FBI verzeichnet drastischen Anstieg von Credential-Stuffing-Angriffen

Die Cyber-Abteilung des Federal Bureau of Investigations (FBI) hat eine Warnung an die Privatwirtschaft herausgegeben, in der sie auf einen Anstieg der Angriffe auf Zugangsdaten von Finanzdienstleistern hinweist.

Milliarden von Zugangsdaten, die im Dark Web verfügbar sind, machen es Cyberkriminellen leichter, Angriffe zum Ausfüllen von Zugangsdaten zu starten. Wie aus dem FBI-Bericht hervorgeht, zielen Angriffe dieser Art in der Regel auf Anwendungsprogrammierschnittstellen (API) ab, auf die sich Finanzdienstleister für die Entwicklung von Anwendungen verlassen. Wie in den alten Zeiten werden Finanzdienstleister gezielt anvisiert, da dort das Geld ist.

Das FBI weist außerdem darauf hin, dass Cyberkriminelle auf die Tatsache zählen, dass häufig dasselbe Passwort für mehrere Konten und Anwendungen verwendet wird.

Diese von Botnets lancierten Angriffe, die hauptsächlich von Gruppen von Cyberkriminellen kontrolliert werden, basieren im Wesentlichen auf roher Gewalt. Der FBI-Bericht zeigt ein Beispiel dafür, wie im letzten Juli ein mittelständigen US-Finanzinstituts berichtete, dass seine Online-Banking-Plattform eine „unaufhörliche Flut“ von Anmeldeversuchen mit verschiedenen Paaren von Zugangsdaten erlebt hat Der Bericht stellt außerdem fest, dass nicht identifizierte Akteure zwischen Januar und August 2020 auch Aggregationssoftware verwendeten, um von ihnen kontrollierte Konten mit Kundenkonten desselben Instituts zu verknüpfen. Die Folge waren betrügerische Scheckabhebungen und elektronische Überweisungen in Höhe von über 3,5 Millionen USD.

Das Füllen von Zugangsdaten ist glücklicherweise eine Art von Angriff, der in der Regel niedrige Erfolgsraten hat. Da Botnetze jedoch weiter zunehmen, sinken die Kosten für das Starten von Angriffen in großem Maßstab, so dass Cybersecurityteams mit mehr Angriffswellen rechnen sollten, die diesen Bedrohungsvektor nutzen.

Zu den Empfehlungen der Cyber-Abteilung des FBI zur Minderung dieser Angriffe gehören:

• Warnen Sie Kunden und Mitarbeiter, sich vor diesen Angriffen in Acht zu nehmen, und überwachen Sie Konten aktiv auf unbefugten Zugriff, unerwartete Änderungen und anomale Aktivität.


• Legen Sie Kunden und Mitarbeitern ans Herz, eindeutige Passwörter einzurichten, die nicht in Verbindung mit anderen Konten verwendet werden, und ihre Passwörter regelmäßig zu ändern.


• Bitten Sie Ihre Kunden im Falle eines kompromittierten Kontos oder eines Betrugsfalls, ihre Benutzernamen und Passwörter zu ändern.


• Überprüfen Sie Datenbanken mit bekannten entwendeten Benutzernamen/Passwörtern auf eventuelle Zugangsdaten Ihrer Kunden.


• Passen Sie Ihre Onlinebanking-Anmeldeseite dahingehend an, dass keine Hinweise zur Gültigkeit von Kombinationen aus Benutzernamen und Passwort angezeigt werden. Programmieren Sie zu diesem Zweck unabhängig davon, ob sowohl der Benutzername als auch das Passwort oder lediglich das Passwort falsch eingegeben werden, eine einheitliche Fehlermeldung und Reaktionszeit.


• Definieren Sie Unternehmensrichtlinien zur Kontaktaufnahme mit Kontoinhabern, um etwaige Änderungen an bestehenden Kontoinformationen zu überprüfen.


• Richten Sie eine Multi-Faktor-Authentifizierung (MFA) für das Anlegen und Aktualisieren von Kontoinformationen an, insbesondere für Bank-, Versicherungs- und Handelskonten sowie für den Erstzugang zu Konten im Rahmen von Finanzaggregationsdiensten.


• Verwenden Sie Tools zur Erkennung von Anomalien, die eine ungewöhnliche Zunahme des Datenverkehrs und fehlgeschlagene Authentifizierungsversuche melden.

Das Füllen von Zugangsdaten ist die natürliche Folge der Millionen von Phishing-Angriffen, die sowohl gegen Einzelpersonen als auch ganze Organisationen gestartet wurden. All diese gestohlenen Zugangsdaten werden zum Treibstoff, der es ermöglicht, Zugangsdatenangriffe auf solchen Maßstäben zu starten, die nicht weniger als beispiellos sind. Versierte Cybersecurityteams finden Möglichkeiten, Endbenutzer dazu zu bewegen, ihre Passwörter regelmäßig zu ändern. Manchmal ist das Beste, was passieren kann, wenn ein Endbenutzer sein Passwort vergisst, weil es ihn zwingt, es zu ändern.

Leider lag ein Großteil dieser Schwerpunkte darauf, Endbenutzer zu starken Passwörtern zu ermutigen, von denen viele immer noch im Dark Web landen. Den meisten Organisationen ginge es vermutlich besser, wenn sie einfach von den Endbenutzern verlangen würden, ihre Passwörter nach einigen Monaten zu ändern, ohne Wenn und Aber. Immerhin gibt es einen sehr guten Grund, warum das Militär routinemäßig die Passwort-Herausforderungen ändert, auf die man sich zur Sicherung von Stützpunkten stützt.

Natürlich gab es eine Zeit, in der Endbenutzer sich diesem Vorschlag widersetzen konnten. Da jedoch immer mehr Endbenutzern bewusst wird, wie viele ihrer Passwörter im Dark Web sind, sollte dieser Widerstand hoffentlich abnehmen, vor allem, wenn die Aktualisierung dieser Passwörter als Teil einer natürlichen Erweiterung eines digitalen Geschäftsprozesses erfolgt.

Es kann ein Tag kommen, an dem Passwörter veraltet sind. In der Zwischenzeit bleibt das Passwort quasi die erste und letzte Verteidigungslinie.