Es ist schlimm genug, wenn Ihre persönlichen Daten gestohlen werden – aber noch schlimmer ist es, wenn sie dann verwendet werden, um in eines Ihrer anderen Online-Konten einzudringen. Willkommen in der zwielichtigen Welt des Credential Stuffing, wo sich Cyberkriminelle mithilfe gestohlener Anmeldeinformationen gewaltsam Zugang zu geschützten Websites wie Ihrem Online-Bankkonto zu verschaffen. Finden Sie heraus, was Credential Stuffing so gefährlich macht und wie Sie Hackern sogar ungewollt dabei behilflich sein könnten. Ergreifen Sie vor allem Maßnahmen, um Ihre Geräte und Ihre digitale Identität mit dem professionellen Online-Schutz von Avira Free Security abzusichern.
Was ist Credential Stuffing und warum ist es ein wachsendes Problem?
Vereinfacht gesagt: Der Name sagt schon (fast) alles: Hacker stehlen Anmeldeinformationen und „stopfen“ (engl. „stuff“) diese Benutzernamen und Passwörter in die Anmeldefelder von allen möglichen Online-Konten in der Hoffnung, dass sie auch dort funktionieren. Credential Stuffing ist ein häufiger Typ von Cyberangriff, vor dem wir uns alle in Acht nehmen müssen. Zum Glück gibt es auch eine gute Nachricht: Mit den richtigen Sicherheitsmaßnahmen ist er weitgehend vermeidbar. Wenn wir verstehen, wie diese Angriffe ablaufen, können wir uns davor schützen.
Wo kaufen Cyberkriminelle also die Daten, die sie für diese Angriffe benötigen? Natürlich in den Tiefen des Internets. Das Knacken von Online-Konten wird als „Datenleck“ bezeichnet und das Darknet ist voller gestohlener Anmeldeinformationen, die auf illegalen digitalen Marktplätzen zum Verkauf angeboten werden. (Der berüchtigtste davon war wahrscheinlich Silk Road, der inzwischen geschlossen wurde.) Auf diesen Basaren wird nicht mit gebrauchten Jacken gehandelt. In den dunkelsten Winkeln des Netzes boomt das Geschäft mit buchstäblich Milliarden gestohlener Kombinationen aus Benutzernamen und Passwörtern, die Hackern als Klartext (d. h. als unverschlüsselter, lesbarer Text) offen zur Verfügung stehen. Und das Darknet ist mehr als eine E-Commerce-Plattform: Hacker können sich dort auch vernetzen und kooperieren, indem sie Taktiken austauschen und an ihren Fähigkeiten feilen. Es existieren ganze wirtschaftliche Ökosysteme der kriminellen Akteure: Einige davon sind darauf spezialisiert, auf Konten zuzugreifen, und andere, nach Erhalt dieses Zugriffs Betrug zu begehen.
Daten sind das Gold des neuen Zeitalters. Da unsere Welt zunehmend digitalisiert wird, entsteht ein endloser Vorrat an Daten und potenziellen Opfern, sodass Cyberkriminellen viele Möglichkeiten haben, ihre Angriffe auszuweiten. Hier sind einige der größten Datenlecks der jüngeren Geschichte, um Ihnen eine Vorstellung von Ausmaß und Umfang der Bedrohung zu geben:
- 2013 wurden die persönlichen Daten von rund 3 Milliarden Yahoo-Benutzern offengelegt.
- 2019 erfasste ein Entwickler, der für einen Affiliate-Vermarkter arbeitete, über einen Zeitraum von acht Monaten Kundendaten von der chinesischen Alibaba-Shopping-Website Taobao und gefährdete damit 1,1 Milliarden Benutzerdaten, darunter auch Kundentelefonnummern.
- Ebenfalls 2019 wurden zwei Datasets aus Facebook-Apps ins allgemein zugängliche Internet gestellt, die Angaben zu über 530 Millionen Benutzerkonten offenlegten.
- Im Juni 2021 gab der Netzwerkgigant LinkedIn bekannt, dass Daten von 700 Millionen LinkedIn-Benutzern in einem Darknet-Forum veröffentlicht worden waren.
Wie funktioniert Credential Stuffing?
Ein typischer Angriff läuft wie folgt ab:
Schritt 1: Der Angreifer gelangt auf unterschiedliche Weise in den Besitz von Benutzernamen und Passwörtern – durch Website-Datenpannen, Phishing oder andere Social-Engineering-Angriffe, durch die Nutzung einer illegalen Online-„Dump-Site“ (auf der Millionen von Benutzeranmeldeinformationen frei verfügbar sind) oder einfach durch ihren Kauf auf einem Darknet-Basar.
Schritt 2: Der Angreifer testet die gestohlenen Anmeldeinformationen auf verschiedenen Websites (meist auf Social-Media-Plattformen, Online-Marktplätzen und in Web-Apps). Manuell würde das viel zu lange dauern, daher setzt er auf automatisierte Tools wie Bots oder ganze Netzwerke von Botnets. Diese durchlaufen blitzschnell mehrere Benutzerkontenanmeldungen gleichzeitig und täuschen dabei unterschiedliche IP-Adressen vor. Wenn sie erfolgreich die richtige Kombination aus Benutzernamen und Passwort eingeben, hat der Angreifer jetzt Zugriff und einen Satz gültiger Anmeldeinformationen.
Schritt 3: Nun steht dem Hacker Ihre digitale Welt offen. Er kann Konten leer räumen oder Einkäufe vornehmen. Er kann auch vertrauliche Informationen wie Bankdaten, eine Privatadresse und sogar vertrauliche Fotos oder Dokumente in die Hände bekommen. Mithilfe dieser Informationen können sie ein Opfer bloßstellen, es erpressen oder dessen Identität stehlen und in dessen Namen online agieren – bis hin zur Beantragung einer Kreditkarte. Manchmal verwenden die Kriminellen gekaperte Konten, um Phishing-Nachrichten oder Spam zu versenden, oder sie setzen den Kreislauf fort und verkaufen die gültigen Anmeldeinformationen, damit andere Angreifer sie verwenden können.
Apropos Verkauf: Wissen Sie, was Ihre Daten im Darknet wert sind? Laut Statista könnten Kreditkartendaten mit einem Guthaben von bis zu 5.000 USD im April 2023 für rund 110 USD verkauft werden. Ein verifiziertes Airbnb-Konto bringt bis zu 300 US-Dollar ein. Für Sie sind das bloße Anmelde- oder persönliche Daten; für Cyberkriminelle sind sie ein lukrativer Wunschzettel.
Wie erfolgreich sind Credential-Stuffing-Angriffe?
Erinnern Sie sich an die Geschichte, in der Affen an Schreibmaschinen sitzen und nach ein paar hundert Jahren wahllosen Tippens aus Versehen die Werke Shakespeares produzieren? Credential Stuffing gilt als eine der am häufigsten verwendeten Techniken, um Benutzerkonten zu knacken. Die schiere Anzahl zufälliger Angriffe bedeutet also, dass einige davon erfolgreich sind. Dennoch haben Credential-Stuffing-Versuche statistisch gesehen eine sehr niedrige Erfolgsquote.
Laut Shuman Ghosemajumder, einem ehemaligen Google-Klickbetrugsspezialisten, liegt die Erfolgsquote bei Credential-Stuffing-Angriffen bei (bestenfalls) bis zu 2 %. Falls Ihnen diese geringen Chancen als vernachlässigbar erscheinen, bedenken Sie Folgendes: Von einer Million gestohlener Anmeldedaten können über 20.000 Konten übernommen werden. Außerdem können Angreifer einfach weitermachen und denselben Vorgang mit denselben Anmeldedatensätzen bei sehr vielen verschiedenen Diensten starten. Alles, was dazu erforderlich ist, ist Zeit, Geduld … und technologischer Fortschritt. Websites sperren manchmal die IP-Adressen von Benutzern bei vielen fehlgeschlagenen Anmeldeversuchen. Bots können diese Sicherheitsmaßnahme geschickt umgehen, indem sie vorgeben, von verschiedenen Geräten zu kommen, sodass alles wie normaler Webverkehr aussieht.
Neben Armeen von Bots können Online-Benutzer durch schlechte Internetgewohnheiten ihren Teil zu einem erfolgreichen Angriff beitragen. Haben Sie je ein Passwort mehrfach verwendet? Falls ja, könnten Cyberkriminelle mit einem Satz von Anmeldeinformationen gleich auf mehreren Websites reiche Beute machen. Solange wir nachlässig mit Passwörtern umgehen, tragen wir dazu bei, dass das Problem bestehen bleibt.
Ein US-Report von Forbes Advisor, in dem man 2000 Teilnehmer befragte, enthüllte das Ausmaß der Pandemie schwacher Passwörter:
- 68 % mussten ihr Passwort für mehrere Konten ändern, nachdem es kompromittiert worden war.
- 42 % ändern ihre Passwörter nur nach Aufforderung anstatt regelmäßig, um Hacks zu vermeiden.
- 35 % glauben, ihr Passwort sei gehackt worden, weil es zu schwach war, während 30 % angeben, der Grund sei, dass sie wiederholt dasselbe Passwort für mehrere Konten verwendet hätten.
- Die Konten in den sozialen Medien sind das beliebteste Ziel für Passwort-Hacking, gefolgt von E-Mail-Konten.
Aber Hilfe ist zum Greifen nah: Ein Passwort-Manager wie Avira Password Manager kann nahezu unknackbare Passwörter generieren und hilft, diese in einem sicheren Online-Tresor zu speichern. Sie müssen sich nur ein Master-Passwort merken (das schaffen Sie) und es erledigt den Rest – sogar das Ausfüllen Ihrer Anmeldeinformationen online. Passwort-Manager sind das unverzichtbare Online-Sicherheitstool, das Cyberkriminellen das Leben schwer machen kann. Zeigen Sie keine Gnade und laden Sie jetzt einen solchen herunter.
Credential Stuffing vs. andere Angriffsmethoden: Was sind die Unterschiede?
Es gibt einige Betrugsmaschen, bei denen Benutzeranmeldeinformationen verwendet oder erraten werden. Allerdings handelt es sich nicht bei allen um Credential Stuffing. Hier sind die Hauptunterschiede in der Funktionsweise und den Absichten dieser beliebten Online-Scams:
Credential Stuffing vs. Brute-Force-Angriffe
Bei Brute-Force-Angriffen führen Hacker computergenerierte Kombinationen aus Benutzernamen und Passwörtern aus, bis sie den Jackpot knacken und sich erfolgreich bei einem Konto anmelden können. Es handelt sich also im Wesentlichen um ein softwaregestütztes Raten, um den Vorgang zu beschleunigen.
Credential Stuffing vs. Password Spraying
Beim Credential Stuffing werden Benutzernamen und Passwörter verwendet, von denen bekannt ist, dass sie mit einem Online-Konto verknüpft sind. Es geht somit einen Schritt weiter als das Password Spraying, bei dem ein Angreifer einen bekannten Benutzernamen mit einem häufig verwendeten oder generischen Passwort kombiniert, um Zugriff auf ein Konto zu erhalten. Beim Password Spraying ist mehr Raten und Glück im Spiel.
Credential Stuffing vs. Kontoübernahmen
Eine Kontoübernahme ist oft das Endziel nach einem erfolgreichen Credential-Stuffing-Angriff. Sobald ein Angreifer mit den richtigen Anmeldeinformationen Zugriff auf ein Konto erhält, kann er dessen Sicherheitseinstellungen ändern und so den legitimen Besitzer aussperren.
Credential Stuffing vs. Directory Harvests
Bei einem Directory-Harvest-Angriff geht es nicht darum, Anmeldeinformationen zu stehlen. Stattdessen werden verschiedene Varianten des E-Mail-Adressformats eines Unternehmens verwendet, um echte E-Mail-Adressen zu erraten. Dies lässt sich durch entsprechende Software beschleunigen. Dieser Angriffstyp wird oft verwendet, um Spam-Werbung per E-Mail zu versenden.
Credential Stuffing vs. DDoS-Angriffe
Sie denken vielleicht nicht, dass diese beiden mitunter gemeinsam auftauchen. Ein Distributed Denial of Service (DDoS)-Angriff ist ein böswilliger Versuch, die normale Funktionsweise eines Netzwerks, Dienstes oder einer Website zu stören, indem die Infrastruktur mit einer Flut von Internetverkehrsdaten bombardiert wird. Die Ressourcen reichen dann nicht aus, was zu einem digitalem Chaos führt, z. B. zum Aussperren legitimer Benutzer. Manchmal nutzen Cyberkriminelle einen DDoS-Angriff als Deckmantel, um ihren Credential-Stuffing-Angriff zu verschleiern. Wenn die IT-Sicherheit mit der Datenverkehrsflut beschäftigt ist, kann sie leicht die (scheinbar) zufälligen Versuche, auf Benutzerkonten zuzugreifen, übersehen. DDoS-Angriffe haben auch einige Ähnlichkeiten mit Credential Stuffing: Beide nutzen Botnetze, um Websites automatisch zu bombardieren. Tatsächlich wurde das berüchtigte Mirai-Botnetz zuerst für DDoS-Angriffe verwendet, dann aber für Credential Stuffing umfunktioniert, da sich dies als profitabler erwies!
So identifizieren Sie Credential-Stuffing-Versuche
Das Erkennen von Credential-Stuffing-Angriffen kann eine Herausforderung sein, da sie wie normale Benutzeraktivitäten aussehen können (obwohl sie die lästige Angewohnheit haben, Benutzer auszusperren). Achten Sie auf diese Warnsignale:
- Plötzliche Anhäufungen fehlgeschlagener Anmeldeversuche innerhalb eines kurzen Zeitraums, insbesondere wenn dies bei mehreren Benutzerkonten auftritt.
- Ungewöhnliche Anmeldemuster, z. B. mehrere Anmeldeversuche von verschiedenen IP-Adressen.
- Verdächtige IP-Adressen, da diese darauf hinweisen, woher die Hacks kommen könnten. Scheinen sich beispielsweise viele der in London ansässigen Mitarbeiter plötzlich in Usbekistan aufzuhalten?
- Eine Zunahme des Website-Verkehrs, die zu Ausfallzeiten führt, kann ebenfalls auf einen Credential-Stuffing-Angriff hinweisen.
Das Endziel der Hacker besteht natürlich darin, Verdacht zu vermeiden und sich Zugriff auf Benutzerkonten zu verschaffen. Für IT-Abteilungen ist dies ein Balanceakt: Sie müssen autorisierten Benutzern den schnellen Kontozugriff bei minimaler Unterbrechung ermöglichen und gleichzeitig sowohl auf Benutzer- als auch auf Anwendungsebene kontinuierlich auf verdächtiges Verhalten achten.
Handlungsbedarf! Sie können Ihren Teil tun, um Credential Stuffing zu verhindern
Genauso wie Cyberkriminelle die neuesten Technologien nutzen, um ihre Angriffe zu beschleunigen und zu verbessern, stehen auch IT-Benutzern und Abteilungen eine Reihe raffinierter Tools zur Verfügung! Wir müssen sie nur nutzen. Hier ist eine Top-Auswahl unverzichtbarer Schutzmaßnahmen, um Credential Stuffing zu verhindern:
Multi-Faktor-Authentifizierung (MFA): Diese gilt als äußerst effektiv bei der Verhinderung von Credential Stuffing. Benutzer benötigen zur Anmeldung zusätzlich zu Benutzername und Passwort eine weitere Form der Authentifizierung (z. B. einen Einmal-Passcode, der per SMS gesendet wird, oder eine biometrische Authentifizierung wie einen Fingerabdruck). Cyberkriminelle haben normalerweise keinen Zugriff auf diesen zweiten Identitätsnachweis.
Passwortlose Authentifizierung: Was es nicht gibt, kann auch nicht gestohlen werden – somit kann dies Credential Stuffing im Keim ersticken. Benutzer verzichten vollständig auf das Passwort und verwenden stattdessen eine andere Form der Authentifizierung, die nur sie besitzen, beispielsweise ihren Fingerabdruck oder ihr Gesicht.
Kontinuierliche Authentifizierung oder Geräte-Fingerprinting: Dabei wird nicht nur eine einzelne Anmeldung benötigt, stattdessen wird die Identität eines Benutzers in Echtzeit überprüft, während er eine Anwendung benutzt. Dabei werden beispielsweise seine Verhaltensmuster und der typische „Fingerabdruck“ seiner Sitzungen (Betriebssystem, Zeitzone, Sprache usw.) analysiert.
Starke Passwörter und Passwort-Sicherheitsprüfungen: Einige Anwendungen gleichen ein Passwort, das ein Benutzer eingibt, mit einer Datenbank bekannter kompromittierter Passwörter ab, bevor sie es akzeptieren. Wählen Sie als Benutzer für jedes Konto immer einzigartige, hochkomplexe Passwörter mit einer abschreckenden Kombination aus Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen. Überprüfen Sie regelmäßig die Website Have I been pwned (HIBP). Sie wurde 2013 gestartet und ermöglicht es Internetbenutzern, zu überprüfen, ob ihre E-Mail-Adresse und alle damit verbundenen persönlichen Daten bei Sicherheitsverletzungen kompromittiert wurden.
Avira Password Manager Pro hilft Ihnen nicht nur beim Generieren und Speichern Ihrer Passwörter, sondern kann Sie auch warnen, wenn Ihre E-Mail-Adresse bei einer Datenpanne kompromittiert und weitergegeben wurde. Es warnt sie zudem vor schwachen oder wiederverwendeten Passwörtern.
Niemals E-Mail-Adressen als Benutzer-IDs verwenden: Für Credential Stuffing sind mehrfach verwendete Benutzernamen oder Konto-IDs geradezu ideal. Das Wiederverwenden von Benutzer-IDs kommt normalerweise immer vor, wenn die ID eine E-Mail-Adresse ist, da Benutzer nur eine Handvoll (oder sogar nur eine!) zur Auswahl haben.
Folgende Tools sind hilfreich für IT-Experten, um Bots zu enttarnen, die den Credential-Stuffing-Angriff unterstützen:
Technologie zur Bot-Erkennung: Ein gutes Bot-Management hilft, diese bösartigen Armeen darin zu hindern, zahllose Anmeldeversuche durchzuführen, ohne dass es zu Komplikationen mit legitimen Anmeldungen kommt. Algorithmen für maschinelles Lernen können helfen, Muster zu erkennen, durch die sich Bots von Menschen unterscheiden, und Spitzen im Datenverkehr von unbekannten Standorten zu erkennen. IT-Teams setzen häufig spezielle Bot-Erkennungssoftware ein.
CAPTCHA: Hierbei müssen Benutzer eine Aktion ausführen, um zu beweisen, dass sie Menschen sind, beispielsweise die Fahrräder auf dem Foto erkennen. Dies kann die Wirksamkeit von Credential Stuffing verringern, aber Achtung: Hacker können CAPTCHA umgehen, indem sie Headless-Browser verwenden. (Diese haben keine Benutzeroberfläche und sind daher seltsam gesichtslos.)
IP-Ausschlusslisten: Angreifer haben normalerweise einen begrenzten Pool an IP-Adressen zur Verfügung, daher kann das Blockieren oder Sandboxing von IPs eine nützliche Verteidigung gegen Versuche sein, sich bei mehreren Konten einzuloggen. IT-Teams können die letzten IPs überwachen, die zum Anmelden bei einem bestimmten Konto verwendet wurden, und sie mit der verdächtigen IP vergleichen.
Menschen mit ihren Schwächen benötigen einen starken digitalen Online-Schutz
Trotz aller uns zur Verfügung stehenden Technologie im Kampf gegen Hackerangriffe ist Credential Stuffing letztlich das Symptom eines Problems, das uns alle betrifft: Wir sind nur Menschen und neigen dazu, im Internet schlechte Entscheidungen zu treffen, beispielsweise die Wahl eines einfachen, einprägsamen Passworts (etwa den Namen unseres ersten Haustiers). Schützen Sie sich vor Malware, Cyberkriminellen und sogar Ihren eigenen Online-Fehlern, indem Sie mehrere Schichten vertrauenswürdiger Funktionen für Online-Sicherheit und -Datenschutz wählen. Avira Free Security für Windows bietet ein breites Spektrum an Funktionen, darunter Virenschutz, Passwort-Manager, Software-Updater und VPN. Es hilft sogar dabei, digitalen Müll zu beseitigen, damit Ihr Rechner wieder schneller läuft. Es stehen auch Optionen für macOS, Android und iOS zur Verfügung.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch