentifizierung (MFA)
Die Multifaktor-Authentifizierung (MFA) verwendet mehrere Methoden, um die Identität eines Benutzers zu verifizieren, der versucht, sich anzumelden. Sie kombiniert traditionelle Authentifizierungsmethoden, wie Benutzername und Passwort, mit einem zusätzlichen geheimen Sicherheitscode, der den Benutzern per E-Mail oder Textnachricht mitgeteilt wird, um ihre Identität weiter zu bestätigen. MFA ist sehr effektiv bei der Verhinderung von Credential Stuffing, da es eine zusätzliche Sicherheitsebene hinzufügt.
Sie werden sogar benachrichtigt, wenn jemand versucht, Ihr Konto zu kompromittieren, da Sie einen Sicherheitscode erhalten, ohne ihn angefordert zu haben. Eine Studie von Microsoft zeigt, dass die Wahrscheinlichkeit, dass Online-Konten mit MFA kompromittiert werden, um 99,9 Prozent geringer ist.
#3. Geräte-Fingerprinting
Das Geräte-Fingerprinting kann verwendet werden, um den Zugriff auf ein Online-Konto einem bestimmten Gerät zuzuordnen. Dabei wird das Gerät, mit dem auf das Konto zugegriffen wird, anhand von Informationen wie Gerätemodell und -nummer, verwendetem Betriebssystem, Sprache und Land identifiziert.
Hierdurch wird ein eindeutiger Geräte-Fingerabdruck erstellt, der dann einem Benutzerkonto zugewiesen wird. Der Zugriff auf das Konto über ein anderes Gerät ist nicht möglich, ohne die Genehmigung des mit dem Konto verknüpften Geräts einzuholen.
#4. Überwachung auf durchgesickerte Passwörter
Wenn Benutzer versuchen, Benutzernamen und Passwörter für eine Online-Plattform zu erstellen, können die Anmeldedaten mit bereits veröffentlichten, durchgesickerten Passwörtern abgeglichen werden, anstatt nur die Stärke des Passworts zu überprüfen. Dies verhindert die Nutzung von Anmeldedaten, die später missbraucht werden könnten.
Organisationen können Lösungen implementieren, die Benutzeranmeldedaten auf durchgesickerte Informationen im Dark Web überwachen und Benutzer benachrichtigen, falls eine Übereinstimmung gefunden wird. Betroffene Nutzer können aufgefordert werden, ihre Identität zu verifizieren, ihre Anmeldedaten zu ändern und MFA zu nutzen, um ihr Konto weiter zu schützen.
#5. Anmeldedaten-Hashing
Hierbei werden Benutzeranmeldedaten verschlüsselt, bevor sie in einer Datenbank gespeichert werden. Dies trägt zum Schutz vor Missbrauch von Anmeldedaten im Falle einer Datenpanne der Systeme bei, da die Anmeldedaten in einem nicht verwendbaren Format gespeichert werden.
Obwohl dies keine absolute Sicherheit bietet, kann es Benutzern Zeit verschaffen, ihre Passwörter im Falle einer Datenpanne zu ändern.
Beispiele für Credential-Stuffing-Angriffe
Einige bemerkenswerte Beispiele für Credential-Stuffing-Angriffe sind:
- Der Diebstahl von über 500.000 Zoom-Anmeldedaten im Jahr 2020. Dieser Angriff erfolgte unter Verwendung von Benutzernamen und Passwörtern aus verschiedenen Dark-Web-Foren, die aus Angriffen bis ins Jahr 2013 stammten. Die gestohlenen Zoom-Anmeldedaten wurden im Dark Web zum Verkauf angeboten.
- Die Kompromittierung tausender Benutzerkonten der Canada Revenue Agency (CRA). Im Jahr 2020 wurden etwa 5500 CRA-Konten bei zwei separaten Credential-Stuffing-Angriffen kompromittiert, wodurch Benutzer nicht mehr auf die Dienste der CRA zugreifen konnten.
- Die Kompromittierung von 194.095 Benutzerkonten von The North Face. Das Unternehmen, das Sportbekleidung verkauft, war im Juli 2022 von einem Credential-Stuffing-Angriff betroffen. Hierdurch wurden vollständige Namen, Telefonnummern, Geschlechter, Treuepunkte, Rechnungs- und Lieferadressen, Erstellungsdaten der Konten und Kaufhistorien der Kunden offengelegt.
- Ein Credential-Stuffing-Angriff auf Reddit im Jahr 2019. Mehrere Reddit-Benutzer wurden von ihren Konten ausgesperrt, nachdem ihre Anmeldedaten kompromittiert wurden.
Diese Angriffe zeigen die Wichtigkeit von Schutzmaßnahmen gegen ähnliche Angriffe.
Fazit
Vielleicht sind Sie schon einmal auf Verkäufer von Anmeldedaten für Streaming-Dienste wie Netflix, Hulu und Disney+ oder Online-Dienste wie Grammarly, Zoom und Turnitin gestoßen. Woher bekommen diese Verkäufer Ihrer Meinung nach die Anmeldedaten?
Solche Anmeldedaten werden höchstwahrscheinlich durch Credential-Stuffing-Angriffe erlangt. Falls Sie dieselben Zugangsdaten für mehrere Online-Konten verwenden, ist es an der Zeit, diese zu ändern, bevor Sie zum Opfer werden.
Um sich weiterhin zu schützen, sollten Sie die Multifaktor-Authentifizierung für alle Ihre Online-Konten aktivieren und den Kauf von kompromittierten Anmeldedaten vermeiden, da dies eine günstige Umgebung für Credential-Stuffing-Angriffe schafft.