Credential Stuffing
Identität im Netz schützen
Der Diebstahl von Usernamen und Passwörtern ist signifikant gestiegen. Kein Wunder: Die Angriffe sind leicht durchzuführen und äußerst lukrativ. Was sich dahinter verbirgt und was dagegen unternommen werden kann, erklärt Heidi Bleau von RSA Fraud & Risk Intelligence.
Automatisierung und künstliche Intelligenz versetzen Unternehmen in der Lage, auf der ganzen Welt neue Zielgruppen zu erreichen und ihre Produkte oder Dienstleistungen mit geringem Aufwand anzubieten. Das ist die gute Nachricht. Die schlechte Nachricht ist, dass der technologische Fortschritt auch Betrügern zugutekommt.
Jüngstes Beispiel ist die zunehmende Verbreitung des sogenannten „Credential Stuffing“, eine Angriffsform der Kategorie Brute-Force, bei dem Benutzeranmeldeinformationen durch Verletzung eines Systems gesichert werden. Anschließend wird versucht, diese Informationen bei anderen Systemen zu verwenden. So können Betrüger Zugang zu Nutzernamen und Passwörtern für einen bestimmten Online-Händler entwenden und versuchen, diese auf anderen Webseiten anzuwenden. Da laut Statista mehr als die Hälfte aller Deutschen dieselben Passwörter für verschiedene Online-Dienste nutzt, ist das Gefahrenpotenzial dementsprechend hoch einzuschätzen.
Auf die Masse kommt es an
Die Methode ist nicht neu, erfährt aber in den letzten Monaten und Jahren eine Renaissance. Credential Stuffing ist am effizientesten, je mehr Login-Daten in kürzester Zeit verglichen werden können. Im Jahr 2019 wurden Milliarden Datensätze gestohlen, darunter viele Benutzername-Passwort-E-Mail-Kombinationen, die als Login-Daten für mehrere Online-Dienste gleichzeitig dienten. So ist davon auszugehen, dass bis Ende 2019 jede vierte betrügerische Transaktion auf das sogenannte Credential Stuffing zurückzuführen war.
Dabei sind die zunehmenden Online-Anmeldungen und -Zahlungen nur ein Grund für den Anstieg des Credential Stuffing. Die Methode ist für Hacker zudem attraktiv, weil sich bereits bei einer vergleichsweise geringen Erfolgsquote Gewinner erzielen lassen. Automatisierte Tools – zum Beispiel „Sentry MBA-Toolkit“ – können Login-Daten zwar schnell mit zahlreichen Websites abgleichen, die typische Erfolgsrate liegt aber lediglich zwischen 0,5 und 3 Prozent. Das klingt auf den ersten Blick nicht sonderlich hoch. Für einen Hacker, der mit einer Million Benutzername-Passwort-E-Mail-Kombinationen arbeitet, zahlt es sich aber aus. Die gestohlenen Datensätze werden darüber hinaus häufig verkauft – direkt oder über Webshops.
Der Macht der Gewohnheit ein Ende setzen
Daten sind das Gold des 21. Jahrhunderts: Was kann nun also unternommen werden, um sie zu schützen? Da Credential Stuffing ausnutzt, dass der Mensch ein Gewohnheitstier ist, sollten User stets darauf achten, E-Mail-Adressen nicht als Benutzernamen zu verwenden. Stattdessen sollten individuelle Benutzernamen für jede Webseite erstellt werden.
Neben der Einrichtung einer Zwei-Faktor-Authentifizierung sollten Unternehmen außerdem in die Erkennung von Bot-Aktivitäten investieren. Obwohl sich menschliches Verhalten mittlerweile sehr gut imitiert lässt, kann eine KI-basierte Verhaltensanalyse dennoch dabei helfen, anomale Muster in Online-Interaktionen erkennen und so etwaige Risiken aufdecken. So weisen unter anderem fehlende Mausbewegungen oder ungewöhnliche Tippgeschwindigkeiten auf einen Bot hin.
Heidi Bleau ist Consultant bei RSA Fraud & Risk Intelligence.
Lesen Sie mehr zum Thema
