Der Begriff Credential Stuffing bezeichnet einen Cyberangriff, bei dem Cyberkriminelle versuchen, Zugang zu einem System mit den gestohlenen Anmeldedaten eines anderen Systems zu erlangen.

Beim Credential Stuffing nutzen Angreifer aus, dass Mitarbeiter häufig dieselbe Kombination aus Benutzer-ID und Kennwort für mehrere Konten verwenden. Es liegt daher nahe, dass Anmeldedaten für ein Konto auch für andere Konten funktionieren könnten.

Warum nehmen Credential Stuffing-Angriffe zu?

Credential Stuffing ist aus mehreren Gründen eine zunehmende Gefahr:

• Verfügbarkeit von Anmeldedaten: In den letzten Jahren wurden mehrere Milliarden Benutzernamen und Kennwörter gestohlen oder geleakt. Diese Anmeldedaten werden auf den digitalen Märkten des Dark Web zum Kauf angeboten und können als Ausgangspunkt für Credential Stuffing-Angriffe sowie eine Reihe anderer Cyberangriffe dienen.
• Technologiefortschritt: Bei Credential Stuffing-Angriffen werden Bots oder andere intelligente Automatisierungstools eingesetzt, um in Sekundenschnelle Anmeldeversuche bei mehreren Konten durchzuführen. Da die Bots darauf programmiert sind, eine bestimmte Kombination aus Benutzer-ID und Kennwort zu testen, führt das Tool immer nur einen Anmeldeversuch im jeweiligen System durch. Dies ermöglicht dem Tool, viele herkömmliche Sicherheitsmaßnahmen zu umgehen, einschließlich solcher, bei denen IP-Adressen mit zu vielen fehlgeschlagenen Anmeldeversuchen blockiert werden.
• Geringe Einstiegshürden: Die erforderlichen technologischen Fähigkeiten sowie der finanzielle Aufwand zum Starten eines Credential Stuffing-Angriffs sind sehr gering. Für nur 50 US-Dollar kann jeder, der einen Computer besitzt, ein kompromittiertes Konto im Dark Web erwerben und einen Credential Stuffing-Angriff initiieren.
• Der Wechsel ins Homeoffice: Die COVID-19-Pandemie hat den Trend zur Arbeit im Homeoffice beschleunigt und den Unternehmen gezeigt, wie schlecht sie darauf vorbereitet waren, ein verteiltes Netzwerk zu schützen. Angreifer nutzen diesen Umstand aus und versuchen, mithilfe privater Kontoanmeldedaten auf Geräte und Services in Unternehmen zuzugreifen.
• Schwierige Erkennung: Bei erfolgreichen Credential Stuffing-Angriffen ahmen die Kriminellen legitime Benutzer wie Mitarbeiter, Auftragnehmer oder sogar externe Lieferanten nach. Da bei den Angriffen keine Malware oder andere Angriffsvektoren zum Einsatz kommen, werden sie nur äußerst schwer von herkömmlichen Cybersicherheitsmaßnahmen erkannt.

Wie funktioniert ein Credential Stuffing-Angriff?

Credential Stuffing-Angriffe folgen einem relativ einfachen Angriffsmuster:

1. Die Angreifer nutzen gestohlene Anmeldedaten oder kaufen kompromittierte Anmeldedaten im Dark Web. Diese Anmeldedaten stammen in der Regel aus massiven Datenkompromittierungen oder anderen Cyberangriffen. Meist können diese Daten für sehr wenig Geld erworben werden.
2. Die Angreifer programmieren ein Botnet oder andere Automatisierungstools mit den Anmeldedaten für mindestens ein Online-Konto und führen Anmeldeversuche bei mehreren fremden Konten gleichzeitig durch. In der Regel verbirgt oder fälscht der Bot seine IP-Adresse, um Sicherheitstools zu umgehen, die ausländische oder ungewöhnliche Adressen blockieren könnten.
3. Dann prüft der Bot, ob Zugriff auf weitere Services oder Konten gewährt wurde. Wenn der Anmeldeversuch erfolgreich war, sammelt der Akteur weitere Informationen wie persönliche Daten, gespeicherte Kreditkarteninformationen oder Bankverbindungen. Häufig begehen die Betrüger damit noch eine Reihe weiterer Betrügereien oder Straftaten:

• Verkauf des Zugriffs auf kompromittierte Abonnement-Konten für Streamingdienste, Medienunternehmen, Spieleplattformen und andere über das Dark Web
• Kauf von Waren oder Dienstleistungen durch Missbrauch gespeicherter Zahlungsmethoden
• Durchführung einer Kontoübernahme, d. h. die Angreifer übernehmen die Kontrolle über das Konto und verändern die Sicherheitseinstellungen, Kontaktinformationen und andere Details, um die Durchführung künftiger Aktivitäten zu erleichtern
• Verkauf persönlicher, aus dem Kundenkonto gewonnener Informationen zur Unterstützung von Phishing-Kampagnen und hochentwickelten Angriffsmethoden

Wenn es den Hackern gelingt, durch Ausnutzen eines kompromittierten Kontos (z. B. das Konto eines Mitarbeiters, Auftragnehmers oder Lieferanten) in ein Firmennetzwerk zu gelangen, können sich die Angreifer in dieser Zeit lateral bewegen, Backdoors installieren, Systeminformationen für zukünftige Angriffe sammeln und natürlich Daten kompromittieren. Da die Akteure legitime Anmeldedaten verwenden, erscheinen sie als rechtmäßige Benutzer und können daher kaum durch herkömmliche Sicherheitsmaßnahmen erkannt werden.

Credential Stuffing-Angriffe und Brute Force-Angriffe im Vergleich

Credential Stuffing- und Brute-Force-Angriffe ähneln sich zwar, sind aber nicht identisch.

Bei einem Brute-Force-Angriff versucht ein Bedrohungsakteur, Zugriff auf vertrauliche Daten und Systeme zu erhalten, indem er systematisch möglichst viele verschiedene Kombinationen aus Benutzername und einem erratenen Kennwort ausprobiert.

Credential Stuffing funktioniert ähnlich wie ein Brute-Force-Angriff, da der Angreifer in beiden Fällen versucht, nicht autorisierten Zugriff auf ein System zu erlangen. Die Angriffsarten unterscheiden sich jedoch in mehreren wichtigen Punkten:

Spezifität des Angriffs

Bei einem Brute-Force-Angriff versuchen die Bedrohungsakteure durch Erraten der Benutzer-ID, des Kennworts oder beidem, Zugriff zu erlangen. Meistens probieren die Angreifer häufig verwendete Kennwörter oder Formulierungen. Im Allgemeinen sind die Angriffe nur von Erfolg gekrönt, wenn die Benutzer gängige oder einfache Kennwörter wie „Qwertz“, „Passwort“ oder „123456“ gewählt haben.

Bei einem Credential Stuffing-Angriff verfügen die Angreifer bereits über die Benutzeranmeldedaten für einen Service und versuchen, mit diesen Daten auf ein fremdes Netzwerk zuzugreifen. Wenn beispielsweise die Netzanbieter-Anmeldedaten eines Benutzers bei einem Angriff kompromittiert wurden, versuchen die Cyberkriminellen, sich damit bei anderen Dienstleistern, Banking-Webseiten, Portalen oder anderen digitalen Konten anzumelden.

Zugriffsversuche

Bei einem Brute-Force-Angriff ist der Bot zumeist darauf programmiert, mehrere Kombinationen von Benutzer-IDs und Kennwörtern auszuprobieren. Diese Angriffe werden zwar immer raffinierter und können durchaus Sicherheitsmaßnahmen umgehen, allerdings wird die IP-Adresse aufgrund der hohen Anzahl fehlgeschlagener Anmeldeversuche häufig blockiert. Dadurch sowie durch den fehlenden Kontext beim Erraten der Anmeldedaten sind Brute-Force-Angriffe weit weniger erfolgreich als Credential Stuffing.

Credential Stuffing-Angriffe gehen weitaus spezifischer vor, d. h. ein Bot probiert eine bestimmte Benutzer-ID und ein Kennwort auf vielen Webseiten aus. Da das Tool nur einzelne Zugriffsversuche ausführt, werden die Aktivitäten von herkömmlichen Sicherheitstools häufig nicht bemerkt.

Kennwortstärke

Da Brute-Force-Angriffe versuchen, mit gängigen und einfachen Kennwörtern Zugriff zu erlangen, lässt sich die Mehrzahl der Angriffe durch die Wahl eines einzigartigen, starken Kennworts für jede einzelne Website und jeden Service verhindern.

Bei einem Credential Stuffing-Angriff ist die Kennwortstärke nicht relevant, da die Angreifer ein kompromittiertes Konto als Ausgangspunkt für weitere Anmeldungen nutzen. Selbst das stärkste Kennwort kann eine Gefahr darstellen, wenn es für mehrere Konten verwendet wird.

Wie lässt sich Credential Stuffing erkennen und verhindern?

Um Credential Stuffing-Angriffe zu verhindern, müssen Unternehmen verstehen, dass bisherige Best Practices der IT-Sicherheit wie das Festlegen strenger Kennwortanforderungen und die Überwachung auf mehrfache Anmeldeversuche bei dieser Angriffsmethode nur bedingt helfen. Dennoch gibt es effektive Maßnahmen, die Credential Stuffing-Angriffe verhindern und ihre Folgen minimieren können:

Verwenden von Multifaktor-Authentifizierung (MFA)

Durch Multifaktor-Authentifizierung (MFA) werden alle Benutzer gezwungen, ihre Identität mit mehr als einer Methode zu authentifizieren. Dazu gehören beispielsweise eine Kombination herkömmlicher Anmeldedaten, Sicherheitstoken per SMS bzw. Authentifizierungstool oder eine biometrische Verifizierung. Unternehmen, die MFA nutzen, sind vor Credential Stuffing-Angriffen deutlich besser geschützt, da die Angreifer in der Regel nur über die Anmeldedaten verfügen, die ohne einen zweiten Authentifizierungsfaktor meist nutzlos sind.

Implementieren von IT-Hygiene

Ein IT-Hygiene-Tool wie CrowdStrike Falcon Discover™ bietet einen Überblick über die Nutzung von Anmeldedaten im Unternehmen, um potenziell schädliche Administratoraktivitäten zu erkennen. Mithilfe der Kontenüberwachungsfunktion kann das Sicherheitsteam nach Konten suchen, die die Angreifer angelegt haben, um langfristigen Zugang zu erhalten. Die Funktion trägt zudem dazu bei, dass Kennwörter regelmäßig geändert werden, damit gestohlene Anmeldedaten nur zeitlich begrenzt einen Nutzen haben.

Hinzufügen von proaktiver Bedrohungssuche

Echte proaktive Bedrohungssuchen, zum Beispiel durch das CrowdStrike Falcon OverWatch™-Team, ermöglichen die Rund-um-die-Uhr-Suche nach unbekannten und verborgenen Angriffen, die gestohlene Anmeldedaten verwenden und sich als legitime Benutzer tarnen. Solche Angriffsarten werden von standardmäßigen Sicherheitsmaßnahmen mitunter übersehen. Das OverWatch-Team nutzt die im täglichen Kampf gegen hochentwickelte hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) gewonnenen Erkenntnisse, um jeden Tag Millionen subtiler Spuren und schädlicher Aktivitäten zu untersuchen und Kunden bei Bedarf zu warnen.

Sensibilisieren Ihrer Mitarbeiter für die Risiken schwacher Kennwörter

Credential Stuffing-Angriffe können in nahezu jedem Fall zu einer Person zurückverfolgt werden, die dasselbe Kennwort für mehrere Services verwendet. Auch wenn der Benutzer ein starkes Kennwort gewählt hat, besteht dennoch die Gefahr einer Kompromittierung, wenn die Anmeldedaten für mehrere Konten genutzt werden. Sensibilisieren Sie Ihre Benutzer dafür, dass es wichtig ist, Kennwörter nicht mehrfach zu verwenden sowie andere Best Practices für die Wahl starker, einzigartiger Kennwörter zu befolgen. Stellen Sie ein Kennwortverwaltungstool bereit, damit Benutzer nicht auf Kennwörter zurückgreifen, die sie sich leicht merken können. Verwenden Sie ein Erkennungstool, das unveränderte Standardkennwörter auf Geräten findet.