‚Credential Stuffing‘ bezeichnet eine Angriffsmethode, bei der die Hacker mithilfe einer Sammlung von kompromittierten Anmeldedaten in ein System eindringen. Die Anmeldedaten selbst wurden zuvor bereits im Zuge einer Datenschutzverletzung bei einem anderen Dienst ergattert, und werden im Anschluss verwendet, um sich Zugriff zu einem anvisierten System zu verschaffen.
In diesem Artikel finden Sie Informationen rund um das Credential Stuffing und seine Funktionsweisen: Zudem werden Vorbeugungsmaßnahmen und Cybersecurity-Lösungen erläutert, die Ihr Unternehmen vor Schaden durch diese Angriffsmethode bewahren können.
Credential Stuffing-Angriffe werden in der Regel mithilfe von Bots skaliert und automatisiert. Viele Benutzer verwenden ihre Anmeldedaten mehrmals oder bei verschiedenen Diensten. Aufgrund dessen werden Bots dazu verwendet, Systeme schnell mit diesen Anmeldedaten „aufzufüllen“, bis sie auf eine funktionierende Kombination stoßen.
Angenommen, ein Angreifer gelangt an Anmeldeinformationen, die durch eine Datenschutzschutzverletzung bei einem Online-Händler offengelegt wurden. Anschließend verwendet er eben diese Liste von Anmeldedaten, um sich mithilfe von Bots, die den Angriff skalieren, bei einer Bankwebsite einzuloggen. Wenn nun Nutzer, deren Anmeldedaten auf der Liste geführt sind, die gleichen Anmeldedaten für sein Online-Banking verwenden, werden sie möglicherweise einer Kontoübernahme zum Opfer fallen.
Ein Angreifer braucht nicht einmal selbst die Seite eines Online-Händlers hacken, um an eine Liste von Anmeldedaten zu kommen. Es gibt eine Vielzahl von Listen mit kompromittierten Anmeldedaten, die zum Kauf im Dark Web angeboten werden, und jede der Listen kann Millionen von Anmeldedaten enthalten. Nach den Erfolgszahlen beim Credential Stuffing zu urteilen, kann ein Angreifer mit jeder Million Anmeldedaten erfolgreich 1000 Konten hacken. Damit wird das Credential Stuffing zu einem lohnenden Zeitaufwand für den Angreifer.
Kombiniert man diese Faktoren mit einer ausgereiften Bot-Technologie und der Sorglosigkeit von Nutzern, die ihre Anmeldedaten immer wieder verwenden, erhalten Sie einen für Cyberkriminelle gewinnversprechenden Angriffsvektor.
Es ist auch erwähnenswert, dass nicht unbedingt die Sicherheit des gesamten Unternehmens gefährdet ist, wenn es ein Hacker mit Credential Stuffing ins Visier genommen und Zugriff auf einzelne Konten erlangt hat. Wenn Benutzerkonten von Credential Stuffing betroffen sind, müssen die Unternehmen, die diese Konten verwalten, dennoch Maßnahmen ergreifen, um Betrug, Missbrauch und direkte Verluste zu vermeiden.
Wichtig ist, dass Sie den Vorgang verstehen, um Ihr Risiko für ein Credential Stuffing möglichst einzudämmen. Cyberkriminelle verfolgen ein paar grundlegende Schritte beim Vorbereiten und Ausführen von Credential Stuffing.
Der Angreifer erstellt einen Bot, der automatische Anmeldeversuche parallel von mehreren IP-Adressen unternimmt.
Er beschafft sich eine Liste gestohlener Anmeldedaten und spielt diese Daten dann in einem automatisierten Prozess parallel auf den Zielwebsites ein.
Währenddessen hält er Ausschau auf erfolgreiche Anmeldungen. Bei jeder einzelnen kann er dann personenbezogene Informationen stehlen, wie beispielsweise Konto- oder Kreditkartennummern, Ortsangaben oder sonstige private Daten.
Jetzt hat der Cyberkriminelle wertvolle Informationen zur Verfügung, die er für betrügerische Transaktionen, Phishing und andere Straftaten nutzen kann.
Vielleicht fragen Sie sich, wo genau der Unterschied zwischen Credential Stuffing und einem Brute-Force-Angriff liegt. Laut Einschätzung der Nonprofit-Organisation OSASP (Open Web Application Security Project) ist das Credential Stuffing eigentlich eine Untergruppe von Brute-Force-Angriffen. Es gibt jedoch einige entscheidende Unterschiede zwischen den beiden:
Beim Credential Stuffing werden bekannt gewordene Anmeldedaten verwendet. Im Gegensatz dazu versuchen Brute-Force-Angriffe, Passwörter ohne Anhaltspunkte oder Kontext zu erraten, indem sie willkürlich Zeichen, allgemeine Passwortvorschläge oder häufig genutzte Phrasen verwenden.
Einfache und leicht zu erratende Passwörter sind am anfälligsten für Brute-Force-Angriffe. Beim Credential Stuffing spielt die Komplexität der Passwörter keine Rolle.
Die Nutzer können sich vor Brute-Force-Angriffen schützen, indem sie starke und eindeutige Passwörter verwenden. Wenn ihre Daten aber aufgedeckt und dann für das Credential Stuffing verwendet werden, ist die Qualität der Passwörter nicht länger von Belang. (Zur Stärkung des Schutzes sollten Unternehmen nach Möglichkeit auf eine Multi-Faktor-Authentifizierung bestehen).
Aufgrund dieser Unterschiede ist das Credential Stuffing wesentlich erfolgversprechender als ein Brute-Force-Angriff.
Das Credential Stuffing breitet sich aus und wird auch nicht so bald wieder verschwinden. Deswegen wird es immer wichtiger, diese Angriffsmethode zu verstehen und ihr zuvorzukommen.
Laut den von F5 gesammelten Daten hat sich die Anzahl der Vorfälle, bei denen Anmeldedaten offengelegt wurden, von 2016 bis 2020 nahezu verdoppelt. Trotz wachsender Bedenken und einem breiten Einvernehmen hinsichtlich der besten Verfahrensweisen beim Speichern von Anmeldedaten und Passwörtern, hat die Branche ihr Verhalten noch nicht angepasst. So ist beispielsweise das Speichern von Passwörtern als Klartext die mit Abstand häufigste Ursache für die Offenlegung von Anmeldedaten.
Für normale Benutzer ist das Vorbeugen von Credential Stuffing nicht besonders kompliziert. Wer für jeden genutzten Dienst ein separates Passwort verwendet, kann die Wirkung dieser Angriffe aushebeln (Passwort-Manager können dies noch erleichtern). Private Nutzer können ihre Anmeldedaten weiter verstärken, indem sie, sofern verfügbar, die Zwei-Faktor-Authentifizierung aktivieren.
Für Unternehmen und andere Organisationen ist die Vorbeugung von Credential Stuffing eine größere Herausforderung, insbesondere wenn sie mit Authentifizierungs-Diensten arbeiten. Ein Unternehmen kann seine Benutzer zwar dazu auffordern, „eindeutige“ Passwörter zu verwenden, dies aber nicht wirklich durchsetzen.
Es gibt glücklicherweise mehrere Möglichkeiten für Unternehmen, sich vor Credential Stuffing zu schützen.
CAPTCHA ist eine Methode zur Betrugsprävention, bei der die Benutzer nachweisen müssen, dass sie ein Mensch sind, bevor sie sich anmelden können. Dabei müssen in der Regel eine Reihe von verschleierten Zeichen gelesen und in ein Feld eingegeben werden, oder der Nutzer wird aufgefordert, Fotos auszuwählen, auf denen bestimmte Gegenstände zu sehen sind.
Das CAPTCHA hat den Nachteil, dass Angreifer es mit einem Headless-Browser umgehen können. Es eignet sich nicht für jedes Szenario, daher kombiniert man es am besten mit weiteren Maßnahmen der Betrugsprävention. PingOne Fraud bietet beispielsweise eine umfassende Lösung zur Betrugsprävention.
Die MFA ist sehr wirkungsvoll gegen Credential Stuffing. Hierbei wird jeder Benutzer aufgefordert, seine Identität sowohl mit etwas, das er weiß, als auch mit etwas, das er hat, zu authentifizieren. Neben einem Passwort, einer Passphrase oder einer PIN (persönliche Identifikationsnummer) muss der Benutzer bei einer MFA beispielsweise auch sein Mobiltelefon, Tablet oder ein Zugangs-Token bereithalten. Wird ein Mobilgerät hinzugenommen, kann ein Code an das Gerät gesendet werden, der vom Benutzer abgefragt wird, bevor er Zugriff erhält.
Das Anfordern einer MFA für jeden Benutzer bzw. jede Aktion ist vielleicht nicht in allen Situationen durchführbar, kann aber mit anderen Authentifizierungsmethoden verbunden werden, wie zum Beispiel einem Fingerabdruck auf dem Gerät.
Device Fingerprinting bedeutet nicht, dass sich der Benutzer mit einem echten Fingerabdruck anmeldet. Stattdessen werden beim Device-Fingerprinting mithilfe von JavaScript eine Reihe von Datenpunkten über die Benutzergeräte erfasst, wie unter anderem folgende:
Betriebssystem
Browser
Sprache
Zeitzone
Benutzer-Agent
IP-Adresse
HTTP-Request-Header
Akkudaten
Bildschirmauflösung
VPN-Daten
Flash-Daten
Diese Informationen werden für die Kompilierung eines identifizierenden „Fingerabdrucks“ für jede eingehende Benutzersitzung verwendet. Wenn die gleichen Datenpunkte für mehrere Anmeldeversuche in Folge verwendet werden, erkennt das Device Fingerprinting dies als Credential Stuffing oder Brute-Force-Angriff.
Unternehmen können mithilfe des Device-Fingerprinting mehrere eindeutige Datenpunkte zugrundelegen (z. B. IP-Adresse, Flash-Daten, HTTP-Request-Header und VPN), um auf potenzielle Angriffe mit drastischen Mitteln (z. B. dem Sperren von IP-Adressen) zu reagieren.
Werden zwei oder drei der häufigsten Datenpunkte kombiniert (z. B. Zeitzone, Sprache und Browser) lassen sich noch mehr Angriffsversuche abfangen, die dann moderatere Maßnahmen auslösen, wie beispielsweise eine vorübergehende Sperrung der IP-Adresse.
Glücklicherweise haben Cyberkriminelle in der Regel nur Zugriff auf einen relativ kleinen Pool von IP-Adressen. Eine „IP-Deny“-Liste enthält IP-Adressen oder Bereiche von IP-Adressen, die Sie verhindern möchten. Ebenso können Sie eine „Allow“-Liste mit IP-Adressen (auch Whitelist genannt) erstellen, denen Sie den Zugriff gestatten. Dieses Prinzip des Verweigerns und Erlaubens bestimmter IPs ist hilfreich, um bösartige IPs am Zugriff auf Ihr Netzwerk zu hindern.
Durch das Monitoring von IP-Adressen, die versuchen, sich gleichzeitig bei mehr als einem Konto anzumelden, kann Ihr Unternehmen diese blockieren oder eindämmen. Diese IPs können dann vor einem möglichen Zugriff mit verdächtigen IPs aus extern referenzierten Listen abgeglichen und überprüft werden.
Diese Technik mag bei einigen Arten von Credential Stuffing-Angriffen durchaus wirksam sein, ist aber keine praktikable Option bei echten, dynamischen Bot-Angriffen, da hier wechselnde IP-Adressen zum Einsatz kommen.
Headless-Browser (oder kopflose Browser) wie beispielweise PhantomJS oder Headless Chrome/Firefox werden häufig von bösartigen Bots verwendet. Sie lassen sich aber zum Glück mithilfe von JavaScript-Aufrufen problemlos identifizieren. Das Blockieren aller Headless-Browser ist ein Weg, um Credential Stuffing-Angriffe zu verhindern.
Es wird allerdings auch die Funktion von Bots ausschließen, die für Sie vorteilhaft sind. Zu letzteren gehören zum Beispiel die Suchmaschinen-Crawler von Google oder Bing. Bots übernehmen auch Funktionen beim Überwachen Ihrer Website auf Ausfälle, beim Betreiben automatisierter Chats (Chatbots) oder beim Durchsuchen Ihrer E-Commerce-Website, um den Nutzern günstige Angebote zu empfehlen.
Sie erkennen einen nützlichen Bot vor allem an seiner Herkunft. Diese Art von Bots werden in der Regel von seriösen Unternehmen (z. B. Google) eingesetzt. In den meisten Fällen lassen sich hilfreiche Bots als solche erkennen, und sie halten sich an die Regeln und Richtlinien, die Sie auf Ihrer Website hinterlegt haben.
Verkehr, der von kommerziellen Datenzentren (wie Amazon Web Services) stammt, ist fast immer Bot-Traffic. Diesen Traffic sollten Sie mit wesentlich kritischer betrachten, als den Datenverkehr von Einzelnutzern. Glücklicherweise können Sie ihn leicht identifizieren und mithilfe strenger Volumenbegrenzungen diejenigen IP-Adressen, die in diese Kategorie fallen, blockieren oder verbannen.
Das Wiederverwenden von Anmeldedaten für mehrere Dienste erhöht die Anfälligkeit der Benutzer für das Credential Stuffing. Wenn Nutzer ihre E-Mail-Adresse als Konto-ID einsetzen, ist die Wiederverwendung von Anmeldedaten noch wahrscheinlicher.
Wenn Sie diese Vorgehensweise für Ihren Dienst nicht zulassen, können Sie die Wiederverwendungspraxis der gleichen Kombination von Anmeldedaten auf anderen Websites drastisch senken.
Unternehmen sind darauf angewiesen, dass ihre Kunden ihnen vertrauen. Wenn Sie Angriffe wie das Credential Stuffing verhindern, können Sie sich dieses Vertrauen erhalten. Obwohl Credential Stuffing eine große Bedrohung darstellt, ist es am sinnvollsten, eine Gesamtlösung zur Betrugserkennung einzusetzen, mit der:
zwischen Interaktionen von legitimen und betrügerischen Nutzern unterschieden wird
kontinuierlich Hunderte von Datenpunkten bei physischen Interaktionen von Nutzern und Geräten zur besseren Erkennung von Nutzermustern analysiert werden
potenziell manipulierte oder gefälschte Geräte zur Ausgabe von Alarmen identifiziert werden
Methoden der IP-Maskierung erkannt werden, wie beispielsweise bei unbekannten VPN oder Proxys
Die Online-Betrugserkennung von Ping Identity ist darauf ausgelegt, all dies und mehr zu leisten, ohne die Benutzerfreundlichkeit durch unnötige Reibung zu beeinträchtigen. Es gibt Möglichkeiten, mit denen Sie die Kunden zufrieden stellen und gleichzeitig proaktiv und in Echtzeit gegen Betrüger vorgehen können. Wenn Sie mehr darüber erfahren möchten, können Sie unser Whitepaper über Betrugserkennung herunterladen.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern