Besuchen Sie uns auf der it-sa 2024!
Home>
Credential Stuffing: Goldgrube für Cyberkriminelle
SECURITY INSIGHTS | 19 Mai 2020
Finanzdienste im Visier: Cyberkriminelle nutzen vermehrt Credential Stuffing, um gezielt die Konten von Banking- oder Payment-Anbieter zu kapern. Hier fallen die Erlöse im Darknet am höchsten aus. Für Banken, Zahlungsdienstleister und andere Unternehmen herrscht akuter Handlungsbedarf, um massive Schäden zu verhindern.
Credential Stuffing ist keinesfalls ein neuer Angriffsvektor. Der systematische Missbrauch von Zugangsdaten gehört seit Jahren zu den beliebtesten Methoden von Cyberkriminellen – und das aus gutem Grund. Credential-Stuffing-Attacken sind risikoarm, unkompliziert und relativ preiswert. Auf der Gegenseite fällt die Abwehr von solchen Angriffen um ein Vielfaches komplexer aus.
Bei Credential Stuffing nutzen Angreifer die Bequemlichkeit der Anwender im Internet aus. Auch heute noch verwenden viele Nutzer ein und dasselbe Passwort für mehrere oder gar alle Dienste im Netz. Einer aktuellen Umfrage des Marktforschungsunternehmens Bilendi zufolge, nutzen 60 Prozent der Deutschen ihre Kennwörter mehrfach. Sind diese Logins einmal bekannt, ist es für Online-Betrüger ein Leichtes, systematisch lukrative Webdienste für ihre Zwecke zu missbrauchen.
Adresslisten – sogenannte Combolists – mit Millionen von Zugangsdaten werden auf professionellen Marktplätzen im Internet sowie im Darknet zu Schnäppchenpreisen gehandelt. Cyberkriminelle können sich hier nach Herzenslust bedienen. Die Marktplätze gleichen herkömmlichen E-Commerce-Plattformen, es gibt sogar Kundensupport mit 24/7-Service. Die Informationen aus den Combolists entstammen zumeist Datenlecks oder Hacker-Angriffen – für kontinuierlichen Nachschub ist in Zeiten der globalen Digitalisierung gesorgt.
Einmal mit der erforderlichen Datenmunition ausgerüstet, torpedieren automatisierte Angriffswerkzeuge die anvisierten Dienste. Innerhalb weniger Stunden können Millionen an Nutzer-Passwort-Kombinationen getestet werden. Treffer zu aktiven Accounts verkaufen Cyberkriminelle im Nachgang im Darknet an den Meistbietenden oder sie nutzen die Informationen für die eigenen Zwecke. Herkömmliche Sicherheitsvorkehrungen auf Online-Portalen, die etwa bei zu vielen fehlgeschlagene Anmeldeversuchen den betroffenen Account sperren, greifen hier nicht. Cyberkriminelle setzen für ihre Attacken Botnetze ein, die für automatisierte Anmeldeversuche unzähligen IP-Adressen und manipulierte Headerdaten verwenden. Für den angegriffenen Webdienst erscheint Credential Stuffing damit als valider Besucher-Traffic.
Prinzipiell sind von Credential Stuffing alle Branchen gleichermaßen betroffen. Zuletzt hatten es die Angreifer aber vermehrt auf Banken und Finanzdienstleister abgesehen. Dabei zielten die Cyberkriminellen sowohl auf die für Anwender konzipierten Anmeldeseiten im Internet als auch auf die dahinterliegenden Schnittstellen ab. Durch die zunehmende Nutzung von Online-Bezahldiensten, Mobile Payment und Banking as a Service (BaaS) wächst auch die Angriffsfläche für Attacken. Die Corona-Pandemie hat jüngst durch die Lockdown-Beschränkungen diese Tendenz noch verschärft – nie zuvor wurden so viele Waren über das Internet oder mobile Apps geordert und bezahlt.
Hinzu kommt, dass verifizierte Login-Daten zu Banken oder Bezahldiensten als lukrativste Ziele für Angreifer gelten. Laut einem RSA-Dokument werden keine Anmeldedaten im Darknet so hoch gehandelt wie Logins aus dem Finanzsektor. Bis zu 24 US-Dollar bezahlen Cyberkriminelle für gültige Zugangsdaten von Banking Accounts, immerhin 15,5 US-Dollar erhalten Betrüger für Logins zu Payment-Diensten. Der Betrag mag zunächst klein wirken. Da bei Credential Stuffing aber meist Datenbanken mit mehreren Millionen Logins zum Einsatz kommen und die Erfolgsquote bei rund 0,5 bis 3 Prozent liegt, stellt dieser Angriffsvektor eine wahre Goldgrube für Cyberkriminelle dar.
Auf der Gegenseite fällt der durch Credential Stuffing angerichtete Schaden ebenfalls immens aus. Funktioniert von 10.000 Login-Kombinationen nur eine einzige, ist der GAU für den attackierten Website-Betreiber bereits eingetreten. Im Online-Banking werden Gelder umgeleitet, im E-Commerce teure Einkäufe getätigt oder im ERP-System eines Unternehmens vertrauliche Vertragsdaten eingesehen.
Am stärksten betroffen sind natürlich Portale, über die hohe Transaktionen ablaufen. Besonders für Banken, Payment-Dienstleister, aber auch die Reisebranche können Angriffe mittels Credential Stuffing hohe wirtschaftliche Schäden nach sich ziehen. Das Ponemon Institute beziffert die durchschnittlichen Schäden durch diesen Angriffsvektor auf rund 6 Millionen US-Dollar pro Firma im Jahr. Zu den direkten Schäden kommen zudem weitere Belastungen:
Ausfälle durch Downtime aufgrund massiver Serverbelastung während des Angriffs
Service- und Supportkosten für die betroffenen Konten
Vertrauensverlust bei Kunden / Abwanderung zur Konkurrenz
Langanhaltende Imageschäden
Die Abwehr von Credential Stuffing fällt für die betroffenen Unternehmen äußerst komplex aus. Hier ist ein Spagat aus Sicherheit und Usability gefragt. Komplexe Vorgaben an die Passwortsicherheit sowie nachgelagerte Human Interaction Proof-Verfahren wie Captchas erhöhen zwar die Sicherheit von Portalen, sorgen bei einer zu aggressiven Konfiguration allerdings für Frust bei den Nutzern.
Außerdem stellen Captchas ebenfalls keine unüberwindbare Hürde für Angreifer dar. Längst haben sich spezialisierte Dienstanbieter im Internet etabliert, die mit einer Armee von Billiglöhnern die Captcha-Aufforderungen zu Spottpreisen lösen – selbst API-Anbindungen zu diesen fragwürdigen Services sind erhältlich. Damit genügt eine simple Erweiterung der bestehenden Angriffs-Tools, um Captchas zu umgehen.
Eine weitere und weitaus effektivere Möglichkeit der Bot-Bekämpfung stellt die systematische Reglementierung automatischer Anfragen dar. Hierbei werden bösartige Bots mittels spezieller Software eindeutig identifiziert und blockiert, während gutartige Anfragen – etwa von Suchmaschinen – weiterhin toleriert sind. Der Einsatz von Bot Management bietet zudem den Vorteil, dass sich die automatischen Zugriffe auf Webseiten granular steuern lassen. Beispielsweise bietet es sich an, gutartige Bots nur zu Traffic-armen Zeiten auf der Website zu akzeptieren. Auf diese Weise bleiben wertvolle Server-Ressourcen für Kunden frei. Da heutzutage der Traffic auf Webseiten rund zur Hälfte aus Bot-Anfragen besteht, steckt in der Verwaltung dieser Datenströme enormes Potenzial.
Myra Security bietet mit seiner Security as a Service-Plattform und der darin enthaltenen Web Application Security eine vorgelagerte Schutzinstanz, die Webanwendungen vollumfänglich vor Credential Stuffing bewahrt. Dank passivem Fingerprinting erkennt Myra eingehenden Bot-Traffic zuverlässig und eindeutig – unabhängig von IPs, ASN oder UserAgent. Die hochperformante Myra-Technologie überwacht, analysiert und filtert schädlichen Traffic, noch bevor virtuelle Angriffe einen realen Schaden anrichten.
Erfahren Sie hier, wie das Myra Bot Management Ihr Business schütztSecurity Insights
27 Oktober 2021
Events
21 November 2019
Security Insights
03 Juni 2022