Dominiert das Credential Stuffing 2019 die Bedrohungslandschaft?

Schlagzeilenschreiber lieben Datenschutzverletzungen. Wie letzten Monat erklärt, stellen sie Hacker gegen Sicherheitsexperten in einem Kampf zwischen Gut und Böse, der eine großartige Geschichte ergibt. Doch die Bedrohungslandschaft umfasst weit mehr als nur Sicherheitsverletzungen. Zunehmend beobachten wir eine völlig neue Kategorie von Folgeangriffen, bei denen die kompromittierten Anmeldedaten verwendet werden, die derzeit millionenfach das Dark Web überschwemmen.

Credential-Stuffing steht an erster Stelle, und IT-Führungskräfte sollten besorgt sein. Schätzungen zufolge kostet es allein US-Firmen jährlich über 5 Milliarden US-Dollar und hat in diesem Jahr bereits einige namhafte Marken betroffen, darunter Nest, Dunkin’ Donuts, Dailymotion und OkCupid.

Brutal Account Takeover

Credential-Stuffing ist eine Art Brute-Force-Angriff, bei dem automatisierte Tools verwendet werden, um große Mengen gestohlener Anmeldedaten gleichzeitig auf mehreren Websites auszuprobieren, bis eine funktioniert. Dies basiert auf der Tatsache, dass viele Organisationen Kunden und Mitarbeitern weiterhin Passwörter als alleinige Authentifizierungsmethode erlauben und dass Nutzer aufgrund der Vielzahl von Passwörtern dazu neigen, dieselben Zugangsdaten für mehrere Websites und Konten zu verwenden. Ein Unternehmen schätzt, dass ein durchschnittlicher Mitarbeiter heutzutage über 190 Passwörter verwalten muss.

Das Endziel ist es, Konten zu knacken, unabhängig davon, ob sie von externen Kunden oder Unternehmensmitarbeitern genutzt werden. In einem B2C-Szenario können die gehackten Konten eine lukrative Quelle für Persönlich identifizierbare Informationen (PII) sein, die im Darknet verkauft werden können. Je nach Unternehmen könnten sie auch im cyberkriminellen Untergrund verkauft werden, um den Käufern kostenlose Fahrten mit Mitfahrdiensten, Streaming-Inhalte und mehr zu bieten. Einige Konten bieten Flugmeilen, Hotelgutscheine und andere Treueguthaben, die ebenfalls weiterverkauft werden könnten. Und es versteht sich von selbst, dass der Zugang zu einem Bank- oder Finanzdienstleistungskonto noch lukrativer sein könnte.

Einem Bericht zufolge ist der Einzelhandel weltweit der am stärksten betroffene Sektor mit 10 Milliarden registrierten Versuchen von Credential-Stuffing zwischen Mai und Dezember 2018. Allerdings sind auch andere Branchen betroffen, darunter Streaming-Medien (8,1 Mrd. Versuche), Medien und Unterhaltung (3,5 Mrd.), Fertigung (1,3 Mrd.) und Finanzdienstleistungen (1,1 Mrd.). Es könnte für die betroffenen Organisationen verlockend sein geltend zu machen, dass es nicht ihre Schuld sei – der Grund für diese Angriffe liegt darin, dass die Kunden ihre Konten nicht ordnungsgemäß mit einzigartigen Passwörtern sichern. Aber versuchen Sie, das einem Kunden zu erklären. Letztendlich steht der Ruf Ihres Unternehmens auf dem Spiel.

Gefährdete Mitarbeiter

Das ist jedoch nicht das Ende der Geschichte. Credential-Stuffing-Angriffe könnten ebenfalls ein erhebliches Risiko für die Unternehmenssicherheit darstellen. Warum? Da Mitarbeiter manchmal externe Konten wie LinkedIn mit ihrer geschäftlichen E-Mail-Adresse und ihrem geschäftlichen Login registrieren. Das ist zunächst unproblematisch – bis diese Anmeldedaten durch die betroffene Drittanbieter-Website kompromittiert werden. Das verschafft Hackern eine goldene Gelegenheit, Unternehmenskonten zu übernehmen.

Von dort aus können sie äußerst überzeugende Spear-Phishing-E-Mails an privilegierte Kontoinhaber senden, möglicherweise mit dem Ziel, in Unternehmensdatenspeicher einzudringen. Es bietet sogar die Möglichkeit, darauf basierende Business Email Compromise (BEC)-Angriffe zu starten. Da solche Angriffe von einer legitimen, vertrauenswürdigen Quelle ausgehen, sind sie sehr schwer zu erkennen und zu stoppen.

Milliarden von Problemen

Die Quintessenz ist, dass dieses Problem nicht so bald verschwinden wird. Ein Unternehmen registrierte allein zwischen Mai und Dezember 2018 fast 28 Milliarden Credential-Stuffing-Versuche. Automatisierte Tools werden immer ausgefeilter und ermöglichen es Angreifern, nicht nur bestehende Konten zu knacken, sondern auch mit gestohlenen persönlichen Informationen neue Konten im Namen des Opfers zu eröffnen.

In der Zwischenzeit strömen kompromittierte Daten weiterhin in die Untergrundforen, die von den Black Hats besucht werden. Sogenannte „Combo-Listen“, die Zugangsdaten aus verschiedenen vorherigen Datenlecks bündeln, bieten eine gebrauchsfertige Quelle für solche Kampagnen. Eine kürzlich enthüllte hochkarätige Sammlung soll über acht Milliarden Anmeldedaten enthalten. Die Erfolgsquote für Credential-Stuffing-Kampagnen liegt oft nicht über 1 %, aber bei dieser Menge an Passwörtern muss sie auch nicht höher sein.

Was können Sie tun?

Natürlich ist Credential-Stuffing nicht die einzige Möglichkeit, Benutzerkonten zu kompromittieren. Organisationen müssen sich auch vor Phishing, Passwort-Spraying und anderen Techniken in Acht nehmen. Es bleibt jedoch eine ernsthafte Bedrohung für das finanzielle Ergebnis und die Reputation des Unternehmens, die dringend angegangen werden muss. Das Problem ist, zu wissen, was zu tun ist. Für externe Kunden zögern Organisationen verständlicherweise, die Multi-Faktor-Authentifizierung (MFA) vorzuschreiben, da dies den Anmeldeprozess zu sehr erschweren könnte. Jedoch könnte die kontextbezogene MFA eine Option sein, da sie nur dann nach einem zweiten Faktor fragt, wenn ein hohes Risiko besteht.

Wenn es um Unternehmenskonten geht, gibt es mehr Optionen. Es sollten klare Richtlinien erstellt werden, die die Nutzung von geschäftlichen E-Mail-Adressen oder Log-ins zur Registrierung bei Drittanbietern strikt verbieten. Unternehmen sollten Passwörter als alleinige Authentifizierungsmethode abschaffen und die Sicherheit durch Multi-Faktor-Authentifizierung (MFA) erhöhen. Eine bessere Login-Sicherheit könnte zudem mit KI-gestützten Tools kombiniert werden, die verdächtige Login-Versuche und interne E-Mail-Aktivitäten erkennen, die möglicherweise auf ein kompromittiertes Konto hinweisen.

Im Allgemeinen müssen Unternehmen besser darin werden, festzustellen, wenn sie gehackt wurden. Die Dwell Time in EMEA beträgt inakzeptable 177 Tage, wobei ein Anbieter behauptet, dass es bis zu 15 Monate dauert, bis Unternehmen einen groß angelegten Diebstahl von Zugangsdaten bemerken. Wenn wir in diesem Bereich Fortschritte machen, könnten Log-ins zurückgesetzt werden, bevor die gestohlenen Zugangsdaten überhaupt auf Handelsforen im Darknet landen.

 

Ein neuer Bericht enthüllt Details zu Spear-Phishing-Angriffen, einschließlich der neuesten Taktiken von Cyberkriminellen und der besten Praktiken zum Schutz Ihres Unternehmens.

Holen Sie sich jetzt Ihr kostenloses Exemplar des Sonderberichts!