zurück zurück
Sicherheit

Angriff der Passwort-Checker

Hacker nutzen sogenannte Credential-Stuffing-Angriffe, um an die Account-Daten von Internetnutzern zu kommen. So kann man sich schützen.
191113 Artikel Querformat 08 Retina © Photo by Finan Akbar on Unsplash
12.11.2019

Sie kaufen gestohlene Daten und schlagen dann in großem Stil zu: Beim Credential Stuffing machen sich Hacker die Gewohnheit vieler Internetnutzer zu eigen, ständig die gleichen ideenlosen Passwörter zu nutzen. Die automatisierten Angriffe auf Konten nehmen rapide zu. Welche Schäden drohen und wie man sich schützen kann.

Beim Credential Stuffing, was übersetzt so viel wie „Befüllen mit Anmeldedaten“ heißt, werden gestohlene Nutzernamen und Passwörter auf allen möglichen Websites ausprobiert. Auf E-Commerce-Seiten ebenso wie auf Depots von Brokern. Die Kriminellen verwenden dabei Passwortlisten mit tausenden Daten, die aus Diebstählen oder Leaks stammen. Der Handel mit solchen Nutzerdaten im Web sowie im Darknet floriert.

Das Vorgehen ist simpel: Botnets geben die gestohlenen Kombinationen aus Nutzername und Passwort im Login-Bereich verschiedener Websites ein und prüfen, ob die Anmeldung zum Erfolg führt. Die Angriffe verlaufen meist im Hintergrund und unauffällig, damit die Botnets möglichst viele Daten prüfen können.

191113 Artikel Querformat 06 Retina © Photo by Philipp Katzenberger on Unsplash

Manche Hacker sind damit schon zufrieden: Sie geben in den Listen an, welche Kombinationen auf welchen Websites genutzt werden, und verkaufen sie weiter, begnügen sich mit dem Erlös, nehmen aber selber keine Transaktionen vor. Oftmals gehen die Hacker aber noch einen Schritt weiter, wenn der Login-Vorgang erfolgreich war und veranlassen beispielsweise Überweisungen. In diesem Fall spricht man von einem Credential-Abuse-Angriff. Geht der Hacker noch einen Schritt weiter und übernimmt das Konto seines Opfers komplett, handelt es sich um einen sogenannten Account Takeover.

Credential-Stuffing-Angriffe nehmen zu

Im vergangenen Jahr ist die Zahl solcher Cyberattacken drastisch gestiegen: Im vierteljährlich erscheinenden „State of the Internet“-Sicherheitsbericht führt der IT-Dienstleister Akamai auf, dass mehr als 30 Milliarden böswilliger Anmeldeversuche durch Botnets in den Monaten November 2017 bis Juni 2018 registriert wurden – eine Steigerung von 30 Prozent im Vergleich zu den Vormonaten.

191113 Artikel Hochkant 02 Retina © Photo by Ian Espinosa on Unsplash

Besonders im Fokus der Hacker stehen derzeit Banken und andere Finanzinstitute. Für sie können Credential-Stuffing-Angriffe dramatische Auswirkungen haben. Zwar ist es nicht das Ziel solcher Cyberattacken, Websites lahmzulegen. Schlecht ausgeführte Botnet-Angriffe können aber dazu führen, dass plötzlich so viel Traffic auf eine Website kommt, dass diese zusammenbricht. Das passiert etwa, wenn der Hacker seine eigenen Tools nicht gut genug beherrscht, sodass die Attacke, die eigentlich unentdeckt bleiben soll, wie ein DDoS-Angriff (Distributed Denial of Service) aussieht. Beim Credential Stuffing geht es dem Hacker aber darum, möglichst lange nicht aufzufliegen, um große Mengen an Anmeldedaten abgreifen zu können. Unabhängig davon, wie gut oder schlecht die Cyber-Attacken ausgeführt sind, können sie für Banken zu hohen finanziellen Einbußen sowie gravierenden Imageschäden führen.

191113 Artikel Querformat 05 Retina © Photo by Rishi Deep on Unsplash

Verluste im siebenstelligen Dollarbereich sind möglich, wie das Beratungsunternehmen Ponemon Institute in seinem Bericht „The Cost of Credential Stuffing“ herausgefunden hat. Ebenso schwer wiegt der Vertrauensverlust der Kunden in eine Bank, wenn sensible Daten wie Kreditkarteninformationen oder andere persönliche Angaben online gestohlen wurden. Der Schutz von Kundendaten sollte für Banken deshalb an oberster Stelle stehen. Zwar ist der Kunde selbst dafür verantwortlich, sein Passwort so zu wählen, dass es möglichst nicht zu knacken ist. Aber auch die Banken können einiges dafür tun, die Kundendaten optimal zu schützen. Mit Präventionsmechanismen wie einer Zwei-Faktor-Identifizierung oder einem Bot-Management-System treten Finanzinstituten den drohenden Gefahren entgegen.

Schlechte Angewohnheit macht User angreifbar

Zunächst ist aber der User in der Pflicht. Denn Hacker nutzen eine schlechte Angewohnheit ihrer Opfer aus: Die totale Einfallslosigkeit bei der Wahl des Passwortes. So waren die drei beliebtesten in Deutschland im vergangenen Jahr „1234556“, „hallo123“ und „passwort“, wie das Potsdamer Hasso-Plattner-Institut (HPI) herausgefunden hat. „Derart schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt. Sie sind geradezu eine Einladung zum Identitätsdiebstahl“, erklärt HPI-Direktor Christoph Meinel.

191113 Artikel Querformat 04 Retina © Photo by Taskin Ashiq on Unsplash

Internet-Nutzer halten trotzdem daran fest und pflegen darüber hinaus noch eine weitere schlechte Angewohnheit: Sie verwenden dieselbe Kombination aus Benutzername und Passwort für verschiedene Online-Zugänge. Für Hacker ist es dann ein leichtes Spiel, mithilfe von Bot-basierten Cyberangriffen die Anmeldedaten herauszufinden.

Mithilfe von Sicherheitsmaßnahmen wie einer Zwei-Faktor-Authentifizierung, SSL-Verschlüsselung sowie Passwortrichtlinien können Banken vorsorgen. Darüber hinaus kann die Implementierung eines Bot-Management-Systems sinnvoll sein. Dieses beobachtet und analysiert den Traffic sowie die Login-Vorgänge auf einer Website. Anmeldeversuche von Bots unterscheiden sich von denen einer realen Person etwa darin, wie sich der Cursor über den Bildschirm bewegt. Würde man diese Bewegungsabläufe sichtbar machen, entstünde beim Bot eine sehr eckige, kantige Linie, während ein Mensch fließendere, organischere Muster erzeugt. Solche Unterschiede erkennt das System und schlägt im Verdachtsfall Alarm, sodass Angriffe gezielt abgewehrt werden können.

Wie sich Verbraucher gegen Hacker schützen können, erfährst du in diesem Artikel.

12.11.2019