Credential Stuffing: So funktioniert die Methode
Netflix, Facebook, Adobe oder Microsoft – all diese bekannten Firmen waren schon Opfer des Diebstahls von Anmeldedaten ihrer Nutzer. Die Datenbanken großer Online-Services wie E-Mail-Dienste, Social Media, Anwendersoftware, Medienabos oder Streamingdienste stehen besonders oft im Visier von Hackern. Diese zielen mit ihren Angriffen auf die Login-Daten der Nutzer, sprich in den meisten Fällen Benutzernamen und Passwörter.
Die gestohlenen Anmeldeinformationen bieten die Cyberkriminellen dann in umfangreichen Adresslisten im Darknet zum Verkauf an. Diese so genannten Combolists enthalten Millionen von Zugangsdaten und werden oft zu Schnäppchenpreisen angeboten. In einer Art Combolists-as-a-Service können Angreifer ein Abonnement für rund 50 US-Dollar abschließen, das ihnen dann einen Monat lang Zugriff auf Zugangsdaten gewährt.
Welchen Nutzen bringt eine derartige Liste? An sich noch nicht viel. Denn entdeckt ein Service-Provider den Diebstahl der Anmeldedaten, informiert er seine Kunden und bittet sie, ihr Passwort zu ändern. Damit können die Hacker nicht mehr auf das Benutzerkonto zugreifen. Das Problem: Viele Anwender nutzen dieselbe Kombination aus Benutzername (meist die E-Mail-Adresse) und Passwort für mehrere oder sogar alle ihre Online-Services. Das nutzen Angreifer beim Credential Stuffing aus.
Was ist Credential Stuffing?
Automatisierte Anmeldeversuche mit Bots
Wer ist von Credential Stuffing betroffen?
Von Credential Stuffing sind potenziell alle Firmen oder Online-Services mit Login-Funktion betroffen. Vor allem aber Portale mit vielen Interaktionen und Transaktionen wie Banken, Web-Shops, Payment-Dienstleister oder auch Medienangebote. Der Anbieter für Anwendungsdienste und -sicherheit F5 gibt in seinem Report „Credential Stuffing 2022“ an, dass „E-Commerce, Flugticketverkauf, Geldtransfers und Banken zwischen 2020 und 2024 insgesamt mehr als 200 Milliarden Dollar durch Online-Zahlungsbetrug verlieren“ werden.
Mögliche Schäden durch Credential Stuffing
Ein Angriff per Credential Stuffing kann zu beträchtlichen Schäden für betroffene Unternehmen führen.
- Imageschäden: Wenn Angreifer die Anmeldeinformationen und Nutzerdaten beim Online-Service missbrauchen oder stehlen, wirkt sich das negativ auf die Reputation und die Kundenbeziehung aus. Der erneute Vertrauensaufbau kann Jahre dauern und enorme Investitionen erfordern.
- Finanzielle Schäden: Entdecken die Kunden den Missbrauch ihrer Zugangsdaten oder entstehen ihnen dadurch Schäden, fallen für Firmen wie Online-Händler zusätzliche Kosten an. So führen beispielsweise vermehrte Rückerstattungen zu einer großen finanziellen Belastung.
- Manipulation von Daten: Angreifer können kompromittierte Anmeldeinformationen oder Daten der Nutzer beliebig verändern und manipulieren oder diese für weiterführende Attacken einsetzen. Je länger der Missbrauch der Daten nicht entdeckt wird, desto größer der potenzielle Schaden.
So schützen sich Firmen gegen Credential Stuffing
Bot-Manager: effizienter Schutz vor Credential Stuffing
Den effektivsten Schutz gegen Credential-Stuffing-Angriffe bieten Tools für das Bot-Management wie der Cloud-basierte Bot Manager von Akamai. Dieser kann beispielsweise direkt über den Cloud Provider eines Unternehmens bezogen werden. Diese Tools erkennen und blockieren unerwünschte Bots.
Hintergrund: Bots machen teilweise bis zu 40 Prozent oder mehr des Webverkehrs eines Unternehmens aus. Die Programme erfüllen die unterschiedlichsten Aufgaben. Gutartige Bots wie die Suchcrawler von Google, Bing und Co. scannen Webseiten und indexieren deren Inhalte. So sind diese später bei Suchanfragen leichter zu finden. Preisvergleichsportale checken mit Hilfe von Bots die Seiten von Online-Shops, um die Preise für einen bestimmten Artikel zu ermitteln. Leider gibt es aber auch Bots mit bösartigen Absichten: Sie sind im Einsatz bei Credential Stuffing, stehlen geistiges Eigentum oder agieren als Teil von DDoS-Attacken. Diese überfluten Webseiten wie Online-Shops mit Anfragen und zwingen sie so in die Knie.