FBI verzeichnet drastischen Anstieg von Credential-Stuffing-Angriffen

Druckfreundlich, PDF & E-Mail

Die Cyber-Abteilung des Federal Bureau of Investigations (FBI) hat eine Warnung für den Privatsektor herausgegeben, um auf einen Anstieg der Anzahl von Angriffen auf Finanzdienstleistungsunternehmen hinzuweisen.

Dank Milliarden von Zugangsdaten, die über das Dark Web eingesehen werden können, werden Credential-Stuffing-Angriffe für Cyberkriminelle zum leichten Spiel. Wie aus dem FBI-Bericht hervorgeht, nehmen Angriffe dieser Art in der Regel Programmierschnittstellen (APIs) ins Visier, die Finanzdienstleistungsunternehmen für die Erstellung von Anwendungen verwenden. Wie schon seit jeher werden Finanzdienstleistungsunternehmen Opfer zahlreicher Angriffe, da sich hier potenziell hohe Geldsummen ergattern lassen.

Das FBI weist außerdem darauf hin, dass Cyberkriminelle sich die Tatsache zunutze machen, dass häufig das gleiche Passwort für mehrere Konten und Anwendungen verwendet wird.

Diese über Botnets lancierte Bedrohungen, die hauptsächlich von cyberkriminellen Organisationen ausgehen, lassen sich im Wesentlichen als Brute-Force-Angriffe bezeichnen. Im FBI-Bericht wird das Beispiel eines mittelständigen US-Finanzinstituts angeführt, das im vergangenen Juli von einer „unaufhörlichen Flut“ von Anmeldeversuchen unter Verwendung verschiedener Zugangsdaten im Rahmen seiner Onlinebanking-Plattform berichtete. Der Bericht erwähnt darüber hinaus, dass bisher unbekannte Akteure zwischen Januar und August 2020 Aggregationssoftware verwendeten, um von ihnen kontrollierte Konten mit Kundenkonten desselben Instituts zu verknüpfen. Die Folge waren betrügerische Scheckzahlungen und elektronische Überweisungen in Höhe von mehr als 3,5 Millionen USD.

Glücklicherweise handelt es sich bei Credential-Stuffing um eine Art von Angriff, die in der Regel eine eher geringe Erfolgsquote aufweist. Angesichts der steigenden Prävalenz von Botnets sinken jedoch die Kosten für groß angelegte Angriffe über diese Plattformen. Infolgedessen müssen Cybersicherheitsteams mit einer Zunahme von Angriffen dieser Art rechnen.

Zu den Empfehlungen der Cyber-Abteilung des FBI zur Abwehr solcher Angriffe gehören folgende Punkte:

  • Warnen Sie Kunden und Mitarbeiter, sich vor diesen Angriffen in Acht zu nehmen, und überwachen Sie Konten aktiv auf unbefugten Zugriff, unerwartete Änderungen und anomale Aktivität.
  • Legen Sie Kunden und Mitarbeitern ans Herz, eindeutige Passwörter einzurichten, die nicht in Verbindung mit anderen Konten verwendet werden, und ihre Passwörter regelmäßig zu ändern.
  • Bitten Sie Ihre Kunden im Falle eines kompromittierten Kontos oder eines Betrugsfalls, ihre Benutzernamen und Passwörter zu ändern.
  • Überprüfen Sie Datenbanken mit bekannten entwendeten Benutzernamen/Passwörtern auf eventuelle Zugangsdaten Ihrer Kunden.
  • Passen Sie Ihre Onlinebanking-Anmeldeseite dahingehend an, dass keine Hinweise zur Gültigkeit von Kombinationen aus Benutzernamen und Passwort angezeigt werden. Programmieren Sie zu diesem Zweck unabhängig davon, ob sowohl der Benutzername als auch das Passwort oder lediglich das Passwort falsch eingegeben werden, eine einheitliche Fehlermeldung und Reaktionszeit.
  • Definieren Sie Unternehmensrichtlinien zur Kontaktaufnahme mit Kontoinhabern, um etwaige Änderungen an bestehenden Kontoinformationen zu überprüfen.
  • Richten Sie eine Multi-Faktor-Authentifizierung (MFA) für das Anlegen und Aktualisieren von Kontoinformationen an, insbesondere für Bank-, Versicherungs- und Handelskonten sowie für den Erstzugang zu Konten im Rahmen von Finanzaggregationsdiensten.
  • Verwenden Sie Tools zur Erkennung von Anomalien, die eine ungewöhnliche Zunahme des Datenverkehrs und fehlgeschlagene Authentifizierungsversuche melden.

Credential-Stuffing ist die natürliche Folge der Millionen von Phishing-Angriffen, die in der Vergangenheit sowohl gegen Einzelpersonen als auch ganze Organisationen unternommen wurden. Diese Fülle an gestohlenen Zugangsdaten werden zum Treibstoff, der Credential-Stuffing-Angriffe in zuvor völlig ungeahntem Ausmaß ermöglicht. Versierte Cybersicherheitsteams sind bemüht, Endbenutzer dazu zu bewegen, ihre Passwörter regelmäßig zu ändern. Manchmal ist es ein regelrechter Segen, wenn ein Endanwender sein Passwort vergisst – so ist er gezwungen, ein neues einzurichten.

Leider lag der Fokus bisher weitgehend darauf, Endbenutzer zur Einrichtung sicherer Passwörter zu ermutigen. Viele dieser Passwörter tauchen früher oder später dennoch im Dark Web auf. Die meisten Organisationen täten vermutlich besser daran, das regelmäßige Aktualisieren des Passworts nach einigen Monaten für Endbenutzer erforderlich zu machen – ohne Wenn und Aber. Schließlich hat es einen sehr guten Grund, warum das Militär routinemäßig die Passwort-Anforderungen für die Sicherung von Militärbasen anpasst.

Es gab durchaus eine Zeit, in der ein solches Konzept bei Endanwendern auf Widerstand gestoßen wäre. Je mehr Endbenutzer sich jedoch bewusst werden, wie häufig Passwörter im Dark Web landen, umso mehr sollte dieser Widerstand – so zumindest die Hoffnung – abnehmen, insbesondere wenn die Aktualisierung dieser Passwörter im Rahmen einer natürlichen Weiterentwicklung in Richtung digitaler Geschäftsprozesse stattfindet.

Wer weiß: Vielleicht kommt irgendwann der Tag, an dem Passwörter der Geschichte angehören. In der Zwischenzeit bleibt das Passwort aber wohl oder übel die erste als auch letzte Verteidigungslinie.

Nach oben scrollen
Twittern
Teilen
Teilen