Angriffsmethode "Credential Stuffing"
Social Media Netzwerke sind Brutstätte für Credential Stuffing-Angriffe
Accounts besser vor Cyberangriffe durch unsichere Logins schützen
Das Thema ist nicht neu: Soziale Netzwerke wie Facebook, Twitter oder auch Berufsnetzwerke wie XING und LinkedIn haben massive Sicherheitsprobleme. Datenklau ist bei nahezu jedem dieser Netzwerke bereits Thema gewesen. Allein in diesem Jahr waren bereits eine halbe Milliarde Facebook-Nutzende, mehr als eine Million Clubhouse-Daten sowie die LinkedIn-Daten von fast allen Nutzenden betroffen. "Allerdings können Nutzende selbst die meist nicht sehr tiefgreifende Sicherheit sozialer Netzwerke weiter kompromittieren, indem diese beispielsweise für sämtliche Dienste dieselben Login-Daten verwenden", warnt IT-Sicherheitsexpertin Patrycja Schrenk.
Die Geschäftsführerin der PSW Group informiert über die Auswirkung: "Das kann fatale Folgen haben, die bis zum Identitätsdiebstahl reichen können. Denn wenn Nutzende dieselben Login-Daten für mehrere Dienste verwenden, reicht es, wenn Cyberkriminelle einmalig an diese Daten gelangen. Sie probieren dann aus, in welche Dienste man sich mit diesen Zugängen noch einloggen kann. Diese Angriffsmethode wird auch Credential Stuffing genannt."
Tatsächlich gehört Credential Stuffing zu den Angriffsmethoden, die im Internet sehr häufig auftreten. Angreifende nutzen dabei Anmeldedaten, die entweder geleakt, gestohlen oder sonst wie in ihre Hände gelangt sind. Mit diesen Login-Daten probieren die Angreifenden Anmeldungen mit Nutzernamen und Passwort bei anderen Online-Diensten aus. "Um dieses Ausprobieren bei anderen Diensten zu erleichtern, werden dafür in aller Regel gerne Bot-Netzwerke eingesetzt. Rotierende Proxys können hunderttausende Login-Informationen über verschiedene Online-Dienste hinweg ansteuern", so Schrenk.
Das Credential Stuffing kann demnach nur bei Nutzenden Erfolg haben, die dieselben Login-Daten, zu Deutsch: Credentials, für verschiedene Dienste verwenden. Nicht zu verwechseln sind Credential Stuffing-Angriffe mit Brute Force-Attacken: Für Brute Force-Angriffe werden unzählige Kombinationen möglicher Login-Daten computergestützt "erraten". Heißt: Es werden solange Login-Daten eingegeben, bis irgendwann zufällig eine Kombination passt. Die Erfolgsaussichten von Brute Force-Attacken verringern sich mit starken Passwörtern, beim Credential Stuffing hingegen ist die Stärke eines Passworts nicht maßgeblich.
"Damit ist der beste Schutz vor Credential Stuffing Angriffen, tatsächlich für jeden Dienst unterschiedliche Login-Daten zu verwenden. Niemals sollte dasselbe Passwort für verschiedene Dienste genutzt werden. Um nicht den Überblick über viele Passwörter zu verlieren, hilft die Nutzung eines sicheren Passwort-Managers", rät Patrycja Schrenk. Für Unternehmen empfiehlt sie zudem den Einsatz von Monitoring-Systemen, die unautorisierte Anmeldeversuche von Botnetzen erkennen können und diese abwehren.
Auch mittels verschiedener Faktoren zur Authentifizierung können Accounts geschützt werden: Immer mehr Dienste bieten mit der Zwei-Faktor-Authentifizierung (2FA) mindestens zwei Faktoren, über die sich Nutzer anmelden können. "Als zweiten Faktor oder auch für den gängigen Login setzen bereits immer mehr Dienste auf biometrische Daten. Der Fingerabdruck- oder Augen-Scan existiert bei Notebooks, Smartphones, Tablets und Rechnern. Da biometrische Daten einmalig sind, sind Fälschungen schwer bis unmöglich. Allerdings sollte Anwender einen sicheren Anbieter zum Speichern ihrer biometrischen Daten nutzen", informiert die Expertin. Darüber hinaus erfreut sich TOTP-based Authenticator zur zusätzlichen Authentifizierung immer größerer Beliebtheit. Der Time-based One-time Passwort (TOTP)-Algorithmus ist das Verfahren, mit dem Session-Kennwörter erstellt werden. Entsprechende Anwendungen sind auch für Mobilgeräte verfügbar, sodass diese Login-Methode überall genutzt werden kann. Dabei wird dem Passwort ein einmaliger Code, das Session-Kennwort, angehängt.
"Jeder Internet-Nutzende sollte es sich außerdem zur Routine machen, Passwörter regelmäßig auf Diebstahl oder Kompromittierung zu checken", gibt Patrycja Schrenk noch einen Tipp. Entweder ist diese Funktion im Passwortmanager enthalten. Alternativ bieten sichere Online-Dienste wie haveibeenpwned.com für E-Mail und Rufnummer oder haveibeenpwned.com/passwords für Passwörter entsprechende Services an. (PSW Group: ra)
eingetragen: 27.10.21
Newsletterlauf: 24.01.22
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.