Die Anatomie eines Credential-Stuffing-Angriffs

Während Datenschutzverletzungen mit einem Raubüberfall verglichen werden kann, was man am besten den Experten überlasst, ist Credential Stuffing mit einem Sport für armen Leute vergleichbar. Es ist aber ein ziemlich beliebter «Sport».

In einem Bericht aus dem Jahr 2020 erkannte RSA, dass Credential Stuffing an enormer Dynamik gewinnt. Dies ist kein neues Phänomen, doch in letzter Zeit werden immer wieder neue Fälle bekannt, wo diese genutzt wurde. Was nützt ein Datenleck, wenn die Daten dann nicht benutzt werden? Credential Stuffing verwendet die gestohlenen Zugangsdaten, um zu versuchen, auf andere Konten zuzugreifen – vorausgesetzt, es wird dasselbe Passwort verwendet.

Credential Stuffing Attacks (CSAs) werden als „die beliebteste Methode zum Abrufen von kompromittierten Anmeldeinformationen für die Kontoübernahme“ bezeichnet und sind allgegenwärtig. Dies sollte jeden dazu auffordern zu handeln oder damit zu rechnen, ein Opfer zu werden. Auf CSA spezialisierte Hackergruppen kommen in allen Variationen und haben ihre Spezialitäten. Einige übernehmen Konten, andere stehlen Daten, aber ihre Angriffe sind immer sachbezogen. Hier einige Grundlagen des immer beliebter werdenden Credential-Stuffing-Angriffs und wie man diesen vermeiden kann.

Was ist ein Credential-Stuffing-Angriff?

Die OWASP beschreibt Credential Stuffing als “das automatisierte Einfügen von gestohlenen Benutzernamen- und Passwort-Paaren (Anmeldeinformationen) in Website-Anmeldeformulare, um sich betrügerisch Zugang zu Benutzerkonten zu verschaffen”. Mit anderen Worten, Listen mit gestohlenen Logins zu automatisieren und sich Zugang zu verschaffen.

Wie unterscheidet sich Credential Stuffing von einem Brute-Force-Angriff?

CSA ist ein Angriff auf der Schwierigkeitsstufe «Einfach», wenn dies mit einem Spiel verglichen würde. Ein richtiger Brute-Force-Angriff durchläuft die ganze harte Arbeit des Erratens von Benutzernamen und Passwörtern von Grund auf (algorithmisches „Brute-Forcing“ der Logins), während Credential Stuffing eine Liste von bequem gestohlenen und funktionierenden Zugänge enthält, welche bereit sind an einer ahnungslosen API oder einem Konto-Gateway eingesetzt zu werden. Diese Liste wird häufig durch eine Datenschutzverletzung gestohlen, um Konten zu finden, die auf mehreren Websites verwendet werden.

Warum sind Credit-Stuffing-Angriffe so beliebt?

Die Ressourcen sind fast kostenlos (aufgrund von Dark-Web-Downloads und Verfügbarkeit), es erfordert nicht viel technisches Geschick und sie haben eine Erfolgsquote von 0,5 bis 3 %, was nicht schlecht ist in dieser Branche. Und die offensichtlichen Abwehrmassnahmen wie bspw. die Geschwindigkeitsbegrenzung funktionieren nicht gegen ausgefeiltere Formen von Credential-Stuffing-Angriffen, die auf APIs abzielen. Leicht zugängliche Zugangsdaten sind ein weiterer wichtiger Faktor, der zur Zunahme dieser automatisierten Angriffe beiträgt. Vor einiger Zeit wurden solche Listen als die «heisse Ware» eines Hackers eifersüchtig gehortet oder im Darknet zu respektabel Preisen verkauft. Es scheint jedoch, dass viel Respekt vor dem Handwerk verloren gegangen ist, immer wieder werden solche Listen geteilt, komplett kostenlos.

Was ist die Anatomie eines Credential Stuffing-Angriffs?

Der Angriff wird in mehrere Phasen unterteilt, hier die grundlegenden Bestandteile eines CSA:

Combolisten

Angreifer sammeln ihre Combolisten – diese geleakten Benutzernamen- und Passwortdatenbanken, die im Internet lauern. Sie hoffen, dass viele dieser Passwörter wiederverwendet wurden, und leider ist es viel zu häufig auch so, das ist auch die Quelle des Erfolgs für CSAs.

Credential Stuffing-Tools

Böse Akteure können die Wahrscheinlichkeit einer Übereinstimmung erhöhen, indem sie öffentlich verfügbare Tools herunterladen, die ihnen mitteilen, welche Passwörter zu welchen Websites gehören. Throttling kann dazu beitragen, dass Angriffe unter dem Radar verschwinden, indem die Häufigkeit begrenzt wird, mit der ein Botnet einen Authentifizierungsversuch senden kann. Wenn Sie es zu oft versuchen, wird das Konto gesperrt – oder dieses Verhalten löst eine Alarmierung beim Webseitenbetreiber aus.

Die Beute

Sobald ein Versuch erfolgreich war, wird der Kriminelle den authentifizierten Zugang verwenden, um Daten abzugreifen, Berechtigungen zu verändern oder zu nutzen, um sich bspw. als legitimes Unternehmen auszugeben und Geld zu überweisen oder der Angreifer verkauft diese Kontodaten zu hohen Preisen weiter, da er nun weiss, dass diese legitim/funktionstüchtig sind.

Ständige Verbesserung

Wie in anderen Posts von mir schon angesprochen, wird dieser Sektor immer professioneller. Um keine Arbeitszeit zu verschwenden, haben CSA-Angreifer Algorithmen, mit welchen sie die Einträge in diesen Listen markieren, welche Anmeldungen fehlgeschlagen sind, damit sie diese in einem nächsten Angriff nicht mehr nutzen. So gestalten sich die Angriffe mit der Zeit immer effizienter.

Wie kann ich einen Credential-Stuffing-Angriff verhindern?

Credential-Stuffing-Angriffe basieren auf der Hoffnung, dass Benutzer ihre Passwörter mehrmals verwenden – was laut Google 65 % der Benutzer tun.

Die Lösung ist also recht einfach, für jedes Konto ein anderes Passwort verwenden.

Ist dann das schon alles, nein, es ist ein erster sinnvoller Schritt, aber natürlich lässt sich noch mehr machen, um die eigene Sicherheit zu erhöhen. Weitere Beispiele, welche die Sicherheit erhöhen; die Passwörter selber, Multi-Faktor-Authentifizierung und ein bewusster Umgang mit Login Informationen.

Meistens sind die Benutzer selbst schuld, denn die Strategie hinter CSAs beruht zum grössten Teil auf der Fahrlässigkeit das gleiche Passwort an vielen Stellen zu nutzen. Es wird hier mal nicht der Mensch selber, mittels Social Engineering angegriffen, sondern rein darauf spekuliert, dass der Mensch faul ist und das gleiche Passwort mehrmals nutzt.

Quelle: Salt Security

Wie sehen Sie das, haben Sie im Unternehmen bereits dafür gesorgt, dass Ihre Mitarbeiter mit Weitsicht in der Informationssicherheit agieren?

Dies ist eines von vielen Themen, welches wir an unseren Awareness Schulungen behandeln. Glauben Sie uns, Informationssicherheit muss nicht immer teuer und komplex sein, sie beginnt beim Menschen und der ist verhältnismässig günstig auf Gefahren zu schulen.