plusserver-Blog-Credential Stuffing
Blog

|

22.08.2022

Was ist Credential Stuffing?

Daniel Graßer
Credential Stuffing bedeutet die Übernahme von Benutzerkonten mit Hilfe erbeuteter Passwörter und Bots.
Hacker greifen häufig die Datenbanken großer Online-Services an, um dort die Login-Daten unzähliger Nutzer zu stehlen. Das Problem: Viele Anwender nutzen für die Anmeldung bei verschiedenen Online-Diensten dieselben Anmeldeinformationen. Damit öffnen sie die Tür für Credential Stuffing, die Übernahme weiterer Benutzerkonten mit Hilfe der erbeuteten Passwörter und des Einsatzes von Bots.

Credential Stuffing: So funktioniert die Methode

Netflix, Facebook, Adobe oder Microsoft – all diese bekannten Firmen waren schon Opfer des Diebstahls von Anmeldedaten ihrer Nutzer. Die Datenbanken großer Online-Services wie E-Mail-Dienste, Social Media, Anwendersoftware, Medienabos oder Streamingdienste stehen besonders oft im Visier von Hackern. Diese zielen mit ihren Angriffen auf die Login-Daten der Nutzer, sprich in den meisten Fällen Benutzernamen und Passwörter.

Die gestohlenen Anmeldeinformationen bieten die Cyberkriminellen dann in umfangreichen Adresslisten im Darknet zum Verkauf an. Diese so genannten Combolists enthalten Millionen von Zugangsdaten und werden oft zu Schnäppchenpreisen angeboten. In einer Art Combolists-as-a-Service können Angreifer ein Abonnement für rund 50 US-Dollar abschließen, das ihnen dann einen Monat lang Zugriff auf Zugangsdaten gewährt.

Welchen Nutzen bringt eine derartige Liste? An sich noch nicht viel. Denn entdeckt ein Service-Provider den Diebstahl der Anmeldedaten, informiert er seine Kunden und bittet sie, ihr Passwort zu ändern. Damit können die Hacker nicht mehr auf das Benutzerkonto zugreifen. Das Problem: Viele Anwender nutzen dieselbe Kombination aus Benutzername (meist die E-Mail-Adresse) und Passwort für mehrere oder sogar alle ihre Online-Services. Das nutzen Angreifer beim Credential Stuffing aus.

Was ist Credential Stuffing?

Beim Credential Stuffing zielen Cyberkriminelle darauf ab, mit gestohlenen Anmeldeinformationen (engl. Credentials) andere Benutzerkonten zu übernehmen und weitere wertvolle Daten zu erbeuten, etwa die Kreditkarten-Nummer, Adresse oder wichtige Dokumente des Anwenders.
Ein Beispiel: Die Hacker haben die Zugangsdaten eines Nutzers für den E-Mail-Dienst gestohlen. Beim Credential Stuffing starten sie mit diesen Anmeldeinformation nun automatisierte Anfragen auf Web-Shops, Online-Bankkonten oder Payment-Dienstleister. Statistischen Schätzungen zufolge liegt die Erfolgsquote für Credential Stuffing bei 0,1 Prozent. Das heißt: Ein Angreifer muss rund 1.000 verschiedene Login-Daten austesten, um in ein Benutzerkonto einzudringen.

Automatisierte Anmeldeversuche mit Bots

Cyberkriminelle setzen beim Credential Stuffing in der Regel Bots ein, kleine Programme, die automatisiert sich wiederholende Aufgaben abarbeiten. Konkret testen die Bots Millionen von Nutzer-/Passwort-Kombinationen und starten damit vollautomatisch Login-Versuche bei diversen Online-Services. Dabei verändern sie permanent die Absender-IP-Adresse, damit der Zielserver die Anmeldeversuche nicht blockiert. Schließlich würde ein Server normalerweise eine IP-Adresse nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche sperren.

Wer ist von Credential Stuffing betroffen?

Von Credential Stuffing sind potenziell alle Firmen oder Online-Services mit Login-Funktion betroffen. Vor allem aber Portale mit vielen Interaktionen und Transaktionen wie Banken, Web-Shops, Payment-Dienstleister oder auch Medienangebote. Der Anbieter für Anwendungsdienste und -sicherheit F5 gibt in seinem Report „Credential Stuffing 2022“ an, dass „E-Commerce, Flugticketverkauf, Geldtransfers und Banken zwischen 2020 und 2024 insgesamt mehr als 200 Milliarden Dollar durch Online-Zahlungsbetrug verlieren“ werden.

Mögliche Schäden durch Credential Stuffing

Ein Angriff per Credential Stuffing kann zu beträchtlichen Schäden für betroffene Unternehmen führen.

  • Imageschäden: Wenn Angreifer die Anmeldeinformationen und Nutzerdaten beim Online-Service missbrauchen oder stehlen, wirkt sich das negativ auf die Reputation und die Kundenbeziehung aus. Der erneute Vertrauensaufbau kann Jahre dauern und enorme Investitionen erfordern.
  • Finanzielle Schäden: Entdecken die Kunden den Missbrauch ihrer Zugangsdaten oder entstehen ihnen dadurch Schäden, fallen für Firmen wie Online-Händler zusätzliche Kosten an. So führen beispielsweise vermehrte Rückerstattungen zu einer großen finanziellen Belastung.
  • Manipulation von Daten: Angreifer können kompromittierte Anmeldeinformationen oder Daten der Nutzer beliebig verändern und manipulieren oder diese für weiterführende Attacken einsetzen. Je länger der Missbrauch der Daten nicht entdeckt wird, desto größer der potenzielle Schaden.

So schützen sich Firmen gegen Credential Stuffing

Der einfachste Schutz gegen Credential Stuffing ist der Einsatz unterschiedlicher Benutzernamen oder/und Passwörter für die verschiedenen Benutzerkonten. Ein Unternehmen kann seinen Kunden daher empfehlen, einzigartige Passwörter zu verwenden und diese häufig zu wechseln. Ergänzend kommen Funktionen wie Zwei-Faktor-Authentifizierung oder Verfahren wie Captchas zum Einsatz. Bei diesen prüft der Seitenbetreiber, ob ein Mensch oder ein Computer ein Programm bedient. Hier sollten Betreiber aber darauf achten, die Passwort-Richtlinien und Sicherheitsvorgaben nicht allzu komplex zu gestalten. Sonst könnte die Usability darunter leiden und sich Frust bei den Nutzern aufbauen.

Bot-Manager: effizienter Schutz vor Credential Stuffing

Den effektivsten Schutz gegen Credential-Stuffing-Angriffe bieten Tools für das Bot-Management wie der Cloud-basierte Bot Manager von Akamai. Dieser kann beispielsweise direkt über den Cloud Provider eines Unternehmens bezogen werden. Diese Tools erkennen und blockieren unerwünschte Bots.

Hintergrund: Bots machen teilweise bis zu 40 Prozent oder mehr des Webverkehrs eines Unternehmens aus. Die Programme erfüllen die unterschiedlichsten Aufgaben. Gutartige Bots wie die Suchcrawler von Google, Bing und Co. scannen Webseiten und indexieren deren Inhalte. So sind diese später bei Suchanfragen leichter zu finden. Preisvergleichsportale checken mit Hilfe von Bots die Seiten von Online-Shops, um die Preise für einen bestimmten Artikel zu ermitteln. Leider gibt es aber auch Bots mit bösartigen Absichten: Sie sind im Einsatz bei Credential Stuffing, stehlen geistiges Eigentum oder agieren als Teil von DDoS-Attacken. Diese überfluten Webseiten wie Online-Shops mit Anfragen und zwingen sie so in die Knie.

So funktioniert der Akamai Bot Manager

Der Akamai Bot Manager bietet für die Identifikation des Bot-Datenverkehrs ein umfangreiches Verzeichnis mit bekannten Bot-Signaturen und legitimen Webservices. Er ermittelt Bot-Aktivitäten anhand eines mehrstufigen Prozesses mit signaturbasierter und Verhaltenserkennung. Er kann aber auch statistische Anomalien feststellen. Um gute und böse Bots zu unterscheiden, kommen auch Algorithmen für maschinelles Lernen zum Einsatz. Darüber hinaus können Firmen individuelle Bot-Signaturen und -Kategorien definieren. Mit diesen können sie interne Bots oder Programme von Partnern auf ihrer Website besser erkennen. Dashboards liefern dabei einen umfassenden Überblick über den Bot-Datentraffic.

Über den Autor

Daniel Graßer verantwortet seit Juni 2022 als Senior Director of Security Services das Security Portfolio & Services sowie die dazugehörige Strategie bei plusserver. Das Leistungsportfolio umfasst neben hochstandardisierten Cloud-Produkten u. a. Themen wie Security as a Service, Anti-Ransomware-Strategien bis hin zum Betrieb von SOC-Leistungen.

Weiterführende Inhalte

Blog

Security Operations Center (SOC): Der Königsweg der IT-Security?

Ein Security Operations Center (SOC) gehört zu den zentralen Bausteinen eines durchdachten IT-Security-Prozesses.
Produkte

Cloud Security

Erreichen Sie Ihr Digitalisierungsziel mit der passenden Security-Strategie.
Produkt

EDR as a Service

Mit EDR as a Service überwachen Sie Ihre Endgeräte, Clouds und Server und stoppen Cybercrime.