Credential-Stuffing-Angriffe erklärt (und wie man sie verhindert)

Aktualisiert: 2022-04-25 / Artikel von: Gene Fay
Funktionsweise von Credential-Stuffing-Angriffen

Der Schlüssel zum Wissen, wie man Credential-Stuffing-Angriffe verhindern kann, besteht darin, zu verstehen, was sie sind, wie sie ausgeführt werden und wie sie das können Ihr Geschäft und Ihre Daten beeinträchtigen.

Einfach ausgedrückt ist ein Credential-Stuffing-Angriff ein automatisierter Abgleich gestohlener Benutzernamen und Passwörter, den Kriminelle verwenden können, um gültige Anmeldedatenkombinationen zu finden. Dieser Ansatz fördert Kontoübernahmeangriffe und geht ihnen normalerweise voraus. Kriminelle müssen zuerst auf Konten zugreifen, bevor sie diese übernehmen und für ihre eigenen Zwecke verwenden können.

Credential-Stuffing-Angriffe machen einen erheblichen Prozentsatz aller Arten von Online-Angriffen aus. fast 5 % des gesamten digitalen Verkehrs bezieht sich auf diese Angriffe.

Der jüngste Anstieg von Credential-Stuffing-Angriffen ist auf einen anhaltenden und in einigen Fällen hochprofitablen Diebstahl persönlicher Daten von Verbrauchern durch regelmäßige Datenschutzverletzungen zurückzuführen. Verbraucher, die Passwörter für ihre Online-Konten wiederverwenden und recyceln, sind besonders gefährdet.

Im Wesentlichen bedeutet dies, dass, wenn ein Angreifer auf eine einzelne, gültige Kombination aus Benutzername und Passwort zugreifen kann, die von einer einzelnen Person über mehrere Online-Konten hinweg verwendet wird, diese Konten alle leicht und innerhalb eines relativ kurzen Zeitrahmens kompromittiert werden können.

Wie funktionieren Credential-Stuffing-Angriffe?

Jeder Credential-Stuffing-Angriff besteht aus drei Hauptphasen:

  1. Datenerfassung
  2. Berechtigungsabgleich
  3. Monetarisierung eines Angriffs

Angreifer verwenden häufig Bots, um den Anmeldedaten-Validierungsprozess zu automatisieren und gültige Kombinationen von Benutzernamen und Passwörtern zu finden. Diese leistungsstarken Bots können Tausende von Passwörtern mit Benutzernamen abgleichen, um gültige Kombinationen zu finden, die verwendet werden können, um unerwünschten Zugriff auf digitale Konten zu erhalten. Dieser Ansatz ermöglicht es Angreifern, ihre Bemühungen zu skalieren und ihren ROI zu steigern, während sie Unternehmen und Einzelpersonen gleichermaßen erheblichen Schaden zufügen.

Wie häufig sind Credential-Stuffing-Angriffe?

Diese digitalen Angriffe sind sehr verbreitet und in einer Vielzahl von Branchen und Online-Domänen weit verbreitet. Manchmal werden sie sogar von automatisierten Bots statt von Menschen ausgeführt. Hochentwickelte Bots mit Fähigkeiten der künstlichen Intelligenz stehen Angreifern leicht und leicht zur Verfügung, die sogar auf Support-Dienste zugreifen können, um sie bei ihren Angriffen zu unterstützen. Diese Technologie macht es Angreifern einfach, groß angelegte Angriffe mit Bots zu minimalen Kosten für sie selbst auszuführen.

Viele Angreifer kennen sich auch mit grundlegenden Betrugsabwehrtechniken aus und können dieses Wissen nutzen, um technologische Systeme zu ihrem Vorteil zu umgehen und auszunutzen. Sobald sie in ein Netzwerk eingedrungen sind, können sie Bots verwenden, um intern zu erkunden, private Daten zu stehlen und den Betrieb und die Sicherheitssysteme von Unternehmen zu stören.

Statistik verstehen

Kostenlose Plattform zur Meldung von Datenschutzverletzungen HaveIBeenPwnd.com verfolgt mehr als 8.5 Milliarden kompromittierte Zugangsdaten aus über 400 Datenschutzverletzungen. Der Dienst verfolgt nur Anmeldeinformationen aus Datensätzen, die öffentlich zugänglich sind oder über unterirdische Plattformen weit verbreitet wurden. Viele Datenbank-Dumps sind privat und nur kleine Hackergruppen können darauf zugreifen.

Credential-Stuffing-Angriffe werden von einer kompletten Untergrundwirtschaft unterstützt, die sich auf den Verkauf gestohlener Anmeldeinformationen und benutzerdefinierter Support-Tools konzentriert, um Angreifer bei ihren Bemühungen zu unterstützen. Diese Tools verwenden „Kombinationslisten“, die aus verschiedenen Datensätzen zusammengestellt werden, nachdem die in durchgesickerten Datensätzen gefundenen gehashten Passwörter geknackt wurden. Im Wesentlichen erfordert das Starten von Credential-Stuffing-Angriffen keine speziellen Kenntnisse oder Fähigkeiten. Jeder, der genug Geld hat, um die benötigten Daten und Tools zu kaufen, kann einen Angriff ausführen.

Credential-Stuffing-Angriffe sind kostengünstig geworden – für nur 200 US-Dollar pro 100,000 Kontoübernahmen (Quelle).

Das Sicherheits- und Content-Delivery-Unternehmen Akamai entdeckte allein im Jahr 193 weltweit 2020 Milliarden Credential-Stuffing-Angriffe. Diese Nummer kam als 360 % Steigerung gegenüber den Zahlen von 2019. Obwohl ein Teil dieses Anstiegs auf eine umfassendere Überwachung von mehr Kunden zurückzuführen ist. Einige Branchen, wie zum Beispiel die Finanzdienstleistungsbranche, wurden besonders häufig angegriffen. Der Bericht von Akamai vom Mai 2021 nennt mehrere Spitzen im Volumen dieser Angriffe, darunter einen einzigen Tag Ende 2020, an dem mehr als eine Milliarde Angriffe gestartet wurden.

So erkennen Sie Angriffe

Credential-Stuffing-Angriffe werden über automatisierte Tools und Botnets gestartet, die die Verwendung von Proxys ermöglichen, die betrügerische Anfragen über eine Reihe verschiedener IP-Adressen verteilen. Angreifer konfigurieren ihre bevorzugten Tools oft auch so, dass sie authentische Benutzeragenten nachahmen – die Header, die die Betriebssysteme und Browser identifizieren, aus denen Webanfragen bestehen.

All dies macht es schwierig, zwischen Angriffen und echten Anmeldeversuchen zu unterscheiden. Vor allem auf stark frequentierten Webseiten, bei denen eine plötzliche Welle von Login-Anfragen nicht vom üblichen Login-Verhalten auffällt. Vor diesem Hintergrund kann ein Anstieg der Anmeldefehlerraten über einen kurzen Zeitraum darauf hindeuten, dass ein Credential-Stuffing-Angriff gegen eine Website gestartet wurde.

Es gibt viele Firewalls für Webanwendungen und ähnliche Dienste, die erweiterte Verhaltensdiagnosen verwenden, um verdächtiges Anmeldeverhalten zu erkennen. Plus, Website-Besitzer können eigene Maßnahmen ergreifen um zukünftige Angriffe zu verhindern.

Mehr erfahren

So verhindern Sie Credential-Stuffing-Angriffe

Bist du ein Roboter?

Credential-Stuffing-Angriffe sind heute eine der größten Bedrohungen für die digitalen Konten von Internetnutzern, und dies gilt auch für Unternehmen. Organisationen, kleine Unternehmen und alle dazwischen sollten Schutzmaßnahmen gegen diese Bedrohungen ergreifen, um sicherzustellen, dass ihre persönlichen und organisatorischen Daten sicher sind.

Einige der beliebtesten Credential-Stuffing-Prävention Zu den Techniken gehören:

  • CAPTCHAs
    CAPTCHAs sind eine Form von gemeinsamen Bots, die verwendet werden, um Angriffe anderer Bots zu verhindern. Sie verlangen von Internetnutzern, dass sie beim Einloggen Rätsel lösen, um sicherzustellen, dass sie ein Mensch sind. CAPTCHAs sind in einer Vielzahl von Versionen verfügbar, darunter Bild, Text, Audio, mathematische Summe und mehr.
  • Verhaltensbiometrische Logins
    Einige Unternehmen haben auf die Analyse des typischen Benutzerverhaltens und der Muster des Webverkehrs zurückgegriffen, um Bedrohungen zu erkennen. Sie können diese Daten verwenden, um anomales Verhalten und eine mögliche Ausnutzung ihrer Systeme zu erkennen.
  • IP-Adresse blockieren
    Viele Unternehmen haben IP-Adressen aufgrund verdächtiger Aktivitäten blockiert, und andere ziehen es vor, verdächtige Anfragen unter Quarantäne zu stellen, bis sie überprüft und verifiziert werden können.
  • Zwei-Faktor- und Multi-Faktor-Authentifizierung
    2FA und MFA bieten zusätzliche Sicherheits- und Authentifizierungsebenen mit zusätzlichen Informationen, die nur der Benutzer kennen oder auf die er Zugriff haben sollte. Diese Authentifizierung kann in Form von einmaligen PINs, SMS, Sicherheitsfragen oder biometrischen Messwerten wie Fingerabdruck oder Gesichtsscan erfolgen.
  • Geräteintelligenz und Fingerprinting
    Geräteintelligenz besteht aus Daten wie Betriebssystemen, IP-Adressen, Browsertypen und mehr. Diese Daten helfen dabei, eine eindeutige Identität zu erstellen, die mit einem bestimmten Gerät verknüpft werden kann. Eine Abweichung von diesen typischen Daten kann auf verdächtiges Verhalten hinweisen und es Unternehmen und Personen ermöglichen, proaktiv zu handeln und weitere Authentifizierungsmaßnahmen einzuführen.
  • Passwort- und Sicherheitshygiene
    Passworthygiene sollte Teil der Sicherheitsbewusstseinsschulung für Mitarbeiter jedes Unternehmens sein. Die Wiederverwendung von Passwörtern ist der Hauptgrund für Credential-Stuffing-Angriffe, daher müssen Unternehmen diese Praxis unterbinden und sicherstellen, dass ihre Mitarbeiter wissen, wie wichtig es ist, starke und eindeutige Passwörter zu verwenden, sowohl bei der Arbeit als auch in ihren eigenen Kapazitäten.
    Webbenutzer können verwenden sichere Passwort-Manager um komplexe und unvorhersehbare Passwörter für jedes Online-Konto zu generieren, das sie haben. Passwort-Manager speichern diese Passwörter automatisch und können Benutzer auch benachrichtigen, wenn ihre E-Mail-Adressen in öffentlichen Datendumps auftauchen.

Einige größere Unternehmen haben begonnen, proaktive Maßnahmen zu ergreifen, indem sie öffentliche Datendumps analysieren und überwachen, um festzustellen, ob die betroffenen E-Mail-Adressen auch in ihren eigenen Systemen vorhanden sind. Für Konten, die auf ihren Servern gefunden werden, verlangen sie das Zurücksetzen von Passwörtern und schlagen vor, die Multi-Faktor-Authentifizierung zu aktivieren, um Verbraucher zu schützen, deren Daten möglicherweise bereits kompromittiert wurden.

Wie wirksam sind diese vorbeugenden Maßnahmen?

Viele Unternehmen nutzen eine oder mehrere der oben genannten Verteidigungsmethoden, um sich und ihre Daten vor Credential-Stuffing-Angriffen zu schützen. Diese Ansätze sind jedoch nicht zu 100 % wirksam. Sie weisen Mängel auf, die sich als nur teilweise wirksam erweisen, um einen kontinuierlichen Schutz vor sich entwickelnden Angriffen zu bieten.

Diese vorbeugenden Maßnahmen stellen Integrationsprobleme dar und erhöhen die technischen Kosten, während sie gleichzeitig die Risikoentscheidung erschweren, was die Bemühungen zur Betrugsprävention weiter behindern kann. Beispielsweise ist die Multi-Faktor-Authentifizierung sowohl kostspielig in der Implementierung als auch anfällig für verzögerte oder verlorene SMS und OTPs.

Ebenso kann das Blockieren von IP-Adressen aufgrund von Verhaltensänderungen dazu führen, dass Unternehmen unabsichtlich legitime Kunden und Leads blockieren. Device Intelligence kann nicht als eigenständige Sicherheitslösung verwendet werden, da die meisten Benutzer heute viele Geräte und Browser installiert haben. CAPTCHAs sind hinter sich ständig ändernden Bot-Technologien zurückgefallen. Sie werden schnell wirkungslos, da sie Internetnutzer oft unnötig behindern, ohne Angriffe zu stoppen.

Fazit: Abschreckung ist der Schlüssel

In einer Zeit, in der das Problem von Credential-Stuffing-Angriffen eine wachsende Bedrohung darstellt, werden Unternehmen jeder Größe darum kämpfen, die steigenden Behebungskosten mit effektiven Sicherheitsmaßnahmen auszugleichen, die einen tragfähigen ROI erzielen. Diese Angriffe sind für Angreifer äußerst erschwinglich. Aber sie können Unternehmen durch finanzielle Verluste und Reputationsschäden lahmlegen.

Kurz gesagt, die Abwehr von Credential-Stuffing-Angriffen reicht möglicherweise nicht aus, um Unternehmen vor Schaden zu schützen. Sie müssen sich stattdessen darauf konzentrieren, Kriminelle abzuschrecken, um ihre Daten sicher zu halten. Ein innovativer Ansatz zur Betrugsabwehr ist erforderlich, um Organisationen dauerhaften Schutz zu bieten, da sich Angriffsmethoden ständig weiterentwickeln.

Laut dem oben erwähnten Akamai State of the Internet-Bericht gehen Credential-Stuffing-Angriffe nirgendwo hin. Da sie nicht vollständig gestoppt werden können, sollten Unternehmen darauf abzielen, den Prozess der Beschaffung übereinstimmender Benutzernamen und Passwörter so schwierig wie möglich zu gestalten. Die Reduzierung der Wiederverwendung von Passwörtern und die Förderung der Erstellung sicherer Passwörter sind einige der effektivsten und kostengünstigsten Abschreckungsmittel, die Unternehmen in allen Branchen zur Verfügung stehen.

Mehr erfahren

Über Gene Fay

Gene Fay ist eine erfahrene High-Tech-Führungskraft mit einer nachgewiesenen Erfolgsgeschichte in der Informationstechnologie. Kenntnisse in Cyber ​​Security, Storage Area Network (SAN), Vertrieb, Professional Services und Rechenzentrum. Starker IT-Experte mit einem MBA mit Schwerpunkt High Technology von der Northeastern University - Graduate School of Business Administration. Er ist außerdem Moderator des eXecutive Security Podcast, eines Podcasts mit Gesprächen mit CISOs und anderen Sicherheitsexperten darüber, wie Einzelpersonen eine Karriere im Sicherheitsbereich beginnen und ausbauen können.