Account Takeover: wenn Identitätsdiebstahl richtig teuer wird

Für Cyberkriminelle sind Account-Takeover-Attacken (ATO) eine sehr effektive Methode, um Online-Unternehmen mit Kundenkontakt anzugreifen. Diese Angriffsformen sind skalierbar und versprechen den Kriminellen einen hohen finanziellen Gewinn. Eine aktuelle Studie des Researchunternehmens Aberdeen im Auftrag der auf sichere Login-Lösungen spezialisierten Nevis Security AG zeigt, dass die Folgen erfolgreicher Kontoübernahmen erschreckende Ausmaße angenommen haben. Die finanziellen Schäden gehen weit über die reinen Geschäftskosten hinaus und werden so zu einem existenziellen Risiko für betroffene Unternehmen.

Hauptursachen für erfolgreiche Kontoübernahmen sind, dass Menschen heute unzählige Onlinekonten benutzen und die Art, wie sie die dafür erforderlichen Credentials verwalten. So besitzt der durchschnittliche Nutzer bis zu 130 digitale Benutzerkonten, für die jeweils ein Passwort erforderlich ist. Bei dieser Anzahl ist es nicht verwunderlich, dass die User durchschnittlich zwölf Tage ihres Lebens damit verbringen, nach den richtigen Benutzernamen und Passwörtern zu suchen.

„Die daraus resultierende Frustration der Nutzer führt zu weiteren Sicherheitsproblemen, denn sie wollen es sich so einfach wie möglich machen“, erklärt Stephan Schweizer, CEO von Nevis: „Die beliebtesten Passwörter sind nach wie vor „abc123“, „password“ und die Zahlenkombination „123456“. Zudem haben die meisten Passwörter weniger als die empfohlene Mindestlänge von zehn Zeichen und mehr als die Hälfte der Nutzer verwendet das gleiche Passwort für mehrere Accounts.“

Cyberkriminelle profitieren von diesem laxen Umgang mit Passwörtern. Er macht es ihnen leichter, in digitale Kundenkonten einzudringen und diese zu übernehmen. Nevis hat die fünf erfolgreichsten Angriffsmethoden identifiziert, die im schlimmsten Fall zu einem Account Takeover führen können:

1. Phishing und Social Engineering: Mit über 17 Prozent ist dies die vierthäufigste Angriffsart. Die Hacker nutzen dabei das Vertrauen der User in die vermeintlichen Absender aus. Dabei setzen sie längst nicht mehr nur auf E-Mails und SMS, um an die Kontodaten zu gelangen, sondern manipulieren die Nutzer zunehmend auch über Telefonanrufe.
2. Brute-Force-Angriffe: Mit über 18 Prozent Häufigkeit liegt diese Angriffsmethode auf Platz 3. Die Cyberkriminellen verwenden dafür Tools, mit denen sie Zugangsdaten automatisiert ausprobieren können. Diese Angriffsart ist erfolgversprechend, weil oft nicht so komplizierte und variable Passwörter zum Einsatz kommen, wie es Sicherheitsexperten empfehlen.
3. Keylogger-Angriffe: Bei dieser Methode verwenden Kriminelle Hard- oder Software, um Tastatureingaben nachzuvollziehen. Auf diese Weise können Buchstaben- und Zahlenkombinationen aufgezeichnet und Login-Daten rekonstruiert werden.
4. Man-In-The-Middle-Angriff: Bei dieser Art von Attacke schaltet sich ein Mittelsmann zwischen die Übertragung zweier Kommunikationsnetze und kann so die Verschlüsselungen umgehen. Der Angreifer hat dann Zugriff auf verschiedene Daten, zum Beispiel Benutzername und Passwort.
5. Credential Stuffing: Die Cyberkriminellen greifen auf Zugangsdaten zurück, die nach einer Datenpanne öffentlich geworden sind oder im Dark Web gekauft wurden. Via Bots starten sie dann massenhafte Loginversuche bei anderen Online-Diensten. Da Nutzer oft dieselben Zugangsdaten für mehrere Konten verwenden, stehen die Chancen gut, dass es den Angreifern gelingt, einen anderen Account zu übernehmen. Angriffe über Credential Stuffing bleiben oft unentdeckt, da sich bei der Account-Übernahme ein „legitimer“ Kunde einloggt.

Die Folgen einer erfolgreichen Kontoübernahme sind weitreichend: Betrügerische Einkäufe, der Diebstahl von Dienstleistungen oder auch die Registrierung neuer Konten durch kriminelle Nutzer, beispielsweise für Kreditanträge, gehören dazu.

„Um die Risiken beim Login und damit in puncto Account Takeover zu reduzieren, müssen Passwörter als Schwachstellen minimiert werden. Biometrische Verifikationsverfahren tragen nicht nur zu einer sicheren, sondern auch zu einer reibungslosen Kundenerfahrung bei. Statt des ewigen Katz- und Maus-Spiels mit den Cyberkriminellen, ist es wichtig, dass Unternehmen vermehrt auf die passwortlose Authentifizierung setzen“, so Schweizer abschließend.