wei - stock.adobe.com
Credential Stuffing: Die unterschätzte Gefahr
Auch bei spektakulären Sicherheitsvorfällen überwinden Angreifer meist keine technischen Sicherheitshürden, sondern missbrauchen häufig ganz einfach reguläre Anmeldedaten.
Es ist ein weit verbreiteter Trugschluss, dass Cyberkriminelle stets komplexe Sicherheitsmechanismen überlisten müssen, um sich Zugang zu einem Online-Dienst zu verschaffen. Allzu oft befinden sich die benötigten Zugangsdaten schon im Umlauf und müssen nur noch verarbeitet werden.
Beim systematischen Missbrauch von Anmeldedaten im Internet spricht man von Credential Stuffing, das nicht ohne Grund zu den beliebtesten Angriffswerkzeugen von Cyberkriminellen zählt. Für Hacker gestalten sich Credential-Stuffing-Attacken risikoarm, unkompliziert und relativ preiswert – die gestohlenen Anmeldedaten kaufen sie einfach im Darknet, der Angriff erfolgt automatisiert.
Die für das Credential Stuffing benötigten Login-Daten für Online-Banking und Payment Services stehen seit Jahren im Fokus des kriminellen Datendiebstahls, da diese Daten zu besonders hohen Preisen im Darknet gehandelt werden und geknackte Logins hohe Erträge versprechen.
Auf der Seite der Betroffenen fällt die Abwehr solcher Angriffe um ein Vielfaches komplexer aus. Für Banken, Zahlungsdienstleister und andere Unternehmen herrscht daher akuter Handlungsbedarf, um massive Schäden zu verhindern.
Schlechtes Passwortmanagement: Leichtes Spiel für Betrüger
Stuffing zu keiner Zeit eine Kompromittierung technischer Infrastruktur. Cyberkriminelle sparen sich die Suche nach Sicherheitslücken in den Firewalls und anderen Schutzebenen von Unternehmen und deren Webseiten.
Sie gehen viel einfacher vor und nutzen die Nachlässigkeit der Nutzer aus. Schließlich verwendet eine Vielzahl von Anwendern das gleiche Passwort, beziehungsweise die gleiche Kombination aus Benutzername und Passwort über eine Vielzahl von Diensten hinweg. Dies zeigte auch eine aktuelle Umfrage des Research-Unternehmens Bildendi: Hier wurde deutlich, dass ganze 60 Prozent der Befragten in Deutschland ihre Passwörter mehrfach verwendeten. Diese Praxis macht es Kriminellen einfach, denn mit einer einzigen erbeuteten Kombination aus Anmeldedaten können sie nun gleich auf mehrere Accounts zugreifen.
Professioneller Handel mit Login-Daten
Doch wie gehen die Angreifer konkret vor? Sogenannte Combolists – Adresslisten, die oftmals Millionen von Login-Daten enthalten, werden sowohl im Darknet als auch im herkömmlichen Internet auf professionellen Online-Marktplätzen angeboten. Die Informationen aus den Combolists entstammen zumeist Datenlecks oder Hacker-Angriffen – für kontinuierlichen Nachschub ist in Zeiten der globalen Digitalisierung gesorgt. Alleine die Website HaveIBeenPwned.com des Cybersicherheitsexperten Troy Hunt zählt über 8,5 Milliarden kompromittierte Zugänge; dies gibt einen guten Eindruck über das Ausmaß.
Einmal mit der erforderlichen Datenmunition ausgerüstet, torpedieren die automatisierten Angriffswerkzeuge der Cyberkriminellen die anvisierten Dienste. Die eingesetzten Tools können innerhalb weniger Stunden Millionen von Nutzer-Passwort-Kombinationen auf unzähligen Online-Diensten parallel testen. Im Nachgang verkaufen die Angreifer gesammelte Treffer zu aktiven Accounts im Darknet an den Meistbietenden. Alternativ werden die aktiven Logins gleich für weiterführende Attacken genutzt.
Die Abwehr solcher Attacken ist mit den gängigen Sicherheitsvorkehrungen der meisten Online-Portale nicht möglich. Zwar sperren viele Dienste nach einer Reihe fehlgeschlagener Anmeldeversuche von einer IP-Adresse den jeweiligen Account. Da für Credential Stuffing in der Regel Botnetze eingesetzt werden, greifen solche Schutzfunktionen jedoch nicht, denn die einzelnen Bots agieren von unterschiedlichen IP-Adressen aus und nutzen manipulierte Headerdaten. Auf diese Weise verschleiern Cyberkriminelle ihre Attacken.
Finanzbranche im Visier – Digitalisierung sorgt für größere Angriffsfläche
Es überrascht nicht, dass Zugangsdaten aus den Bereichen Banking und Payment bei Kriminellen besonders hoch im Kurs stehen, schließlich lassen sich hiermit die größten Gewinne erzielen. Wie ein Dokument von RSA (PDF) enthüllt, sind Login-Daten aus dem Banking-Bereich mit Abstand am lukrativsten: Zugänge zu aktiven Banking-Accounts werden für umgerechnet etwa 21 Euro gehandelt, bei Payment-Services sind es circa 13 Euro.
Da bei Credential Stuffing aber meist Datenbanken mit mehreren Millionen Logins zum Einsatz kommen und die Erfolgsquote bei rund 0,5 bis 3 Prozent liegt, stellt dieser Angriffsvektor eine wahre Goldgrube für Cyberkriminelle dar.
Ein verstärkter Schutz für Nutzerkonten ist daher besonders für die Finanzindustrie von Bedeutung. Selbstverständlich sind auch andere Branchen betroffen, doch in den vergangenen Monaten ließ sich die Fokussierung von Attacken auf die Finanzbranche als deutlicher Trend ausmachen. Die zunehmende Nutzung von Mobile Banking und Mobile Payment wirkt hier als verstärkender Faktor. Zumal mobiles Bezahlen und Online-Transaktionen durch die Coronapandemie einen zusätzlichen Aufschwung erlebt haben.
Der Schaden auf Unternehmensseite
Für die betroffenen Unternehmen erzeugen erfolgreiche Angriffe mittels Credential Stuffing massive Schäden. Besonders betroffen sind dabei Dienste und Unternehmen, die hohe Transaktionen verwalten. Umgeleitete Gelder im Online Banking verursachen schwere wirtschaftliche Schäden.
Hinzu kommen die versteckten Belastungen, wie etwa der massive Vertrauensverlust bei den betroffenen Kunden, der im Zweifelsfall zu einem Wechsel zur Konkurrenz führt. Auch operative Ausfälle durch anhaltende Downtime infolge starker Serverauslastung während eines Angriffs sind keine Seltenheit.
Hinzu kommen die anfallenden Service- und Supportkosten für die kompromittierten Konten sowie langanhaltende Image-Schäden, die nur schwer wieder zu beheben sind.
Sicherheit und Nutzerfreundlichkeit im Blick behalten
Für eine zuverlässige Abwehr von Credential Stuffing ist von den betroffenen Unternehmen ein Spagat aus Sicherheit und Usability gefragt. So sorgen zwar strenge Vorgaben an die Passwortsicherheit, mehrstufige Anmeldemethoden per 2FA (2-Faktor-Authentifizierung) sowie nachgelagerte Human-Interaction-Proof-Verfahren wie Captchas für ein Plus an Sicherheit. Fallen die Anforderungen für den Login-Prozess jedoch zu hoch aus, sorgt das wiederum für Frust bei den Kunden.
Es gilt daher, trotz aller Sicherheitsbemühungen auch die Nutzerfreundlichkeit immer im Blick zu haben. Zumal auch Captchas keinesfalls eine unüberwindbare Hürde für Angreifer darstellen. So haben sich etwa längst spezialisierte Dienstanbieter im Internet etabliert, die mit einer Armee von Billiglöhnern die Captcha-Aufforderungen zu Spottpreisen lösen – für 1.000 gelöste Captchas berechnen einzelne Anbieter lediglich 0,5 US-Dollar.
Diese Services können sogar per Schnittstellen an die gängigen Angriffs-Tools der Cyberkriminellen angebunden werden. Ein simpler Zusatzdienst genügt damit meist schon, um Captcha-Anfragen automatisiert zu umgehen.
„Umso mehr Energie Cyberkriminelle darauf verwenden müssen, einen Login zu knacken, desto eher sind die Angreifer dazu geneigt, auf ein leichteres Ziel umzuschwenken.“
Paul Kaffsack, Myra Security
Weitaus effektiver gestaltet sich indessen die Abwehr von Credential Stuffing per Bot Management. Dabei handelt es sich um eine systematische Reglementierung automatisierter Anfragen auf Webserver. In der Praxis erlauben solche Lösungen, bösartige Bots eindeutig zu identifizieren und zu blockieren, während gutartige Anfragen – etwa von Suchmaschinen – weiterhin zugelassen sind.
Darüber hinaus bietet der Einsatz von Bot Management durch die granulare Steuerung automatischer Zugriffe weitere Vorteile. So können etwa gutartige Bots auf Traffic-arme Zeiten umgeleitet werden, damit zu den Hauptgeschäftszeiten die volle Performance der Server für die Kunden bereitsteht. Da heutzutage der Traffic auf Webseiten rund zur Hälfte aus Bot-Anfragen besteht, steckt in der Verwaltung dieser Datenströme enormes Potenzial.
Eine sinnvolle Kombination mehrerer Schutzebenen macht Online-Dienste unattraktiv für Angreifer. Umso mehr Energie Cyberkriminelle darauf verwenden müssen, einen Login zu knacken, desto eher sind die Angreifer dazu geneigt, auf ein leichteres Ziel umzuschwenken. Und dieses Prinzip gilt Branchenübergreifend – egal ob Finanzweisen, Versicherungen, E-Commerce oder öffentliche Verwaltung.
Über den Autor:
Paul Kaffsack ist CEO von Myra Security.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.