Kontoübernahmen sind ein Albtraumszenario für jeden. Wenn jemand anderes Zugang zu Ihren Finanzen oder sensiblen Daten erhält, ist das extrem belastend und kann sich auf Ihr gesamtes Leben auswirken. Stellen Sie sich vor, jemand räumt Ihr Bankkonto leer oder nimmt Kreditkarten in Ihrem Namen heraus.
Es liegt in der Verantwortung der Menschen, dafür zu sorgen, dass sie geschützt sind und nicht in die Fänge von Angriffen zum Ausfüllen von Anmeldeinformationen geraten. Um sich vor Angriffen zu schützen, ist es wichtig, sichere und eindeutige Passwörter festzulegen und seine Daten genau zu überwachen.
Was ist "Credential Stuffing"?
Beim Credential Stuffing versuchen Kriminelle mit gestohlenen Benutzernamen und Passwörtern (oft aus früheren Datenschutzverletzungen ) in Online-Konten einzubrechen. Da viele Menschen ihre Passwörter auf verschiedenen Plattformen wiederverwenden, gewährt eine einzige Anmeldung oft Zugang zu mehreren Konten. Das ist genau das, worauf Hacker bei ihren Angriffen zählen.
Die Cyberkriminellen verwenden automatisierte Tools oder "Bots", um Tausende von Anmeldeversuchen auf einmal zu starten und so viele Websites wie möglich anzugreifen.
Diese Bots sind schnell und so programmiert, dass sie echtes menschliches Verhalten imitieren, wodurch sie schwerer zu erkennen und zu blockieren sind. Ein einziges geknacktes Konto kann zu gestohlenem Geld und Identitätsdiebstahl führen.
Wie Angriffe zum Ausfüllen von Anmeldeinformationen funktionieren
Beim Credential Stuffing geht es darum, gestohlene Daten zu beschaffen und mit diesen zu versuchen, auf Konten bei Banken und anderen sicheren Websites zuzugreifen. Hacker finden (oder kaufen) persönliche Daten und automatisieren dann den Prozess der Anmeldeversuche, um zu versuchen, sich bei Konten anzumelden.
Datenerhebung
Alles beginnt mit gestohlenen Daten. Hacker müssen nicht immer in eine Website einbrechen, um an Passwörter zu gelangen, denn im Internet kursieren bereits viele davon. Viele gestohlene Zugangsdaten landen im Dark Web - einem verborgenen Teil des Internets, in dem Cyberkriminelle gehackte Daten kaufen und verkaufen können.
Diese Anmeldedaten stammen oft aus früheren Datenschutzverletzungen und werden in großen Mengen frei gehandelt oder verkauft.
Einige Sammlungen, wie die berüchtigte "Collection #1-5", enthalten Milliarden von Benutzernamen und Kennwörtern. Das ist eine Goldgrube für Cyberkriminelle, und alles, was es braucht, ist ein Treffer auf einer anderen Plattform.
Automatisierte Anmeldeversuche
Sobald die Hacker ihren Vorrat an gestohlenen Anmeldedaten haben, müssen sie diese testen. Hier kommt die Automatisierung ins Spiel.
Die Angreifer starten groß angelegte Anmeldeversuche auf mehreren Websites und prüfen, ob eine der gestohlenen Kombinationen noch funktioniert. Diese Bots sind schlau und einige verwenden Headless-Browser (einen Webbrowser, der ohne grafische Benutzeroberfläche im Hintergrund läuft und programmatisch gesteuert wird - typischerweise für automatisierte Aufgaben) oder wechseln die IP-Adressen, um eine Entdeckung zu vermeiden. Sie fügen sogar Verzögerungen zwischen den Anmeldeversuchen ein, um die Systeme glauben zu machen, es handele sich um einen normalen Benutzer, der sich anmeldet, und umgehen so Verdachtsmomente oder Sicherheitsprotokolle.
Übernahme des Kontos
Wenn die Anmeldedaten übereinstimmen und eine Anmeldung erfolgreich ist, erhalten die Hacker die volle Kontrolle über das Konto, z. B. das E-Mail-Konto.
Von dort aus können sie versuchen, Bankkonten zu leeren, private Daten zu stehlen oder sogar den eigentlichen Besitzer auszusperren. Je nachdem, welche Konten sie übernehmen können, verfolgen die Hacker unterschiedliche Ansätze. Wenn sie nicht in Ihre Bank eindringen und sie leeren, können sie den Zugang zum E-Mail-Konto immer noch für andere Straftaten nutzen, z. B. indem sie Phishing-Nachrichten an andere Konten senden, um auch diese zu hacken. Sie können auch kompromittierte Konten an andere Kriminelle verkaufen. Kurz gesagt, ein einziger erfolgreicher Login kann sich für den Benutzer zu einem Chaos auswachsen.
Credential Stuffing vs. Brute Force vs. Password Spraying
Diese drei Angriffsarten zielen alle auf Kennwörter ab, aber die Methoden sind unterschiedlich.
Credential Stuffing
Credential Stuffing beruht auf echten, zuvor gestohlenen Passwörtern. Die Hacker raten nicht, sie verwenden vorhandene Daten. Der Erfolg des Angriffs hängt davon ab, wie viele Personen ihre Passwörter plattformübergreifend wiederverwendet haben.
Brute-Force-Angriffe
Brute-Force-Verfahren sind eher ein Ratespiel. Der Angreifer probiert immer wieder zufällige Passwortkombinationen aus, bis schließlich eine funktioniert. Diese Methode ist automatisiert, aber langsamer und leichter zu erkennen, da sie in der Regel viele Fehlversuche von derselben IP-Adresse aus beinhaltet.
Passwort sprühen
Passwort-Spraying ist eine Mischung aus Brute-Force und Credential Stuffing. Die Hacker probieren gängige Passwörter wie "password123" oder "123456" an einer großen Anzahl von Konten aus, wie sie sie in Sammlung 1 gefunden haben. Diese Methode ist heimtückisch, weil sie Erkennungssysteme umgeht, die wiederholte Fehlversuche bei einem einzigen Konto melden.
Warum Credential Stuffing eine wachsende Bedrohung darstellt
Das Ausfüllen von Zugangsdaten wird immer schlimmer. Ein Grund dafür ist die riesige Menge an gestohlenen Anmeldedaten, die online verfügbar sind. Sammlungen wie die oben erwähnten bieten Angreifern einen endlosen Vorrat an potenziellen Logins, mit denen sie ihre Systeme testen und füttern können. Solange Menschen Passwörter immer wieder verwenden, bleibt das Risiko hoch.
Ein weiteres Problem ist die Technologie hinter diesen Angriffen. Die Bots werden immer fortschrittlicher.
Mit Tools wie Headless Browsern können sie sich wie echte Benutzer verhalten, und IP-Spoofing hilft ihnen, die Erkennungssysteme zu umgehen. Durch die Integration von Plugins und die Anpassung von Browsern können Angreifer sie so einstellen, dass sie versuchen, das Verhalten von Benutzern nachzuahmen. Einige Bots können sogar CAPTCHA-Aufgaben lösen oder Mausbewegungen imitieren. Um dem entgegenzuwirken, können Websites das Device Fingerprinting einsetzen, das den Browser, den Gerätetyp und die Verhaltensmuster eines Nutzers verfolgt, um verdächtige Anmeldungen zu erkennen und automatisierte Angriffe zu blockieren.
Hinzu kommt, dass die Zahl der Online-Konten explodiert ist. Die meisten von uns haben Dutzende von Logins. Das bedeutet mehr Ziele für Angreifer, die ihr Glück versuchen wollen, und mehr potenzielle Orte, an denen Anmeldedaten gestohlen werden können.
Die Passwortgewohnheiten haben mit den Bedrohungen nicht Schritt gehalten. Viele Menschen verwenden immer noch einfache und leicht zu erratende Passwörter oder das gleiche Passwort für mehrere Websites. Einer Studie zufolge verwenden 84 % der Nutzer riskante Passwörter für Online-Konten. Es braucht nur eine Sicherheitslücke, und schon hat ein Hacker Zugang zu allem, von E-Mails bis zu Finanzkonten.
Beispiele aus der Praxis für Angriffe zum Ausfüllen von Anmeldeinformationen
Credential Stuffing ist nicht nur eine theoretische Bedrohung. Es hat bereits bei einigen großen Namen in verschiedenen Branchen für Chaos gesorgt.
Ein viel beachtetes Beispiel war die HSBC Bank, bei der Angreifer gestohlene Logins verwendeten, um auf Kundenkonten zuzugreifen. Dieser Verstoß ermöglichte den unbefugten Zugriff auf Finanzdaten, und das Unternehmen musste sogar sein gesamtes Online-Anmeldeverfahren aussetzen, bis die Angelegenheit geklärt war. Bis zu 14.000 Kunden waren davon betroffen.
Auf Reddit wurden die Nutzer plötzlich aus ihren Konten ausgesperrt, nachdem eine Welle von Angriffen zum Ausfüllen von Anmeldedaten die Plattform heimgesucht hatte. Reddit musste die Nutzer auffordern, ihre Passwörter zurückzusetzen, wenn sie auf ihre Konten zugreifen wollten.
Ein weiterer signifikanter Fall kam von TurboTax, wo Angreifer gestohlene Anmeldeinformationen verwendeten, um bei einem Angriff im Jahr 2019 auf Steuerinformationen zuzugreifen. Dabei ging es nicht nur um Benutzernamen und Kennwörter, denn sobald die Angreifer eingedrungen waren, konnten sie auf Sozialversicherungsnummern und andere sensible persönliche Daten zugreifen.
Auch bei Nintendo gab es einen massiven Einbruch, bei dem Tausende von Nintendo Network ID-Konten kompromittiert wurden. Den Angreifern gelang es, mit wiederverwendeten Zugangsdaten in die Konten einzudringen, was zu unbefugten Käufen und Datenschutzproblemen bei den Spielern führte. Insgesamt wurden 300.000 Konten kompromittiert.
Die Auswirkungen von Credential Stuffing
Credential Stuffing"-Angriffe können zu großen Problemen führen. Es ist möglich, dass die Opfer aus ihren Konten ausgesperrt werden und dass Geld direkt oder durch andere betrügerische Methoden wie die Beantragung von Kreditkarten mit ihren Daten gestohlen wird.
Finanzieller Verlust
Eine der unmittelbarsten und sichtbarsten Folgen eines Credential Stuffing-Angriffs ist der finanzielle Schaden, den er anrichten kann. Sobald sich ein Angreifer Zugang zu einem Zahlungs- oder Bankkonto verschafft hat, dauert es nicht lange, bis die Gelder verschwinden.
Die Opfer müssen oft wochenlang mit ihren Banken oder Kartenanbietern hin- und hergehen, um den Schlamassel zu bereinigen und das Geld zurückzubekommen. Das kann immensen Stress verursachen.
Identitätsdiebstahl
Abgesehen vom Geld öffnet das Ausfüllen von Zugangsdaten die Tür zu etwas noch Gefährlicherem: Identitätsdiebstahl.
Wenn Angreifer genügend persönliche Daten in die Hände bekommen, können sie sich als eine andere Person ausgeben. Sie können neue Konten beantragen oder sogar Betrug und andere Straftaten unter dem Namen einer anderen Person begehen. Der Schaden eines Identitätsdiebstahls kann eine Person jahrelang verfolgen und es dauert oft lange, bis er vollständig aufgeklärt ist.
Eingriff in die Privacy
Es gibt auch das Problem des persönlichen Raums. Wenn Angreifer in ein Konto eindringen, sehen sie nicht nur Zahlen und Passwörter, sondern erhalten auch Zugang zu privaten Details. Dinge wie private Bilder und persönliche Daten können durchsickern. Das ist ein schwerer Eingriff in die Privatsphäre. Die Vorstellung, dass jemand ohne Erlaubnis Unterhaltungen oder Dateien durchsuchen kann, ist für alle Beteiligten beunruhigend und verunsichernd.
Wie Benutzer sich vor dem Ausfüllen von Anmeldeinformationen schützen können
Die Benutzer brauchen einen starken Schutz vor dem Ausfüllen von Anmeldeinformationen, einschließlich gesunder Passwörter und anderer Methoden wie Zwei-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung.
Die Verwendung eines VPN (Virtual Private Network) kann eine zusätzliche Sicherheitsebene schaffen, indem es Ihre IP-Adresse maskiert und es Hackern erschwert, Ihre Online-Aktivitäten zu verfolgen oder Sie mit Angriffen auf Ihre Zugangsdaten zu attackieren. Die Verwendung von eindeutigen Passwörtern für jede Website oder jeden Dienst mag mühsam klingen, aber Passwortmanager machen es einfach.
2FA ist auch bei vielen Online-Konten möglich. Nutzen Sie sie, wo immer Sie können. Selbst wenn es jemandem gelingt, ein Passwort zu stehlen, stellt 2FA einen zusätzlichen Schutzwall in den Weg. In der Regel müssen Sie einen Code eingeben, der an ein Telefon oder eine E-Mail geschickt wird, was es Angreifern erschwert, unbemerkt einzudringen (es sei denn, sie sind bereits in Ihrem E-Mail-Konto).
Es hilft auch, informiert zu bleiben. Der Digital Footprint Scanner bietet u. a. eine Überwachung desDark Web , mit der Sie überprüfen können, ob Ihre E-Mails oder Anmeldedaten bei bekannten Datenschutzverletzungen offengelegt wurden. Es ist eine nützliche Methode, um Bedrohungen voraus zu sein und zu wissen, wann es Zeit ist, Passwörter zu aktualisieren, und es ist einfach, Ihre E-Mail-Adresse zu suchen und zu sehen, wo sie in Lecks auftaucht.
Verwandte Artikel:
Ihre Sozialversicherungsnummer ist bereits bekannt - was nun?
Ich glaube, mein Telefon ist gehackt | Hilfe! Anzeichen für ein gehacktes Telefon