Bei so vielen Websites und Anwendungen, die eindeutige Benutzeranmeldeinformationen erfordern, d. h. einen Benutzernamen und ein Passwort, könnte es verlockend sein, auf allen diesen Plattformen dieselben Anmeldeinformationen zu verwenden.
Tatsächlich wurde laut dem 2022 Annual Identity Exposure Report von SpyCloud, der mehr als 15 Milliarden kompromittierte Zugangsdaten analysierte, die auf kriminellen Untergrundseiten verfügbar sind, festgestellt, dass 65 Prozent der gebrochenen Passwörter für mindestens zwei Konten verwendet wurden.
Für Benutzer, die Anmeldeinformationen auf verschiedenen Plattformen wiederverwenden, mag dies wie eine geniale Methode erscheinen, um das Vergessen von Passwörtern zu vermeiden, aber in Wirklichkeit ist es eine Katastrophe, die auf uns wartet.
Für den Fall, dass eines der Systeme kompromittiert und Ihre Anmeldeinformationen erfasst werden, besteht für alle anderen Konten, die dieselben Anmeldeinformationen verwenden, das Risiko einer Kompromittierung. Wenn man bedenkt, dass kompromittierte Zugangsdaten billig im Dark Web verkauft werden, könnten Sie leicht Opfer von Credential Stuffing werden.
Credential Stuffing ist ein Cyberangriff, bei dem böswillige Akteure gestohlene Anmeldeinformationen für ein Online-Konto oder -System verwenden, um zu versuchen, auf andere unabhängige Online-Konten oder -Systeme zuzugreifen.
Ein Beispiel hierfür ist ein böswilliger Akteur, der sich Zugriff auf Ihren Benutzernamen und Ihr Passwort für Ihr Twitter-Konto verschafft und diese kompromittierten Anmeldeinformationen verwendet, um zu versuchen, auf ein Paypal-Konto zuzugreifen.
Für den Fall, dass Sie dieselben Zugangsdaten für Twitter und Paypal verwenden, wird Ihr Paypal-Konto aufgrund einer Verletzung Ihrer Twitter-Anmeldedaten übernommen.
Falls Sie Ihre Twitter-Anmeldeinformationen für mehrere Online-Konten verwenden, könnten diese Online-Konten ebenfalls kompromittiert werden. Ein solcher Angriff wird als Credential Stuffing bezeichnet und nutzt die Tatsache aus, dass viele Benutzer Anmeldeinformationen für mehrere Online-Konten wiederverwenden.
Böswillige Akteure, die Credential-Stuffing-Angriffe durchführen, verwenden in der Regel Bots, um den Prozess zu automatisieren und zu skalieren. Auf diese Weise können sie eine große Anzahl kompromittierter Anmeldeinformationen verwenden und auf mehrere Online-Plattformen abzielen. Da kompromittierte Zugangsdaten aufgrund von Datenschutzverletzungen durchsickern und auch im Dark Web verkauft werden, sind Credential-Stuffing-Angriffe weit verbreitet.
Inhaltsverzeichnis
So funktioniert Credential Stuffing
Ein Credential-Stuffing-Angriff beginnt mit dem Erwerb kompromittierter Anmeldedaten. Diese Benutzernamen und Passwörter können im Dark Web gekauft, von Passwort-Dump-Sites aufgerufen oder durch Datenschutzverletzungen und Phishing-Angriffe erlangt werden.
Im nächsten Schritt werden Bots eingerichtet, um die gestohlenen Zugangsdaten auf verschiedenen Websites zu testen. Automatisierte Bots sind das ideale Tool für Credential-Stuffing-Angriffe, da Bots heimlich Credential Stuffing mit einer großen Anzahl von Anmeldeinformationen gegen viele Websites mit hoher Geschwindigkeit durchführen können.
Auch die Herausforderung, dass eine IP-Adresse nach mehreren fehlgeschlagenen Anmeldeversuchen gesperrt wird, wird durch den Einsatz von Bots umgangen.
Wenn ein Credential-Stuffing-Angriff gestartet wird, werden parallel zum Credential-Stuffing-Angriff auch automatisierte Prozesse zur Überwachung erfolgreicher Anmeldungen gestartet. Auf diese Weise erhalten Angreifer auf einfache Weise Zugangsdaten, die auf bestimmten Online-Sites funktionieren, und verwenden sie, um ein Konto auf den Plattformen zu übernehmen.
Sobald Angreifer Zugriff auf ein Konto hatten, liegt es in ihrem Ermessen, was sie damit tun können. Angreifer können die Anmeldeinformationen an andere Angreifer verkaufen, vertrauliche Informationen aus dem Konto stehlen, die Identität preisgeben oder das Konto für Online-Einkäufe verwenden, falls ein Bankkonto kompromittiert wird.
Warum Credential-Stuffing-Angriffe effektiv sind
Credential Stuffing ist ein Cyberangriff mit sehr geringen Erfolgsraten. Laut dem „Economy of Credential Stuffing Attacks“-Bericht der Insikt Group, der Abteilung für Bedrohungsforschung von Recorded Future, liegt die durchschnittliche Erfolgsquote für Credential-Stuffing-Angriffe zwischen einem und drei Prozent.
So gering die Erfolgsraten auch sind, Akamai Technologies stellte in seinem State of the Internet / Security-Bericht 2021 fest, dass Akamai im Jahr 2020 weltweit 193 Milliarden Credential-Stuffing-Angriffe verzeichnete.
Der Grund für die hohe Anzahl von Credential-Stuffing-Angriffen und ihre zunehmende Verbreitung liegt in der Anzahl der verfügbaren kompromittierten Anmeldeinformationen und dem Zugriff auf fortschrittliche Bot-Tools, die Credential-Stuffing-Angriffe effektiver und fast nicht von menschlichen Anmeldeversuchen zu unterscheiden machen.
Selbst bei einer geringen Erfolgsquote von nur einem Prozent kann ein Angreifer beispielsweise, wenn er 1 Million kompromittierte Anmeldeinformationen hat, etwa 10.000 Konten kompromittieren. Große Mengen an kompromittierten Anmeldeinformationen werden im Dark Web gehandelt, und solch große Mengen an kompromittierten Anmeldeinformationen können auf mehreren Plattformen wiederverwendet werden.
Diese große Menge an kompromittierten Anmeldeinformationen führt zu einer Zunahme der Anzahl kompromittierter Konten. In Verbindung mit der Tatsache, dass Benutzer ihre Anmeldeinformationen weiterhin für mehrere Online-Konten wiederverwenden, werden Credential-Stuffing-Angriffe sehr effektiv.
Credential Stuffing vs. Brute-Force-Angriffe
Obwohl sowohl Credential Stuffing als auch Brute-Force-Angriffe Kontoübernahmeangriffe sind und das Open Web Application Security Project (OWASP) Credential Stuffing als Teilmenge von Brute-Force-Angriffen betrachtet, unterscheiden sich die beiden in der Art und Weise, wie sie ausgeführt werden.
Bei einem Brute-Force-Angriff versucht ein böswilliger Akteur, ein Konto zu übernehmen, indem er den Benutzernamen oder das Passwort oder beide errät. Dies geschieht in der Regel, indem so viele mögliche Kombinationen aus Benutzername und Passwort ausprobiert werden, ohne Kontext oder Hinweis darauf, was sie sein könnten.
Ein Brute-Force-Angriff kann häufig verwendete Kennwortmuster oder ein Wörterbuch häufig verwendeter Kennwortphrasen wie QWERTZ, Kennwort oder 12345 verwenden. Ein Brute-Force-Angriff kann erfolgreich sein, wenn der Benutzer schwache Kennwörter oder Standardkennwörter des Systems verwendet.
Ein Credential-Stuffing-Angriff hingegen versucht, ein Konto zu übernehmen, indem kompromittierte Anmeldeinformationen verwendet werden, die von anderen Systemen oder Online-Konten stammen. Bei einem Credential-Stuffing-Angriff errät der Angriff die Anmeldedaten nicht. Der Erfolg eines Credential-Stuffing-Angriffs hängt davon ab, ob ein Benutzer seine Anmeldedaten für mehrere Online-Konten wiederverwendet.
Typischerweise sind die Erfolgsraten von Brute-Force-Angriffen viel niedriger als beim Credential Stuffing. Brute-Force-Angriffe können durch die Verwendung starker Passwörter verhindert werden. Die Verwendung starker Passwörter kann jedoch Credential Stuffing nicht verhindern, falls das starke Passwort von mehreren Konten gemeinsam genutzt wird. Credential Stuffing wird verhindert, indem eindeutige Anmeldeinformationen für Online-Konten verwendet werden.
So erkennen Sie Credential-Stuffing-Angriffe
Credential Stuffing-Bedrohungsakteure verwenden in der Regel Bots, die menschliche Agenten nachahmen, und es ist oft sehr schwierig, einen Anmeldeversuch von einem echten Menschen und einem von einem Bot zu unterscheiden. Es gibt jedoch immer noch Anzeichen, die auf einen laufenden Credential-Stuffing-Angriff hinweisen können.
Zum Beispiel sollte ein plötzlicher Anstieg des Webverkehrs Verdacht erregen. Überwachen Sie in einem solchen Fall Anmeldeversuche auf der Website, und falls es eine Zunahme der Anmeldeversuche bei mehreren Konten von mehreren IP-Adressen oder eine Zunahme der Anmeldefehlerrate gibt, könnte dies auf einen laufenden Credential-Stuffing-Angriff hindeuten.
Ein weiterer Indikator für einen Credential-Stuffing-Angriff sind Benutzer, die sich darüber beschweren, dass sie von ihren Konten ausgeschlossen wurden oder Benachrichtigungen über fehlgeschlagene Anmeldeversuche erhalten, die nicht von ihnen durchgeführt wurden.
Überwachen Sie außerdem die Benutzeraktivität, und falls Sie ungewöhnliche Benutzeraktivitäten bemerken, wie z. B. das Vornehmen von Änderungen an ihren Einstellungen, Profilinformationen, Geldüberweisungen und Online-Käufen, könnte dies auf einen Credential-Stuffing-Angriff hindeuten.
So schützen Sie sich vor Credential Stuffing
Es gibt mehrere Maßnahmen, die ergriffen werden können, um zu vermeiden, Opfer von Credential-Stuffing-Angriffen zu werden. Das beinhaltet:
#1. Vermeiden Sie die Wiederverwendung derselben Anmeldeinformationen für mehrere Konten
Credential Stuffing ist davon abhängig, dass ein Benutzer seine Credentials über mehrere Online-Konten hinweg teilt. Dies kann leicht vermieden werden, indem Sie eindeutige Anmeldeinformationen für verschiedene Online-Konten verwenden.
Mit Passwort-Managern wie Google Password Manager können Benutzer immer noch eindeutige und individuelle Passwörter verwenden, ohne sich Sorgen machen zu müssen, dass sie ihre Anmeldeinformationen vergessen. Unternehmen können dies auch durchsetzen, indem sie die Verwendung von E-Mail-Adressen als Benutzernamen unterbinden. Auf diese Weise ist es wahrscheinlicher, dass Benutzer auf verschiedenen Plattformen eindeutige Anmeldeinformationen verwenden.
#2. Multifaktor-Authentifizierung (MFA) verwenden
Multifaktor-Authentifizierung ist die Verwendung mehrerer Methoden zur Authentifizierung der Identität eines Benutzers, der versucht, sich anzumelden. Dies kann durch die Kombination traditioneller Authentifizierungsmethoden eines Benutzernamens und eines Passworts zusammen mit einem geheimen Sicherheitscode implementiert werden, der den Benutzern per E-Mail oder Textnachricht mitgeteilt wird um ihre Identität weiter zu bestätigen. Dies ist sehr effektiv bei der Verhinderung von Credential Stuffing, da es eine zusätzliche Sicherheitsebene hinzufügt.
Es kann Sie sogar darüber informieren, wenn jemand versucht, Ihr Konto zu kompromittieren, da Sie einen Sicherheitscode erhalten, ohne einen anzufordern. MFA ist so effektiv, dass eine Microsoft-Studie ergab, dass Online-Konten mit einer um 99,9 Prozent geringeren Wahrscheinlichkeit kompromittiert werden, wenn sie MFA verwenden.
#3. Geräte-Fingerabdruck
Geräte-Fingerprinting kann verwendet werden, um den Zugriff auf ein Online-Konto einem bestimmten Gerät zuzuordnen. Device Fingerprinting identifiziert das Gerät, das für den Zugriff auf ein Konto verwendet wird, unter anderem anhand von Informationen wie Gerätemodell und -nummer, verwendetem Betriebssystem, Sprache und Land.
Dadurch wird ein eindeutiger Geräte-Fingerabdruck erstellt, der dann einem Benutzerkonto zugeordnet wird. Der Zugriff auf das Konto über ein anderes Gerät ist ohne Genehmigung durch das mit dem Konto verknüpfte Gerät nicht gestattet.
#4. Überwachung auf durchgesickerte Passwörter
Wenn Benutzer versuchen, Benutzernamen und Passwörter für eine Online-Plattform zu erstellen, anstatt nur die Stärke der Passwörter zu überprüfen, können die Anmeldeinformationen mit veröffentlichten, durchgesickerten Passwörtern gegengeprüft werden. Dies trägt dazu bei, die Verwendung von Anmeldeinformationen zu verhindern, die später ausgenutzt werden können.
Organisationen können Lösungen implementieren, die Benutzeranmeldeinformationen auf durchgesickerte Anmeldeinformationen im Dark Web überwachen und Benutzer benachrichtigen, wenn eine Übereinstimmung gefunden wird. Benutzer können dann aufgefordert werden, ihre Identität durch eine Vielzahl von Methoden zu überprüfen, Anmeldeinformationen zu ändern und auch MFA zu implementieren, um ihr Konto weiter zu schützen
#5. Anmeldedaten-Hashing
Dazu gehört das Verschlüsseln von Benutzeranmeldeinformationen, bevor sie in einer Datenbank gespeichert werden. Dies trägt zum Schutz vor Missbrauch von Anmeldeinformationen im Falle einer Datenschutzverletzung der Systeme bei, da die Anmeldeinformationen in einem Format gespeichert werden, das nicht verwendet werden kann.
Obwohl dies keine narrensichere Methode ist, kann es Benutzern Zeit geben, ihre Passwörter im Falle einer Datenpanne zu ändern.
Beispiele für Credential-Stuffing-Angriffe
Einige bemerkenswerte Beispiele für Credential-Stuffing-Angriffe sind:
- Der Diebstahl von über 500.000 Zoom-Anmeldeinformationen im Jahr 2020. Dieser Credential-Stuffing-Angriff wurde unter Verwendung von Benutzernamen und Passwörtern ausgeführt, die aus verschiedenen Dark-Web-Foren stammen, wobei Anmeldeinformationen aus Angriffen stammen, die bis ins Jahr 2013 zurückreichen. Die gestohlenen Zoom-Anmeldeinformationen wurden im Dunkeln verfügbar gemacht Web und günstig an willige Käufer verkauft
- Kompromittierung Tausender Benutzerkonten der Canada Revenue Agency (CRA). Im Jahr 2020 wurden etwa 5500 CRA-Konten bei zwei separaten Angriffen auf Anmeldeinformationen kompromittiert, was dazu führte, dass Benutzer nicht auf die von der CRA angebotenen Dienste zugreifen konnten.
- Kompromittierung von 194.095 Benutzerkonten von The North Face. The North Face ist ein Unternehmen, das Sportbekleidung verkauft, und erlitt im Juli 2022 einen Credential-Stuffing-Angriff. Der Angriff führte dazu, dass der vollständige Name, die Telefonnummer, das Geschlecht, die Treuepunkte, die Rechnungs- und Lieferadresse, das Erstellungsdatum des Kontos, und Kaufhistorie.
- Reddit-Credential-Stuffing-Angriff im Jahr 2019. Mehrere Reddit-Benutzer wurden von ihren Konten gesperrt, nachdem ihre Anmeldeinformationen durch Credential-Stuffing-Angriffe kompromittiert worden waren.
Diese Angriffe unterstreichen, wie wichtig es ist, sich vor ähnlichen Angriffen zu schützen.
Abschluss
Möglicherweise sind Sie unter anderem auf Verkäufer von Anmeldeinformationen für Streaming-Sites wie Netflix, Hulu und Disney+ oder Online-Dienste wie Grammarly, Zoom und Turnitin gestoßen. Woher bekommen die Verkäufer Ihrer Meinung nach die Anmeldeinformationen?
Nun, solche Anmeldeinformationen werden wahrscheinlich durch Credential-Stuffing-Angriffe erlangt. Wenn Sie dieselben Zugangsdaten für mehrere Online-Konten verwenden, ist es an der Zeit, sie zu ändern, bevor Sie Opfer werden.
Um sich weiter zu schützen, implementieren Sie die Multifaktor-Authentifizierung für alle Ihre Online-Konten und vermeiden Sie den Kauf kompromittierter Anmeldeinformationen, da dies eine günstige Umgebung für Credential-Stuffing-Angriffe schafft.