Besuchen Sie uns auf der it-sa 2024!

Person tippt auf einem Handy

Was ist Credential Cracking?

Cyberkriminellen nutzen Credential Cracking, um an die lukrativen Zugangsdaten von Internet-Portalen, Online-Banking-Diensten oder Unternehmens-internen Lösungen zu gelangen. Die gestohlenen Kontoinformationen lassen sich im Internet zu hohen Preisen handeln.

Jetzt absichern mit dem Myra DDoS Schutz
Ablauf einer Attacke mittels Credential Cracking

01

Credential Cracking: eine Definition

Credential Cracking ähnelt in vielerlei Hinsicht dem Credential Stuffing. Bei beiden Angriffsmethoden setzen die Angreifer auf die Nutzung von Passwortlisten, um den Zugang zu Online-Konten zu erlangen. Während allerdings beim Credential Stuffing geleakte Nutzer/Passwort-Kombinationen getestet werden, um gültige Logins auf diversen Internetdiensten ausfindig zu machen, sind beim Credential Cracking die Zugangsdaten noch nicht vollständig bekannt.

So besitzen die Angreifer beim Credential Cracking beispielsweise nur einen Nutzernamen für ein bestimmtes Konto auf einem Payment-Account. Das dazugehörige Passwort ist allerdings nicht bekannt. Um das Kennwort zu bestimmen, verwenden die Online-Betrüger deshalb Wort- und Passwortlisten, die eine immense Zahl der gängigsten Passwörter enthalten. Diese Listen werden automatisiert von Bots abgearbeitet – sobald eines der getesteten Passwörter funktioniert, haben die Angreifer den vollen Zugriff auf das betroffene Konto. Ergänzend kann auch die Brute-Force (engl. für „rohe Gewalt“)-Methode zum Erfolg führen. Dabei testen Bots in Login-Formularen wahllos diverse Buchstaben- oder Zeichenfolgen als Passwort für bekannte Benutzernamen oder E-Mail-Adressen.

Wie beim Credential Stuffing profitieren Cyberkriminelle auch bei Angriffen per Credential Cracking von der Bequemlichkeit der Nutzer, die oftmals schwache Standardpasswörter auf mehreren Diensten im Netz parallel einsetzen. Aufgrund dieser schwachen Sicherheitsvorkehrungen sind die Logindaten mit relativ wenig Aufwand via Brute-Force geknackt.

02

Wie funktioniert Credential Cracking?

Cyberkriminelle greifen bei Credential Cracking auf Bots zurück. Die automatisierten Programme ermöglichen den Angreifern, schnell und unerkannt ihre Passwortlisten abzuarbeiten. Würde der Angriff manuell erfolgen, könnten Systemadministratoren relativ einfach die vielen Log-in-Versuche von einer einzigen IP-Adresse identifizieren und dagegen vorgehen. Kommt dagegen ein umfangreiches Botnetz für Credential Cracking zum Einsatz, ist der Angriff als solcher nicht mehr offensichtlich, da die Bots mit unterschiedlichen IP-Adressen und manipulierten Headerdaten agieren. Auf diese Weise können Bots Millionen von möglichen Anmeldedaten und Passwörter in kürzester Zeit testen.

Da der Aufwand bei Credential Cracking für die Angreifer in der Regel höher ausfällt, kommt diese Angriffsmethode meist bei einer gezielten Attacke auf einen bestimmten Account zum Einsatz, von dem sich die Angreifer einen hohen Gewinn versprechen. Dahingegen zielt Credential Stuffing mehr auf das Gießkannen-Prinzip ab, wobei vor allem die Anzahl der kompromittierten Accounts für hohe Einnahmen im Darknet sorgen.

Was sind die Folgen von Credential Cracking?

Betroffene Unternehmen haben je nach Umfang der Attacke mit weitreichenden Folgen und hohen Schäden zu rechnen. Credential Cracking zielt in der Regel auf äußerst wertvolle Accounts mit weitreichenden Zugriffsrechten ab, die eine gute Basis für weiterführende Cyberattacken, Manipulation oder Industriespionage bilden.

Wirtschaftliche Schäden

Kunden und Geschäftspartner stornieren ungerechtfertigte Bestellungen oder Überweisungen, die mit den gestohlenen Accounts getätigt wurden. Das äußert sich etwa an vermehrten Rückerstattungen.

Image-Schäden

Betroffene Kunden und Partner verlieren das Vertrauen zu Ihrem Unternehmen und schauen sich bei der Konkurrenz nach alternativen Angeboten um. Im Zweifel dauert es Jahre, bis einmal verlorenes Vertrauen wiederaufgebaut ist.

Datenmanipulation

Handelt es sich bei den gestohlenen Accounts um Firmenkonten für beispielsweise CRM-Systeme, können Angreifer sensible Unternehmensdaten manipulieren oder abführen. Dieser Missbrauch kann Firmen und Betriebe nachhaltig schädigen.

Person arbeitet an einem Laptop

04

Welche Branchen sind von Credential Cracking betroffen?

Credential Cracking ist überall da möglich, wo Login-Funktionen über das Internet bereitgestellt werden. Am lukrativsten fallen für Cyberkriminelle allerdings Portale aus, über die hohe Transaktionen ablaufen. Daher sind meist die Accounts von Banken, Payment-Dienstleistern oder aber auch die Tourismus-Branche betroffen. Ebenfalls im Fokus der Angreifer liegen Firmenkonten mit weitreichenden Zugriffsrechten. Sensible Unternehmensdaten und Geschäftsgeheimnisse stehen hier auf dem Spiel.

05

Wie können sich Unternehmen vor Credential Cracking schützen?

Für die Abwehr von Credential Cracking greifen dieselben Maßnahmen wie auch bei Credential Stuffing. So gilt es für Firmen hier wie dort einen Spagat aus Sicherheit und Usability zu meistern. Einerseits müssen möglichst komplexe und strikte Vorgaben an die Passwortsicherheit eingeführt werden, andererseits dürfen Kunden und Geschäftspartner von den Anforderungen nicht abgeschreckt werden.

Neben Passwort-Vorgaben und Verboten für gängige Zeichenketten und Standardkennwörter bietet sich etwa eine zusätzliche Sicherheitsebene in Form einer 2-Faktor-Authentifizierung (2FA) an. Selbst wenn es den Angreifern gelingen sollte, die korrekten Zugangsdaten zu entschlüsseln, ist der Account immer noch über 2FA-Code-Abfrage geschützt.

Diese lässt sich nur über eine Code-Applikation auf dem Handy des Nutzers oder wahlweise per SMS-Code und ähnlichem entsperren. Hundertprozentige Sicherheit liefert aber auch 2FA nicht. So wurden in der Vergangenheit beispielsweise schon des Öfteren SMS-Codes für 2FA abgefangen.

Als probates Mittel zum Schutz vor Missbrauch von Zugangsdaten hat sich hingegen eine systematische Reglementierung von Bot-Anfragen erwiesen. Verdächtige Zugriffsversuche auf einzelne Konten lassen sich mittels Bot-Management zuverlässig identifizieren und blockieren.

Myra schützt Ihre Webdienste vor Credential Cracking

Myra Security bietet mit der Application Security und dem darin enthaltenen Deep Bot Management eine vorgelagerte Schutzinstanz, die Webanwendungen vor Credential Cracking bewahrt. Die hochperformante Myra-Technologie überwacht, analysiert und filtert schädlichen Traffic, noch bevor virtuelle Angriffe einen realen Schaden anrichten.

Zur Myra Application Security