Was ist Credential Stuffing?

Der systematische Missbrauch von Zugangsdaten mittels Credential Stuffing zählt im Internet zu den meist genutzten Angriffswerkzeugen von Cyberkriminellen. Vor allem der Handel mit den gestohlenen Informationen stellt eine lukrative Einnahmequelle für Angreifer dar.

Ganz einfach DDoS-Angriffe abwehren mit dem DDoS Schutz von Myra

Auf einen Blick

1. Credential Stuffing: eine Definition
2. Wie funktioniert Credential Stuffing?
3. Was sind die Folgen von Credential Stuffing?
4. Welche Branchen sind von Credential Stuffing betroffen?
5. Wie können sich Unternehmen vor Credential Stuffing schützen?

Ablauf einer Attacke mittels Credential Stuffing

Credential Stuffing: eine Definition

Bei Credential Stuffing nutzen Angreifer die Bequemlichkeit der Anwender im Internet aus. Auch heute noch verwenden viele Nutzer ein und dasselbe Passwort für mehrere oder gar alle Dienste im Netz. Sind diese Logins einmal bekannt, ist es für Online-Betrüger ein Leichtes, systematisch lukrative Webdienste für ihre Zwecke zu missbrauchen. Sind Angreifer beispielsweise im Besitz der Zugangsdaten für Ihren E-Mail-Dienst, starten sie mit den gleichen Login-Daten automatisierte Anfragen auf Web-Shops, Onlinebanken oder sogar Firmenkonten.

Adresslisten – sogenannte Combolists – mit Millionen von Zugangsdaten werden auf professionellen Marktplätzen im Internet sowie im Darknet zu Schnäppchenpreisen gehandelt. Die Informationen aus den Combolists entstammen zumeist Datenlecks oder Hacker-Angriffen. Einmal mit der erforderlichen Datenmunition ausgerüstet, torpedieren automatisierte Angriffswerkzeuge (Bots) die per Brute-Force-Attacke anvisierten Dienste. Innerhalb weniger Stunden können Millionen an Nutzer-Passwort-Kombinationen getestet werden. Treffer zu aktiven Accounts verkaufen Cyberkriminelle im Nachgang im Darknet an den Meistbietenden oder sie nutzen die Informationen für weiterführende Attacken.

Wie funktioniert Credential Stuffing?

Cyberkriminelle greifen bei Credential Stuffing in der Regel auf Bots zurück. Die automatisierten Programme ermöglichen ein schnelles und gleichzeitig unauffälliges Abarbeiten der Passwortlisten. Probiert etwa ein menschlicher Angreifer innerhalb eines kurzen Zeitfensters verschiedene Nutzer/Passwort-Kombinationen durch, ist das auffällig. Da alle Log-in-Versuche von derselben IP-Adresse stammen, kann ein Systemadministrator dieses Vorgehen leicht erkennen und gegensteuern. Anders bei der Bot-Attacke: Zum einen kann ein automatisches Programm solche Prozesse in unglaublicher Geschwindigkeit durchführen und Millionen von Anmeldedaten in kürzester Zeit testen. Zum anderen verschleiern Bots ihre Aktivitäten durch eine kollektive Vorgehensweise: Der erste Bots versucht es mit Nutzer/Passwort-Kombination Nummer 1, der nächste Bot nutzt Nummer 2 usw.

Was sind die Folgen von Credential Stuffing?

Ein Angriff per Credential Stuffing schadet betroffenen Unternehmen und Institutionen immer. An den Folgen leiden betroffene Organisationen noch Jahre später. Ein effizienter Schutz ist deshalb äußerst wichtig.

Wirtschaftliche Schäden

Entdecken Kunden Missbrauch ihrer Zugangsdaten, entstehen für Online-Händler zusätzliche Kosten. Vermehrte Rückerstattungen etwa führen zu einer großen wirtschaftlichen Belastung.

Image-Schäden

Werden die User-Daten auf Ihrer Seite missbraucht oder gestohlen, wirkt sich das negativ auf Ihre Kundenbeziehung aus. Der Vertrauensaufbau kann Jahre dauern und enorme Investitionen erfordern.

Datenmanipulation

Erhalten Angreifer Zugriff auf die Daten Ihrer Nutzer, können sie diese nach beliebigem verändern und manipulieren. Je länger der Datenmissbrauch unentdeckt bleibt, desto größere Schäden drohen

Welche Branchen sind von Credential Stuffing betroffen?

Prinzipiell sind alle Unternehmen bzw. Web-Dienste betroffen, die über eine Login-Funktion verfügen. Besonders attraktiv sind allerdings meist Portale, über die hohe Transaktionen ablaufen. Besonders für Banken, Payment-Dienstleister, aber auch die Reisebranche können Angriffe mittels Credential Stuffing hohe wirtschaftliche Schäden nach sich ziehen.

Wie können sich Unternehmen vor Credential Stuffing schützen?

Die Abwehr von Credential Stuffing fällt für die betroffenen Unternehmen äußerst komplex aus. Hier ist ein Spagat aus Sicherheit und Usability gefragt. Komplexe Vorgaben an die Passwortsicherheit sowie nachgelagerte Human Interaction Proof-Verfahren wie Captchas erhöhen zwar die Sicherheit von Portalen, sorgen bei einer zu aggressiven Konfiguration allerdings für Frust bei den Nutzern.

Außerdem stellen Captchas ebenfalls keine unüberwindbare Hürde für Angreifer dar. Längst haben sich spezialisierte Dienstanbieter im Internet etabliert, die mit einer Armee von Billiglöhnern die Captcha-Aufforderungen zu Spottpreisen lösen – selbst API-Anbindungen zu diesen fragwürdigen Services sind erhältlich. Damit genügt eine simple Erweiterung der bestehenden Angriffs-Tools, um Captchas zu umgehen.

Eine weitere und weitaus effektivere Möglichkeit der Bot-Bekämpfung stellt die systematische Reglementierung automatischer Anfragen dar. Hierbei werden bösartige Bots mittels spezieller Software eindeutig identifiziert und blockiert, während gutartige Anfragen – etwa von Suchmaschinen – weiterhin toleriert sind. Da heutzutage der Traffic auf Webseiten rund zur Hälfte aus Bot-Anfragen besteht, steckt in der Verwaltung dieser Datenströme enormes Potenzial.

Myra schützt Ihre Webdienste vor Credential Stuffing

Myra Security bietet mit der Application Security und dem darin enthaltenen Deep Bot Management eine vorgelagerte Schutzinstanz, die Webanwendungen vor Credential Stuffing bewahrt. Die hochperformante Myra-Technologie überwacht, analysiert und filtert schädlichen Traffic, noch bevor virtuelle Angriffe einen realen Schaden anrichten.

Zur Myra Application Security

Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.

Zum Download-Bereich

Responsible Disclosure Impressum Datenschutz Privatsphäre-Einstellungen AGB