Laut einer aktuellen Studie haben sich die Fälle von gestohlenen Zugangsdaten in den letzten vier Jahren verdoppelt. Anschließend werden die Daten für Angriffe genutzt, die typischerweise in fünf Phasen ablaufen. Diese sollten Unternehmen kennen, um sich effektiv zu schützen.
Ob Spotify, Nintendo oder Facebook: Fast jeder größere und kleinere Online-Dienst ist schon einmal Opfer eines Diebstahls von Zugangsdaten geworden. Dabei brechen Cyberkriminelle in die Kunden-Datenbank des Anbieters ein und ziehen die entsprechenden E-Mail-Adressen, Kenn- und Passwörter ab.
Diese Daten sind Gold wert. Da viele Nutzer die gleichen Anmeldedaten für mehrere Online-Services nutzen, erhalten die Hacker Zugang zu den Konten auf allen entsprechenden Diensten. Bei der Angriffsmethode des Credential Stuffing werden daher große Mengen an kompromittierten Paaren aus Benutzername oder E-Mail-Adresse und Passwort bei zahlreichen Online-Anbietern ausprobiert. Laut FBI machte diese Bedrohung zwischen 2017 und 2020 schon mit 41 Prozent den größten Anteil an Sicherheitsvorfällen im US-Finanzsektor aus.
Gefahr steigt
Und die Gefahr wird immer größer. So hat sich die Zahl der Diebstähle von persönlichen Anmeldedaten bei Online-Anbietern von 2016 bis 2020 mehr als verdoppelt – von 52 auf 117 Fälle. Das zeigt der Credential Stuffing Report 2021 von F5. Die umfangreichste Studie ihrer Art verzeichnete in diesem Zeitraum zwar einen Rückgang der absoluten Zahl gestohlener Zugangsdaten um 46 Prozent. Doch sie lag auch im vergangenen Jahr immer noch bei stolzen 1,86 Milliarden gestohlenen Anmeldedaten. Entsprechend sank die durchschnittliche Datenmenge pro Diebstahl von 63 Millionen Datensätzen im Jahr 2016 auf 17 Millionen im vergangenen Jahr.
Doch im Gegensatz zu vielen anderen Angriffsmethoden, bei denen die ausgenutzten Sicherheitslücken irgendwann geschlossen werden, lassen sich gestohlene Zugangsdaten nur schwer wieder einfangen. Denn viele Nutzer wissen gar nicht, dass ihre Daten gestohlen wurden und ändern daher nicht ihre Passwörter. Im Gegenteil: Sie melden sich mit dem gleichen Passwort sogar noch bei weiteren Diensten zusätzlich an.
Gleichzeitig setzen nur wenige Unternehmen Sicherheitslösungen ein, die solche Credential-Stuffing Angriffe erkennen. Daher ist es nicht überraschend, dass es in den vergangenen vier Jahren einen Führungswechsel bei der am häufigsten verwendeten Angriffsart gab. Waren 2016 noch HTTP-Attacken der Spitzenreiter, ist es nun Credential Stuffing. Daher müssen die Online-Anbieter nicht nur ihre Kunden-Datenbanken besser vor Diebstahl absichern, sondern auch bei jeder Anmeldung überprüfen, ob der Zugriff auch vom legitimen Nutzer erfolgt. Und dieser sollte einmalige, komplexe Passwörter pro Dienst wählen.
Unzureichender Schutz der Kundendaten
Doch schon beim ersten Punkt gibt es erhebliche Mängel. Gemäß der Studie bleibt die unzureichend abgesicherte Passwort-Speicherung ein großes Problem. So waren in den letzten drei Jahren 42,6 Prozent der gestohlenen Passwörter im Klartext gespeichert. Dies ist der größte Anteil, obwohl nur 13,3 Prozent der Diebstähle Klartext-Daten erbeuteten.
Danach folgten Zugangsdaten mit einem nicht sauber definierten Passwort-Hash-Algorithmus SHA-1 (20%). An dritter Stelle lag der bcrypt-Algorithmus (16,7%). Der umstrittene Hash-Algorithmus MD5 führte überraschenderweise nur zu einem kleinen Teil der gestohlenen Anmeldedaten (0,4%).
Aus der Perspektive der von Diebstählen betroffenen Datenbanken ergibt sich jedoch ein völlig anderes Bild. Die größte Zahl von Vorfällen nach verwendetem Hash-Algorithmus wurde von 2018 bis 2020 insgesamt bei bcrypt knapp vor MD5 festgestellt. Erst an dritter Stelle folgt die Klartextspeicherung, knapp vor Salted MD5 und SHA-1. Verschiedene SHA-2-Algorithmen mit Schlüssellängen von 256 bis 512 Bit machten gemeinsam über 6 Prozent aus. Insgesamt rund 4 Prozent der betroffenen Unternehmen verwendeten DES oder PBKDF2 oder gaben keinen Hash-Algorithmus an.
Diebstahl schneller erkennen und bekannt geben
Gemäß dem Credential Stuffing Report 2018 dauerte es damals im Durchschnitt 15 Monate, bis ein Diebstahl von Zugangsdaten öffentlich bekannt wurde. Derzeit liegt die Dauer der Entdeckung von Vorfällen im Durchschnitt bei nur noch elf Monaten. Allerdings wird dieses Resultat durch einige Vorfälle verzerrt, bei denen der Zeitraum drei Jahre oder länger war. So liegt der Mittelwert bei etwa vier Monaten. Allerdings werden gestohlene Daten oft zuerst im Dark Web entdeckt, bevor Unternehmen den Vorfall bekannt geben.
Dabei ist die Zeitspanne zwischen dem Diebstahl der Zugangsdaten und deren Veröffentlichung im Dark Web interessant. Im Rahmen der Studie wurde eine historische Analyse mit einer Stichprobe von fast 9 Milliarden Anmeldedaten aus Tausenden Datenschutzverletzungen durchgeführt, die Anfang Januar 2019 in Dark-Web-Foren auftauchten. Die Studie verglich diese Anmeldedaten mit den Benutzernamen, die bei Credential-Stuffing-Angriffen sechs Monate vor und nach dem Datum der öffentlichen Bekanntgabe zum Einsatz kamen. Dabei ermittelte sie fünf Phasen:
- Still und heimlich: Kompromittierte Zugangsdaten werden bis einen Monat vor einer öffentlichen Bekanntgabe recht vorsichtig genutzt, um keine Aufmerksamkeit zu erregen. Jede Zugangsberechtigung kommt dabei etwa 15 bis 20 Mal täglich zum Einsatz.
- Starker Anstieg: In den 30 Tagen vor Veröffentlichung zirkulieren die Anmeldedaten im Dark Web. Immer mehr Cyberkriminelle nutzen sie, wodurch die Anzahl der täglichen Angriffe permanent steigt.
- Der Höhepunkt: Nach Veröffentlichung der Zugangsdaten probieren sie „Skript-Kiddies“ und andere Amateure an den großen Websites aus. Dabei wird alleine in der ersten Woche jedes Konto im Schnitt mehr als 130 Mal pro Tag angegriffen.
- Der Rückgang: Nach dem ersten Monat stellt sich ein neues Niveau von etwa 28 Angriffen pro Tag und Nutzername ein. Dieses liegt höher als bei den 15 Angriffen während der ersten Phase, da weiterhin unerfahrene Angreifer die Daten nutzen.
- Wiederverwendung: Nach der ersten größeren Welle verändern erfahrene Hacker die Anmeldedaten leicht und setzen sie für weitere Angriffe ein.
Spätestens bei der Wiederverwendung nutzen die Angreifer zunehmend „Fuzzing“-Techniken, um den Erfolg bei der Ausnutzung der gestohlenen Anmeldedaten zu optimieren. Hier werden leicht modifizierte Eingaben verwendet. Laut der Studie finden die meisten Fuzzing-Angriffe bereits vor Veröffentlichung der kompromittierten Anmeldedaten statt. Demnach ist diese Praxis eher unter erfahrenen Hackern verbreitet.
Wichtige Schutzmaßnahmen
Einige Online-Anbieter glauben weiterhin, dass sie noch nie erfolgreich angegriffen wurden. Die Wahrheit ist jedoch eher, dass sie es nur noch nicht wissen. Denn Credential Stuffing ist heute die Angriffsart Nummer eins und wird so lange eine Gefahr darstellen, wie sich Nutzer bei Online-Konten über Kennwort und Passwort anmelden müssen. Die beste Methode, um Credential Stuffing zu verhindern, ist der Einsatz einer Sicherheitslösung, die automatisierte Angriffe dieser Art erkennt. Zusätzlich gibt es 10 Best Practices, um die Gefahr zu minimieren:
- Eindeutige Passwörter fördern: Nutzer sollten ermutigt werden, ein einzigartiges Passwort zu wählen, das sie noch nie verwendet haben.
- Komplexe Passwörter erzwingen: Nutzer sollten aufgefordert werden, ein Passwort mit großen und kleinen Buchstaben, Ziffern und Sonderzeichen zu wählen.
- Die Verwendung bekannter Anmeldedaten verhindern: Alle Unternehmen sollten routinemäßig die Anmeldedaten mit einer Liste bereits kompromittierter Zugangsdaten abgleichen.
- Rückmeldungen reduzieren: Wenn ein Nutzer ungültige Zugangsdaten eingibt, sollte nicht angezeigt werden, welches Element falsch war. Stattdessen reicht: „Anmeldung fehlgeschlagen“.
- Auf tageszeitliche Muster achten: Bei vielen Anmeldeversuchen zu ungewöhnlichen Uhrzeiten ist ein Credential-Stuffing-Angriff wahrscheinlich.
- Wichtige Metriken überwachen: Auch zu normalen Geschäftszeiten können Angriffe stattfinden. Diese lassen sich durch die Überwachung der Login-Erfolgsrate und der Anzahl der Passwort-Rücksetzungsanfragen ermitteln.
- Die IT-Sicherheit mit Marketing verbinden: Ein ungewöhnlicher Kundenansturm kann auch Folge einer gezielten Marketing-Aktion sein. Davon sollte die IT-Abteilung wissen, um keine legitimen Interessenten auszusperren und zu verärgern.
- Kundendaten sparsam abfragen und nutzen: Datenbasiertes Marketing ist in, aber jede personenbezogene Information stellt ein zusätzliches Risiko für den Kunden dar. Daher sollten nur notwendige Daten gesammelt und in sicheren Systemen gespeichert werden.
- Den Kontext berücksichtigen: Wenn ein Nutzer einen ungewöhnlich großen Kauf tätigt und gleichzeitig alle Guthaben einlöst, wurde das Konto möglicherweise kompromittiert.
- Mit Strafverfolgungsbehörden zusammenarbeiten: Die Grenzen zwischen staatlich und privat organisierter Kriminalität verschwimmen zunehmend. Daher ist es ratsam, mit den Strafverfolgungsbehörden zusammenzuarbeiten.
Autor: Stephan Schulz, Security Specialist bei F5