Was ist Credential Stuffing?

Jetzt Artikel teilen:

Credential Stuffing bedeutet die Übernahme von Benutzerkonten mit Hilfe erbeuteter Passwörter und Bots.

Hacker greifen häufig die Datenbanken großer Online-Services an, um dort die Login-Daten unzähliger Nutzer zu stehlen. Das Problem: Viele Anwender nutzen für die Anmeldung bei verschiedenen Online-Diensten dieselben Anmeldeinformationen. Damit öffnen sie die Tür für Credential Stuffing, die Übernahme weiterer Benutzerkonten mit Hilfe der erbeuteten Passwörter und des Einsatzes von Bots.

Credential Stuffing: So funktioniert die Methode

Netflix, Facebook, Adobe oder Microsoft – all diese bekannten Firmen waren schon Opfer des Diebstahls von Anmeldedaten ihrer Nutzer. Die Datenbanken großer Online-Services wie E-Mail-Dienste, Social Media, Anwendersoftware, Medienabos oder Streamingdienste stehen besonders oft im Visier von Hackern. Diese zielen mit ihren Angriffen auf die Login-Daten der Nutzer, sprich in den meisten Fällen Benutzernamen und Passwörter.

Die gestohlenen Anmeldeinformationen bieten die Cyberkriminellen dann in umfangreichen Adresslisten im Darknet zum Verkauf an. Diese so genannten Combolists enthalten Millionen von Zugangsdaten und werden oft zu Schnäppchenpreisen angeboten. In einer Art Combolists-as-a-Service können Angreifer ein Abonnement für rund 50 US-Dollar abschließen, das ihnen dann einen Monat lang Zugriff auf Zugangsdaten gewährt.

Welchen Nutzen bringt eine derartige Liste? An sich noch nicht viel. Denn entdeckt ein Service-Provider den Diebstahl der Anmeldedaten, informiert er seine Kunden und bittet sie, ihr Passwort zu ändern. Damit können die Hacker nicht mehr auf das Benutzerkonto zugreifen. Das Problem: Viele Anwender nutzen dieselbe Kombination aus Benutzername (meist die E-Mail-Adresse) und Passwort für mehrere oder sogar alle ihre Online-Services. Das nutzen Angreifer beim Credential Stuffing aus.

Was ist Credential Stuffing?

Beim Credential Stuffing zielen Cyberkriminelle darauf ab, mit gestohlenen Anmeldeinformationen (engl. Credentials) andere Benutzerkonten zu übernehmen und weitere wertvolle Daten zu erbeuten, etwa die Kreditkarten-Nummer, Adresse oder wichtige Dokumente des Anwenders.

Ein Beispiel: Die Hacker haben die Zugangsdaten eines Nutzers für den E-Mail-Dienst gestohlen. Beim Credential Stuffing starten sie mit diesen Anmeldeinformation nun automatisierte Anfragen auf Web-Shops, Online-Bankkonten oder Payment-Dienstleister. Statistischen Schätzungen zufolge liegt die Erfolgsquote für Credential Stuffing bei 0,1 Prozent. Das heißt: Ein Angreifer muss rund 1.000 verschiedene Login-Daten austesten, um in ein Benutzerkonto einzudringen.

Automatisierte Anmeldeversuche mit Bots

Cyberkriminelle setzen beim Credential Stuffing in der Regel Bots ein, kleine Programme, die automatisiert sich wiederholende Aufgaben abarbeiten. Konkret testen die Bots Millionen von Nutzer-/Passwort-Kombinationen und starten damit vollautomatisch Login-Versuche bei diversen Online-Services. Dabei verändern sie permanent die Absender-IP-Adresse, damit der Zielserver die Anmeldeversuche nicht blockiert. Schließlich würde ein Server normalerweise eine IP-Adresse nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche sperren.

Wer ist von Credential Stuffing betroffen?

Von Credential Stuffing sind potenziell alle Firmen oder Online-Services mit Login-Funktion betroffen. Vor allem aber Portale mit vielen Interaktionen und Transaktionen wie Banken, Web-Shops, Payment-Dienstleister oder auch Medienangebote. Sehr aufschlussreich ist hier der Sicherheitsbericht State of the Internet von Akamai, einem Anbieter von Managed Services für digitale Anwendungen. Demnach zielten zwischen Januar 2019 und Dezember 2019 rund 20 Prozent der insgesamt 88 Milliarden Credential-Stuffing-Angriffe auf Medienunternehmen.

Medienangebote im Fokus

So stieg die Zahl der Angriffe auf den Videomediensektor um 63 Prozent im Vergleich zum Vorjahr. Auch die Zahl der Angriffe auf Fernseh- und Video-Webseiten stieg um 630 beziehungsweise 208 Prozent. Auch Online-Versionen von Zeitungen, Büchern und Zeitschriften stehen im Fokus von Credential-Stuffing-Angriffen gegen die Medienbranche. Laut Bericht ist die Zahl der Attacken hier um sage und schreibe 7000 Prozent gestiegen.

Mögliche Schäden durch Credential Stuffing

Ein Angriff per Credential Stuffing kann zu beträchtlichen Schäden für betroffene Unternehmen führen.

  • Imageschäden: Wenn Angreifer die Anmeldeinformationen und Nutzerdaten beim Online-Service missbrauchen oder stehlen, wirkt sich das negativ auf die Reputation und die Kundenbeziehung aus. Der erneute Vertrauensaufbau kann Jahre dauern und enorme Investitionen erfordern.
  • Finanzielle Schäden: Entdecken die Kunden den Missbrauch ihrer Zugangsdaten oder entstehen ihnen dadurch Schäden, fallen für Firmen wie Online-Händler zusätzliche Kosten an. So führen beispielsweise vermehrte Rückerstattungen zu einer großen finanziellen Belastung.
  • Manipulation von Daten: Angreifer können kompromittierte Anmeldeinformationen oder Daten der Nutzer beliebig verändern und manipulieren oder diese für weiterführende Attacken einsetzen. Je länger der Missbrauch der Daten nicht entdeckt wird, desto größer der potenzielle Schaden.

So schützen Firmen sich gegen Credential Stuffing

Der einfachste Schutz gegen Credential Stuffing ist der Einsatz unterschiedlicher Benutzernamen oder/und Passwörter für die verschiedenen Benutzerkonten. Ein Unternehmen kann seinen Kunden daher empfehlen, einzigartige Passwörter zu verwenden und diese häufig zu wechseln. Ergänzend kommen Funktionen wie Zwei-Faktor-Authentifizierung oder Verfahren wie Captchas zum Einsatz. Bei diesen prüft der Seitenbetreiber, ob ein Mensch oder ein Computer ein Programm bedient. Hier sollten Betreiber aber darauf achten, die Passwort-Richtlinien und Sicherheitsvorgaben nicht allzu komplex zu gestalten. Sonst könnte die Usability darunter leiden und sich Frust bei den Nutzern aufbauen.

Bot-Manager: effizienter Schutz vor Credential Stuffing

Den effektivsten Schutz gegen Credential-Stuffing-Angriffe bieten Tools für das Bot-Management wie der Cloud-basierte Bot Manager von Akamai. Dieser kann beispielsweise direkt über den Cloud Provider eines Unternehmens bezogen werden. Diese Tools erkennen und blockieren unerwünschte Bots.

Hintergrund: Bots machen teilweise bis zu 40 Prozent oder mehr des Webverkehrs eines Unternehmens aus. Die Programme erfüllen die unterschiedlichsten Aufgaben. Gutartige Bots wie die Suchcrawler von Google, Bing und Co. scannen Webseiten und indexieren deren Inhalte. So sind diese später bei Suchanfragen leichter zu finden. Preisvergleichsportale checken mit Hilfe von Bots die Seiten von Online-Shops, um die Preise für einen bestimmten Artikel zu ermitteln. Leider gibt es aber auch Bots mit bösartigen Absichten: Sie sind im Einsatz bei Credential Stuffing, stehlen geistiges Eigentum oder agieren als Teil von DDoS-Attacken. Diese überfluten Webseiten wie Online-Shops mit Anfragen und zwingen sie so in die Knie.

So funktioniert der Akamai Bot Manager

Der Akamai Bot Manager bietet für die Identifikation des Bot-Datenverkehrs ein umfangreiches Verzeichnis mit bekannten Bot-Signaturen und legitimen Webservices. Er ermittelt Bot-Aktivitäten anhand eines mehrstufigen Prozesses mit signaturbasierter und Verhaltenserkennung. Er kann aber auch statistische Anomalien feststellen. Um gute und böse Bots zu unterscheiden, kommen auch Algorithmen für maschinelles Lernen zum Einsatz. Darüber hinaus können Firmen individuelle Bot-Signaturen und -Kategorien definieren. Mit diesen können sie interne Bots oder Programme von Partnern auf ihrer Website besser erkennen. Dashboards liefern dabei einen umfassenden Überblick über den Bot-Datentraffic.

In diesem Whitepaper finden Sie weitere Informationen zur Funktionsweise von Credential Stuffing und wie Sie sich mit einem Bot Manager gegen betrügerische, automatisierte Anmeldeversuche schützen können.

Whitepaper Credential Stuffing und Bot-Management

Titelbild von Gerd Altmann auf Pixabay

Jetzt Artikel teilen:

Das könnte Sie auch interessieren

DDoS-Attacken: Willkommen in der Terabit-Ära

Zwei sehr großvolumige Angriffe mittels Distributed Denial of Services (DDoS) sorgten in jüngster Zeit für Aufsehen. Beide hatten eine Schlagkraft von über einem Terabit pro Sekunde und nutzten einen neuen Angriffsvektor. Es zeigt: DDoS-Attacken entwickeln sich ständig weiter und bleiben gefährlich.

Weiterlesen