Did you know? Dies ist die meistgenutzte Angriffsstrategie von Hackern
von Svenja Koch
Ist in den Medien von Cyberangriffen die Rede, sind meist „prominente“ Angriffsmethoden gemeint. Erpresserische Ransomware, hochprofessionell durchgeführte Advanced Persistent Threats oder auch Datenspionage durch Social Engineering: Je mehr und je aufwändiger eine IT Security herausgefordert wird, desto größer ist das mediale Interesse. Dabei gehören weder Ransomware noch APTs zu den meistgenutzten Angriffsstrategien der Hacker. Vielmehr nutzen die Kriminellen für die beliebteste Form der Cyberangriffe eine verbreitete Eigenschaft von uns Menschen aus. Nämlich die Macht der Gewohnheit. Erfahren Sie in diesem Beitrag, wie jeder von uns zu der weiten Verbreitung von Credential Stuffing beiträgt, warum diese Brute-Force-Methode überhaupt so erfolgreich ist und natürlich auch, wie Sie sich am besten vor den Angriffen schützen können.
Die Macht der Gewohnheit als Grundlage für Credential Stuffing
Mal ehrlich: Wie viele unterschiedliche Passwörter nutzen Sie für die verschiedenen Dienste im Internet? Wenn Sie zu der großen Mehrheit gehören, für die IT Security bestenfalls ein Fremdwort ist, dann werden Sie ein bevorzugtes Passwort haben – und dieses für mehrere oder gar alle Dienste im Netz verwenden. Experten warnen zwar seit Jahren genau vor dieser Vorgehensweise, aber der Mensch ist ein Gewohnheitstierchen. Insbesondere Passwörter, die als besonders sicher gelten, werden viel zu selten verwendet. Warum? Nun, die Antwort ist ganz einfach: Sichere Passwörter sind schlecht zu merken. Und wenn sie dann auch noch lang sind und Sonderzeichen enthalten, wird der Shoppingausflug beim „Großen A“ mit anschließendem Blick auf den Geldbestand bei den Finanzdienstleistern und dem Check der Mails im Online-Mailaccount schnell zu einer anstrengenden, nervigen Tipperei.
Was für Anwender reine Bequemlichkeit ist, ist für Hacker wie Weihnachten und Geburtstag zusammen. Einer hoch interessanten Studie von Verizon nach basieren weit mehr als 80 % aller Cyberangriffe auf schwachen Passwörtern. Auch Credential Stuffing nutzt die Liebe der Menschheit zur Gewohnheit gnadenlos aus.
Was ist Credential Stuffing denn nun eigentlich?
Credential Stuffing zählt zur Brute-Force-Methode – also den Cyberangriffen, die sich weniger durch Eleganz und Hinterhältigkeit als denn durch rohe Gewalt auszeichnen. Credential Stuffing setzt dabei auf illegal abgegriffene Anmeldedaten, die entweder durch Leaks oder durch gezielte Cyberangriffe ins Netz gelangt sind. Die Cyberkriminellen gehen (leider völlig zurecht) davon aus, dass die meisten User Ihre Zugangsdaten (die namensgebenden Credentials) bei mehreren Diensten verwenden. Entsprechende Listen mit unzähligen gültigen Login-Daten können Cyberkriminelle ganz einfach online erwerben. Mit den Listen und ausreichend krimineller Energie starten die Cyberangreifer dann Bot-Netzwerke. Diese arbeiten die Listen dann automatisiert ab und versuchen, unbefugten Zugang zu Diensten oder Systemen zu erlangen. Die Bot-Netzwerke stellen dabei eine große Herausforderung für die IT Security dar. Denn während massenhafte Zugangsversuche von einem einzelnen Rechner aus auch der verschlafensten IT Security auffallen würden, verschleiern die Bot-Netze zuverlässig ihre Aktivitäten. Die Bots setzen auf viele verschiedene, kompromittierte Einzelrechner mit unterschiedlichen IP-Adressen – was der IT Security das Erkennen der Cyberangriffe erschwert und den Dienstanbietern eine zuverlässige Abwehr nahezu unmöglich macht. Die erfolgreichen Zugangsversuche der Bot-Netzwerke werden von den Cyberkriminellen festgehalten. In nur wenigen Stunden werden im Rahmen eines Credential Stuffing Angriffes Millionen an Kombinationen getestet. Die „Treffer“ zu aktiven Accounts werden entweder als Grundlage für weitere Cyberangriffe genutzt – oder ganz einfach, bequem und vor allem lukrativ im Darknet verkauft.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Brute-Force-Methode ja, Brute-Force-Angriff nein
Credential Stuffing wird zwar den Cyberangriffen mit Brute-Force-Methoden zugezählt, aber kann dennoch ganz klar von einem „echten“ Brute-Force-Angriff abgegrenzt werden. Denn während bei einem Brute-Force-Angriff einem Benutzernamen willkürlich Passwörter zugeordnet und diese dann nacheinander ausprobiert werden, setzt Credential Stuffing auf tatsächlich existierende, gültige Kombinationen aus Benutzername und Kennwort. Brute-Force-Angriffe setzen also auf den Zufall – und werden von starken Passwörtern ausgebremst. Beim Credential Stuffing hingegen werden gültige Zugangsdaten missbraucht, um bei verschiedenen Diensten Zutritt zu erlangen. Starke Passwörter haben hier keine Relevanz – sofern Anwender sie bei mehreren Diensten gleichzeitig einsetzen.
Credential Stuffing: Für Cyberkriminelle billig, für Geschädigte stellenweise richtig teuer
Cyberkriminelle, die sich auf Credential Stuffing eingeschossen haben, brauchen weder großartiges IT-Fachwissen noch teure Software. Die kleinen Tools, die die Cyberangriffe ermöglichen, sind im Netz für geringste Beträge oder gar kostenlos verfügbar. Das Einzige, was die Cyberkriminellen wirklich brauchen, ist Zeit. Denn Credential Stuffing ist langsam. Absichtlich langsam, denn so verhindern die Bot-Netzwerke zuverlässig, dass sie von der IT Security erkannt werden.
Für die Geschädigten hingegen kann ein Angriff mit Credential Stuffing richtig teuer werden. Denn wenn die Cyberkriminellen Zugang zu Online-Shops erhalten, können sie mühelos auf Einkaufstour gehen – zu Lasten des Kontoinhabers, versteht sich. Noch fataler sind die Cyberangriffe, wenn sie Zugriff auf Dienstleister erlangen, die Geld-Überweisungen erlauben. Hier ist es nicht nur wahrscheinlich, sondern sehr sicher, dass das verbundene Konto in kürzester Zeit geleert wird. Das Geld ist in diesem Falle unwiderruflich verloren.
Auch Unternehmen leiden unter Credential Stuffing
Nicht nur Endanwender sind von den Credential Stuffing Angriffen betroffen, sondern auch die Unternehmen, bei denen Endanwender ihre Konten haben. Kunden, die einen Missbrauch der Zugangsdaten erkennen, fordern natürlich (und das auch völlig zurecht) Rückerstattungen. Das dies zu großen wirtschaftlichen Belastungen bei den entsprechenden Unternehmen führt, ist klar. Unternehmen, bei denen Kundendaten abgegriffen worden sind, leiden zusätzlich noch unter einem Vertrauensverlust sondergleichen. Um die einmal gestörten Kundenbeziehungen wieder aufzubauen, können Jahre vergehen – und hohe Investitionen nötig werden. Auch nicht zu unterschätzen ist das Problem der Datenmanipulation. Denn je nach kriminellem Vorhaben können Cyberangreifer die Kundendaten nach Belieben abändern, austauschen und manipulieren. Ist denn überhaupt ein Unternehmen sicher vor den rabiaten Brute-Force-Methoden? Leider nein, denn sobald eine Login-Funktion verfügbar ist – und das ist bei Portalen, Online-Shops oder Finanzdienstleistern eher die Regel als denn die Ausnahme – können und werden Cyberangreifer das entsprechende Unternehmen über kurz oder lang ins Visier nehmen.
Der beste Schutz vor Brute-Force-Methoden wie Credential Stuffing: Achtsamkeit!
Während Cyberangriffe mittels Ransomware bei Unternehmen als echte Gefahr wahrgenommen werden, ist Credential Stuffing immer noch der „kleine, doofe Bruder“, den man nicht so richtig ernst nehmen muss. Dabei stellen Brute-Force-Methoden ein weitaus größeres Risiko dar – einfach, weil Credential Stuffing und Co. kaum Vorbereitung und wenig Expertise bei der Umsetzung erfordern. Mit kleinen Maßnahmen können sowohl Endanwender als auch Unternehmen die IT Security optimieren – und das Risiko durch Cyberangriffe deutlich minimieren.
Für Nutzer empfiehlt sich der Einsatz eines Passwort-Managers. So können einmalige, starke Passwörter für jeden Online-Dienst verwendet werden, ohne Gefahr zu laufen, eines oder mehrere der Zugangsdaten zu vergessen. Auch mit einer Zwei-Faktor-Authentifizierung lässt sich die Gefahr von Brute-Force-Methoden eindämmen. Bei der Zwei-Faktor-Authentifizierung muss zusätzlich zum eigentlichen Passwort beispielsweise noch ein Sicherheitscode eingegeben werden, den der Nutzer auf sein Smartphone erhält. Das mag zwar lästig erscheinen – nimmt aber den Cyberkriminellen einen der wichtigsten Angriffspunkte! Eine weitere effiziente Maßnahme zum Schutz vor Credential Stuffing ist das regelmäßige Ändern von Passwörtern. Ebenfalls keine Aufgabe, die man gerne macht. Aber auf jeden Fall ein echtes Plus für die Sicherheit.
Für Unternehmen gestaltet sich die Abwehr von Cyberangriffen mit Brute-Force-Methoden komplexer. Denn neben der IT Security müssen Unternehmen auf einen zweiten Faktor achten – die Anwenderfreundlichkeit. Was Cyberkriminelle aussperrt, nämlich hohe Anforderungen an die Passwortsicherheit und technische Maßnahmen wie die (allseits unbeliebten) Captchas, erhöhen die Sicherheit der Unternehmensplattform zwar deutlich. Gleichzeitig steigt aber der Nervpegel bei den Nutzern, die sich in der Folge dem Wettbewerb zuwenden könnten – der auf gesteigerte Sicherheit (noch) verzichtet. Lohnend ist es für Unternehmen auf jeden Fall, regelmäßig einen Check der Zugangsdaten ihrer User durchzuführen. Spezialisierte Dienstleister im Netz übernehmen die Abfrage veröffentlichter Listen und prüfen, ob Zugangsdaten gestohlen und bereits veröffentlicht wurden. Nicht zuletzt lässt sich auch die IT Security unternehmensintern aufrüsten. IT Security Systeme, die automatisierte Anmeldeversuche aus Bot-Netzwerken erkennen und abwehren können, sind längst verfügbar. Sie müssen nur noch integriert und eingesetzt werden.
Fazit
Es ist schon eine Crux mit den Passwörtern. Sind sie stark und sicher, sind sie schlecht zu merken – und mühselig einzugeben. Wohl jeder von uns neigt aus Bequemlichkeit und Sorglosigkeit dazu, ein vermeintlich „gutes“ (weil leicht zu merkendes) Passwort für unterschiedlichste Dienste einzusetzen. Unsere Bequemlichkeit – die man noch nicht mal zum Vorwurf machen kann – ist jedoch ein offenstehendes Scheunentor für Cyberkriminelle aller Art. Mittels frei oder billig verfügbarer Tools und Listen voller Nutzernamen/Passwort-Kombinationen werden Brute-Force-Methoden eingesetzt, die viele Unternehmen beziehungsweise deren IT Security einfach nicht auf dem Schirm haben. Credential Stuffing ist dabei kein Kavaliersdelikt, sondern kann richtig teuer werden – von dem Imageschaden, den die betroffenen Unternehmen erleiden, mal ganz abgesehen.
Doch es gibt auch eine gute Nachricht: Anders als bei Ransomware oder APTs bedarf es keiner hochspezialisierten IT Security, um den Cyberangriffen mittels Brute-Force-Methoden einen Riegel vorzuschieben. Das regelmäßige Ändern von Passwörtern, der Einsatz von Passwort-Managern und zweistufige Authentifizierungsverfahren machen das Abgreifen von Nutzerdaten zwar immer noch nicht unmöglich. Aber die kleinen Maßnahmen erschweren den Cyberangreifern immerhin ihre Machenschaften.