Credential Stuffing: Beispiele, Erkennung und Auswirkungen
Credential Stuffing hat sich zu einer der häufigsten und bedeutendsten Bedrohungen für Unternehmen entwickelt und stellt ein Risiko für praktisch jede Anwendung dar, die über eine Anmeldefunktion verfügt, d. h. für die meisten Anwendungen. Sehen wir uns einmal genauer an, was Credential Stuffing ist, warum es eine Herausforderung ist, es zu kontrollieren, und was Unternehmen tun können, um sich zu schützen.
Was ist "Credential Stuffing"?
Bei einem "Credential Stuffing"-Angriff versuchen Cyberkriminelle, Anmeldedaten, die bei einem früheren Angriff kompromittiert wurden, wiederzuverwenden, um sich bei einer anderen Website oder Anwendung anzumelden. Nehmen wir zum Beispiel die Datenschutzverletzung bei PayPal, von der 35.000 Konten betroffen waren.
Da die Angreifer wissen, dass viele Endbenutzer oft dasselbe Passwort auf mehreren Websites wiederverwenden, nehmen sie die erbeuteten Anmeldedaten und probieren sie bei anderen hochwertigen Anwendungen aus, z. B. bei einem Bank- oder Online-Shopping-Konto. Im Falle des PayPal-Angriffs hat das Unternehmen noch keine unbefugten Transaktionen festgestellt, so dass die Angreifer den Angriff möglicherweise nur durchgeführt haben, um herauszufinden, welche Anmeldedaten über mehrere Konten hinweg wiederverwendet werden, damit sie diese lukrativen Anmeldedaten dann verkaufen können.
Da Datenschutzverletzungen relativ häufig vorkommen, verfügen Angreifer über einen schier unendlichen Vorrat an Zugangsdaten, die sie gegen eine praktisch unendliche Anzahl von Zielen einsetzen können.
Einer Studie zufolge gibt es etwa 15 Milliarden gestohlene Logins, die auf rund 100.000 Sicherheitsverletzungen zurückzuführen sind. Dies führt zu einer Art Rückkopplungsschleife im Bereich der Cybersicherheit, in der eine Sicherheitsverletzung Auswirkungen auf andere Anwendungen und Konten haben kann.
Der Wert von kompromittierten Konten
Credential Stuffing spielt eine Schlüsselrolle in der Untergrund-Hackerökonomie. Natürlich könnte ein Angreifer versuchen, direkt von einem kompromittierten Konto zu profitieren. In den meisten Fällen wird der Zugang zum Konto jedoch an andere Akteure im Dark Web und in Untergrundforen weiterverkauft, wie im Fall von PayPal vermutet wird.
Dies ist ein Beispiel für die fortschreitende Spezialisierung in kriminellen Ökosystemen, in denen sich bestimmte Akteure darauf spezialisieren, sich Zugang zu verschaffen, während andere sich darauf spezialisieren, den Zugang zu nutzen, um Betrug oder andere Aktivitäten zu begehen.
Diese Angriffe sind so häufig, dass die Preise für kompromittierte Konten auf der Grundlage des Kontowertes fest etabliert sind. So können beispielsweise Finanz- und Zahlungsdienstleistungskonten wie Bankkonten, PayPal- oder Western-Union-Konten je nach Höhe des Geldbetrags auf dem Konto zwischen 30 und 120 US-Dollar einbringen.
Eine Vielzahl von Einzelhandelskonten ist ebenfalls ein begehrtes Ziel: Für kompromittierte Amazon-Konten werden durchschnittlich 30 US-Dollar gezahlt. Konten von Nutzern sozialer Medien sind ebenfalls ein häufiges Ziel. Diese Konten können für Astroturfing-Kampagnen oder zur Verbreitung von Malware an Benutzer im sozialen Netzwerk des Opfers verwendet werden. So werden Facebook-Konten in der Regel für 65 US-Dollar, Instagram-Konten für 45 US-Dollar und Gmail-Konten für 80 US-Dollar verkauft.
Was sind die Ursachen für Credential Stuffing-Angriffe?
Credential Stuffing kann durch eine Vielzahl unterschiedlicher Gründe verursacht werden.
1. Datenverstöße
Benutzeranmeldedaten sind häufig das Ziel von Cyber-Kriminellen bei massiven Angriffen auf sensible Datenbanken, so dass sie für Angriffe zum Ausfüllen von Anmeldedaten verwendet werden können.
Diese Angriffe erfolgen, wenn Angreifer in das Netzwerk eines Unternehmens eindringen und auf sensible Benutzerdaten wie Benutzernamen, Kennwörter und persönliche Informationen zugreifen. Datenschutzverletzungen können durch schwache Sicherheitspraktiken, Insider-Bedrohungen oder groß angelegte Angriffe verursacht werden.
2. Schwache und wiederverwendete Passwörter
Benutzer wählen oft schwache oder leicht zu erratende Passwörter für ihre Konten. Sie können auch dasselbe Passwort auf verschiedenen Websites und in verschiedenen Anwendungen wiederverwenden. Dies erhöht das Risiko von "Credential Stuffing"-Angriffen, bei denen kompromittierte Anmeldeinformationen aus einer Datenverletzung für den Zugriff auf mehrere Benutzerkonten auf unterschiedlichen Plattformen verwendet werden.
3. Phishing-Angriffe
Phishing ist definiert als ein Angriff, bei dem sich Angreifer als vertrauenswürdige Einrichtungen wie Banken oder Social-Media-Plattformen ausgeben, um Benutzer zur Preisgabe ihrer Anmeldedaten zu bewegen. Diese Anmeldedaten werden dann für "Credential Stuffing"-Angriffe verwendet. Phishing-Angriffe können in Form von E-Mails, Telefonanrufen, Textnachrichten oder Nachrichten in sozialen Medien erfolgen.
4. Lecks in den Zugangsdaten
Manchmal geben Benutzer oder Mitarbeiter versehentlich Anmeldedaten preis, indem sie diese an andere weitergeben oder unsicher speichern (z. B. in einfachen Textdateien oder auf Haftnotizen). Diese durchgesickerten Anmeldedaten können von Cyberkriminellen entdeckt und für Angriffe zum Ausfüllen von Anmeldedaten verwendet werden. Darüber hinaus können Online-Foren oder Dark-Web-Marktplätze Datenbanken mit durchgesickerten oder gehackten Anmeldedaten beherbergen, so dass sie für Angreifer leicht zugänglich sind.
5. Automatisierte Tools und Botnetze
Angreifer verwenden häufig automatisierte Tools und Botnets, um groß angelegte Credential Stuffing-Angriffe durchzuführen. Diese Tools ermöglichen es den Angreifern, in kurzer Zeit Millionen von Kombinationen aus Benutzernamen und Kennwörtern zu testen, wodurch die Wahrscheinlichkeit eines erfolgreichen Zugriffs auf Benutzerkonten erhöht wird. Botnets sind Netzwerke aus kompromittierten Geräten, die von Angreifern kontrolliert werden können, um ihre Angriffe zu verbreiten und zu verstärken.
Wie erkennt man Credential Stuffing-Angriffe?
Im Allgemeinen können Standardangriffe zum Ausfüllen von Anmeldeinformationen mit Hilfe der folgenden Schlüsseltechniken erkannt werden
1. Ungewöhnliche Login-Muster
Überwachen und analysieren Sie die Anmeldemuster von Benutzern, um Unregelmäßigkeiten zu identifizieren, fehlgeschlagene Anmeldeversuche zu erkennen, mehrere geografische Unstimmigkeiten zu erkennen, schnelle Änderungen von IP-Adressen zu erkennen, bot-ähnliches Verhalten zu identifizieren und zeitbasierte Einschränkungen zu implementieren, atypische Benutzer-Agenten zu kennzeichnen und Anmeldequellen zu überprüfen.
2. Ratenbegrenzung
Drosselung der Anmeldeversuche, Implementierung von CAPTCHA, Verwendung progressiver Verzögerungen, Festlegung von Schwellenwerten für maximale Anfragen, Überwachung von Spitzen bei fehlgeschlagenen Anmeldungen, Durchsetzung von Kontosperrungen, Einsatz von Echtzeit-Überwachungssystemen, Einführung adaptiver Ratenbegrenzungen, Anpassung der Ratenbegrenzungen pro Benutzer und Festlegung zeitbasierter Ratenbegrenzungen zur Abwehr von Angriffen.
3. Multi-Faktor-Authentifizierung (MFA):
Fordern Sie zusätzliche Verifizierungsmethoden wie Einmalpasswörter (OTPs), biometrische Authentifizierung, Authentifizierung über mobile Geräte, Hardware-Token, SMS-basierte Authentifizierung, softwarebasierte Authentifizierer, Push-Benachrichtigungen, E-Mail-basierte Verifizierung und zeitabhängige Token.
4. Geräte-Fingerprinting
Sammeln Sie gerätespezifische Informationen durch die Analyse von Browserkonfigurationen, die Überwachung installierter Plugins, die Identifizierung einzigartiger Hardwaremerkmale, die Verfolgung von Gerätenutzungsmustern, die Erstellung von Geräteprofilen, die Erkennung von Anomalien in Geräteattributen, die Nutzung von Techniken des maschinellen Lernens, den Abgleich bekannter Geräte-Fingerprints und die Erstellung von Geräte-Reputationswerten.
5. Web Application Firewalls (WAFs) und Sicherheitslösungen
Setzen Sie fortschrittliche WAFs ein, implementieren Sie Intrusion-Detection-Systeme, verwenden Sie verhaltensbasierte Sicherheitslösungen, überwachen Sie Serverprotokolle auf verdächtige Aktivitäten, erstellen Sie benutzerdefinierte Sicherheitsregeln, nutzen Sie KI-gesteuerte Sicherheitstools, blockieren Sie bekannte bösartige IPs, setzen Sie Content-Delivery-Netzwerke (CDNs) mit Sicherheitsfunktionen ein, implementieren Sie DDoS-Schutz (Distributed Denial of Service) und verwenden Sie Threat-Intelligence-Feeds, um die Sicherheitseffizienz zu erhöhen.
Herausforderungen bei der Erkennung von Credential Stuffing
Mit Credential Stuffing-Techniken können herkömmliche WAF-Signaturen und ratenbasierte Regeln aus mehreren Gründen umgangen werden. Vor allem beruhen die Techniken nicht auf einem Exploit oder einer anderen offenen böswilligen Aktion. Stattdessen nutzen sie die exponierten Funktionen einer Anwendung auf unerwartete Weise.
In diesem Fall nutzt der Angreifer, in der Regel in Form eines Bots, die Anmeldefunktion der Anwendung auf die gleiche Weise wie ein legitimer Benutzer.
Da die Angreifer viele Kombinationen von Benutzernamen und Kennwörtern durchlaufen müssen, wird die Arbeit in der Regel von einem großen, verteilten Botnet oder einer anderen Form der bösartigen Automatisierung erledigt. Dies beschleunigt nicht nur die Arbeit, sondern ermöglicht es dem Angreifer, den Angriff auf eine große Anzahl von IP-Adressen zu verteilen, so dass es nicht offensichtlich ist, dass der Angriffsverkehr von einer bestimmten Gruppe von IPs kommt.
Und im Gegensatz zu einem Brute-Force-Angriff versuchen Angriffe zum Ausfüllen von Anmeldeinformationen in der Regel nicht, mehrere Kennwörter für ein bestimmtes Konto durchzugehen. Sie versuchen es einfach mit dem gestohlenen Namen/Passwort-Paar, und wenn das nicht funktioniert, gehen sie zum nächsten über. Folglich werden Regeln, die ein Konto nach einer bestimmten Anzahl von Fehlversuchen sperren, nie ausgelöst.
All dies führt zu einer Situation, in der sich die Angreifer unter die gültigen Benutzer mischen können. Insgesamt kann es offensichtlich sein, dass eine Anwendung angegriffen wird, weil sie mit Anmeldeverkehr überschwemmt wird. Aber bei jedem einzelnen Anmeldeversuch haben Sicherheitsteams oft keine Möglichkeit zu erkennen, welcher Versuch böswillig ist und welcher ein echter Benutzer ist.
Credential Stuffing vs. Password Spraying
| Vergleich | Credential Stuffing | Passwort sprühen |
|---|---|---|
| Methodik | Verwendet große Mengen gestohlener Anmeldedaten, um mehrere Plattformen anzugreifen | Zielt auf mehrere Benutzer mit ein paar häufig verwendeten Kennwörtern |
| Automatisierung | Automatisierte Tools oder Bots zur schnellen Eingabe von Anmeldedaten | ist oft ein eher manueller, gezielter Ansatz |
| Erkennung | Kann zu zahlreichen fehlgeschlagenen Anmeldeversuchen pro Benutzer führen und ist leichter zu erkennen | Führt zu weniger Fehlversuchen pro Nutzer, was die Erkennung erschwert |
| Schwerpunkt | Nutzt die gängige Praxis der Wiederverwendung von Passwörtern für mehrere Konten aus | Nutzt schwache oder voreingestellte Kennwörter wie "Alpha123" aus. |
| Prävention | Verwenden Sie eindeutige, komplexe Passwörter mit Multi-Faktor-Authentifizierung und setzen Sie fortschrittlichen Bot-Schutz ein. | Anwendung strenger Passwortrichtlinien, Überwachung von Anomalien bei Anmeldeversuchen und bessere Passworthygiene |
Die Auswirkungen von "Credential Stuffing
Credential Stuffing führt zu einer ganzen Reihe von Problemen. Am offensichtlichsten ist, dass ein erfolgreicher Angriff zum Ausfüllen von Anmeldedaten den Weg für eine Kontoübernahme (ATO) ebnet.
Es genügt jedoch zu sagen, dass Angreifer ein kompromittiertes Konto auf vielfältige Weise missbrauchen können, um Betrug zu begehen und andere bösartige Ziele zu verfolgen. Finanzkonten können zum Diebstahl von Geldern, Einzelhandelskonten zum illegalen Kauf von Waren und Konten in sozialen Medien zur Beeinflussung von Meinungen oder zur Verbreitung von Malware verwendet werden.
Der durch einen Credential Stuffing-Angriff ausgelöste Datenverkehr kann jedoch auch schnell die Ressourcen einer Anwendung überfordern und zu einer Denial-of-Service-Situation führen. Eine Branchenanalyse schätzt, dass im Durchschnitt 16,5 Prozent des Datenverkehrs auf einer Anmeldeseite auf Credential Stuffing zurückzuführen sind. Dies kann jedoch ein Tropfen auf den heißen Stein sein, wenn eine bestimmte Gruppe es auf eine bestimmte Anwendung oder Branche abgesehen hat.
So konnten wir beispielsweise bei einer Reihe von Angriffen auf Kreditinstitute, bei denen es um das Ausfüllen von Anmeldedaten ging, feststellen, dass 90 Prozent des Datenverkehrs bösartig waren, und diesen Datenverkehr automatisch blockieren, damit er die Server der Zielkunden nicht erreicht.
Abbildung: ThreatX blockiert bösartigen Datenverkehr
Wie ThreatX vor Credential Stuffing schützt
Wie das obige Beispiel zeigt, verfügt ThreatX über beträchtliche praktische Erfahrung bei der Abwehr von Bot-Angriffen, einschließlich des Credential Stuffing. Dazu werden verschiedene Erkennungs- und Analysetechniken eingesetzt, um zuverlässig die echten Benutzer von den bösartigen Bots und Botnetzen zu unterscheiden. Während sich die Details natürlich ständig ändern, da wir uns anpassen, um den Angreifern einen Schritt voraus zu sein, haben wir im Folgenden einige der wichtigsten Merkmale hervorgehoben:
- Aktive Befragung von Besuchern: ThreatX fordert Besucher aktiv auf eine Art und Weise heraus, die für echte Benutzer völlig transparent ist, aber einen Bot dazu bringen kann, seine Identität preiszugeben. Dabei könnte beobachtet werden, wie die Entität auf automatische Herausforderungen reagiert, z. B. wie die Entität mit JavaScript oder anderen Arten von Code umgeht.
- Fortschrittliches Fingerprinting: ThreatX nutzt einige der fortschrittlichsten Fingerprinting-Techniken der Branche, um bösartige Organisationen und Infrastrukturen zuverlässig zu identifizieren und über einen längeren Zeitraum zu verfolgen. Dadurch kann die Plattform Angreifer selbst dann erkennen, wenn sie ihre IP-Adressen, Benutzer-Agenten oder andere identifizierende Merkmale ändern.
- Automatisierte Täuschungstechniken: Die Plattform kann Täuschungstechniken einführen, wie z. B. gefälschte Felder, die für Bots lesbar, aber für Nutzer unsichtbar sind. Jede Interaktion mit diesen Feldern oder Funktionen kann zeigen, dass es sich bei dem Besucher um einen Bot und nicht um einen Menschen handelt.
- Analyse des Angreifer- und Anwendungsverhaltens: ThreatX kann nicht nur komplexe Verhaltensweisen im Laufe der Zeit verfolgen, sondern auch atypisches Verhalten auf Benutzer- oder Anwendungsebene identifizieren. Zum Beispiel, wenn ein Besucher ein Anmeldeformular mit abnormaler Geschwindigkeit ausfüllt oder wenn Anwendungen mit dem Anmeldeverkehr überlastet zu sein scheinen.
- Globale Korrelation und Verfolgung: Durch die Erstellung von Fingerabdrücken von Angreifern kann ThreatX deren Verhalten im gesamten Internet und in verschiedenen Unternehmen verfolgen. Auf diese Weise können Unternehmen von den Erkenntnissen früherer Angriffe profitieren und Bedrohungen präventiv blockieren, bevor der Angriff überhaupt begonnen hat.
Dies sind nur einige der Techniken und Gegenmaßnahmen, die ThreatX tagtäglich gegen Credential Stuffing-Angriffe einsetzt.
