Beim Credential Stuffing, was übersetzt so viel wie „Befüllen mit Anmeldedaten“ heißt, werden gestohlene Nutzernamen und Passwörter auf allen möglichen Websites ausprobiert. Auf E-Commerce-Seiten ebenso wie auf Depots von Brokern. Die Kriminellen verwenden dabei Passwortlisten mit tausenden Daten, die aus Diebstählen oder Leaks stammen. Der Handel mit solchen Nutzerdaten im Web sowie im Darknet floriert.
Das Vorgehen ist simpel: Botnets geben die gestohlenen Kombinationen aus Nutzername und Passwort im Login-Bereich verschiedener Websites ein und prüfen, ob die Anmeldung zum Erfolg führt. Die Angriffe verlaufen meist im Hintergrund und unauffällig, damit die Botnets möglichst viele Daten prüfen können.
© Photo by Philipp Katzenberger on Unsplash
Manche Hacker sind damit schon zufrieden: Sie geben in den Listen an, welche Kombinationen auf welchen Websites genutzt werden, und verkaufen sie weiter, begnügen sich mit dem Erlös, nehmen aber selber keine Transaktionen vor. Oftmals gehen die Hacker aber noch einen Schritt weiter, wenn der Login-Vorgang erfolgreich war und veranlassen beispielsweise Überweisungen. In diesem Fall spricht man von einem Credential-Abuse-Angriff. Geht der Hacker noch einen Schritt weiter und übernimmt das Konto seines Opfers komplett, handelt es sich um einen sogenannten Account Takeover.
Credential-Stuffing-Angriffe nehmen zu
Im vergangenen Jahr ist die Zahl solcher Cyberattacken drastisch gestiegen: Im vierteljährlich erscheinenden „State of the Internet“-Sicherheitsbericht führt der IT-Dienstleister Akamai auf, dass mehr als 30 Milliarden böswilliger Anmeldeversuche durch Botnets in den Monaten November 2017 bis Juni 2018 registriert wurden – eine Steigerung von 30 Prozent im Vergleich zu den Vormonaten.
© Photo by Ian Espinosa on Unsplash
Besonders im Fokus der Hacker stehen derzeit Banken und andere Finanzinstitute. Für sie können Credential-Stuffing-Angriffe dramatische Auswirkungen haben. Zwar ist es nicht das Ziel solcher Cyberattacken, Websites lahmzulegen. Schlecht ausgeführte Botnet-Angriffe können aber dazu führen, dass plötzlich so viel Traffic auf eine Website kommt, dass diese zusammenbricht. Das passiert etwa, wenn der Hacker seine eigenen Tools nicht gut genug beherrscht, sodass die Attacke, die eigentlich unentdeckt bleiben soll, wie ein DDoS-Angriff (Distributed Denial of Service) aussieht. Beim Credential Stuffing geht es dem Hacker aber darum, möglichst lange nicht aufzufliegen, um große Mengen an Anmeldedaten abgreifen zu können. Unabhängig davon, wie gut oder schlecht die Cyber-Attacken ausgeführt sind, können sie für Banken zu hohen finanziellen Einbußen sowie gravierenden Imageschäden führen.
© Photo by Rishi Deep on Unsplash
Verluste im siebenstelligen Dollarbereich sind möglich, wie das Beratungsunternehmen Ponemon Institute in seinem Bericht „The Cost of Credential Stuffing“ herausgefunden hat. Ebenso schwer wiegt der Vertrauensverlust der Kunden in eine Bank, wenn sensible Daten wie Kreditkarteninformationen oder andere persönliche Angaben online gestohlen wurden. Der Schutz von Kundendaten sollte für Banken deshalb an oberster Stelle stehen. Zwar ist der Kunde selbst dafür verantwortlich, sein Passwort so zu wählen, dass es möglichst nicht zu knacken ist. Aber auch die Banken können einiges dafür tun, die Kundendaten optimal zu schützen. Mit Präventionsmechanismen wie einer Zwei-Faktor-Identifizierung oder einem Bot-Management-System treten Finanzinstituten den drohenden Gefahren entgegen.
Schlechte Angewohnheit macht User angreifbar
Zunächst ist aber der User in der Pflicht. Denn Hacker nutzen eine schlechte Angewohnheit ihrer Opfer aus: Die totale Einfallslosigkeit bei der Wahl des Passwortes. So waren die drei beliebtesten in Deutschland im vergangenen Jahr „1234556“, „hallo123“ und „passwort“, wie das Potsdamer Hasso-Plattner-Institut (HPI) herausgefunden hat. „Derart schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt. Sie sind geradezu eine Einladung zum Identitätsdiebstahl“, erklärt HPI-Direktor Christoph Meinel.
© Photo by Taskin Ashiq on Unsplash
Internet-Nutzer halten trotzdem daran fest und pflegen darüber hinaus noch eine weitere schlechte Angewohnheit: Sie verwenden dieselbe Kombination aus Benutzername und Passwort für verschiedene Online-Zugänge. Für Hacker ist es dann ein leichtes Spiel, mithilfe von Bot-basierten Cyberangriffen die Anmeldedaten herauszufinden.
Mithilfe von Sicherheitsmaßnahmen wie einer Zwei-Faktor-Authentifizierung, SSL-Verschlüsselung sowie Passwortrichtlinien können Banken vorsorgen. Darüber hinaus kann die Implementierung eines Bot-Management-Systems sinnvoll sein. Dieses beobachtet und analysiert den Traffic sowie die Login-Vorgänge auf einer Website. Anmeldeversuche von Bots unterscheiden sich von denen einer realen Person etwa darin, wie sich der Cursor über den Bildschirm bewegt. Würde man diese Bewegungsabläufe sichtbar machen, entstünde beim Bot eine sehr eckige, kantige Linie, während ein Mensch fließendere, organischere Muster erzeugt. Solche Unterschiede erkennt das System und schlägt im Verdachtsfall Alarm, sodass Angriffe gezielt abgewehrt werden können.
Wie sich Verbraucher gegen Hacker schützen können, erfährst du in diesem Artikel.
