Auch Hacker denken ökonomisch Credential Stuffing bekämpfen

Autor / Redakteur: Stephan Schulz / Peter Schmitz

Überlegungen zum Kosten-Nutzen-Faktor treiben auch Cyberkriminelle um. Sie bevorzugen daher Angriffe, die weit weniger kosten, als sie an Ertrag einbringen. Credential Stuffing, bei dem gestohlene Anmeldeinformationen aus einem Dienst eingesetzt werden, um weitere Services zu knacken, entwickeln sich daher zu einer immer beliebteren Taktik unter Online-Angreifern.

Firmen zum Thema

Bei Credential Stuffing erbeuten Hacker Benutzernamen und Passwörter zu extrem niedrigen Preisen oder kostenlos aus leicht zugänglichen Quellen. Mit Software automatisieren sie den Anmeldevorgang für Millionen von Nutzerkonten auf Hunderten von Websites.
Bei Credential Stuffing erbeuten Hacker Benutzernamen und Passwörter zu extrem niedrigen Preisen oder kostenlos aus leicht zugänglichen Quellen. Mit Software automatisieren sie den Anmeldevorgang für Millionen von Nutzerkonten auf Hunderten von Websites.
(© sasun Bughdaryan - stock.adobe.com)

Wollen Cyberkriminelle einen größtmöglichen Nutzen generieren, müssen sie Systeme entwickeln, die mehr Geld einbringen, als die Attacken kosten. Zwei Schlüsselfaktoren beeinflussen diese Kalkulation: die Kosten für den Betrieb und die sich verändernde Sicherheitslandschaft.

Entsprechend hat sich Credential Stuffing zu einer zunehmend verbreiteten Methode der Online-Kriminalität entwickelt. Eine Studie von F5 Labs und Shape Security hat kürzlich ergeben, dass sich die Zahl der Vorfälle mit manipulierten Zugangsdaten zwischen 2016 und 2020 fast verdoppelt hat.

Viele auf einen Streich

Bei Credential Stuffing erbeuten Hacker Benutzernamen und Passwörter zu extrem niedrigen Preisen oder kostenlos aus leicht zugänglichen Quellen. Mit Software automatisieren sie den Anmeldevorgang für Millionen von Nutzerkonten auf Hunderten von Websites. Die Methode zielt darauf ab, dass die Nutzer beispielsweise ihr Facebook-Passwort gleichzeitig als Login für das Konto des Internet-Service-Providers oder sogar für das Bankkonto verwenden. Dabei verteilen sie den Datenverkehr global, um keinen Verdacht zu erregen. Zudem können Hacker auch grundlegende automatisierte Verteidigungsmaßnahmen wie den Completely Automated Public Turing (CAPTCHA)-Test aushebeln, indem sie CAPTCHA-lösende Plugins oder Dienste auslagern.

Shape Security, ein Spezialisten-Team von F5, welches sich mit der Bekämpfung von Online- und Internetbetrug beschäftigt, schätzt, dass 100.000 Kontoübernahmeversuche etwa 200 US-Dollar kosten, einschließlich der erforderlichen Software, Netzwerk-Proxys und gestohlenen Anmeldedaten. Die Erfolgsquote liegt typischerweise zwischen 0,2 und 2 Prozent. Erfolgreiche Übernahmen werden dann für 2 bis 150 US-Dollar verkauft. Es ergibt sich eine finanzielle Rendite zwischen 200 und 300.000 Dollar oder mehr.

Abwehrstrategie ändern

Leider konzentrieren sich viele Unternehmen immer noch stark auf die Abwehr von Bot-Attacken, indem sie IP-Adressen oder User-Agent-Strings blockieren. Stattdessen sollte der Schwerpunkt darauf liegen, den Angreifern den Anreiz zu nehmen, ihre digitalen Objekte anzugreifen.

Für Unternehmen bedeutet dies, dass sie ihre Verteidigungsmaßnahmen soweit verbessern müssen, dass der Angriff für Hacker zu kostspielig wird.

Die beste Methode besteht darin, verschiedene Maßnahmen zu ergreifen, die Betrüger dazu zwingen, die kostenintensiven Phasen ihrer Angriffe zu beenden. Wenn dies zu oft geschieht, kippt die Kosten-Nutzen-Analyse zu ihren Ungunsten und die Ausgaben überwiegen. David Bianco stellte 2013 sein Konzept „Pyramid of Pain“ vor. Es kommt zum Tragen, wenn es darum geht, Credential Stuffing-Angriffe mit langfristiger Wirksamkeit zu entschärfen. Das Katz-und-Maus-Spiel mit IP-Adressen und User-Agent-Strings, die sich am unteren Ende der Pyramide befinden, ist sinnlos. Es ist besser, sich auf die höheren Stufen der Pyramide zu konzentrieren und die Tools und TTPs (Taktiken, Techniken und Verfahren) der Betrüger zu entschärfen. Mit anderen Worten: Unternehmen sollten ihren Gegner kontinuierlich frustrieren und ihn so dazu zwingen, das Feld zu räumen.

Die Kosten kennen

Dazu müssen Unternehmen feststellen, wieviel es tatsächlich kostet, ihre Web- und Mobil-Ressourcen anzugreifen. Wenn sie nicht wissen, wie viel es kostet, wissen Sie nicht, welche Art von Hürde sie einziehen müssen. Sobald Sie das getan haben, ist es an der Zeit, einen Drei-Punkte-Plan aufzustellen.

1. Schwachstellen beheben: Zunächst sollten Unternehmen die deutlichsten Schwachstellen beseitigen, indem sie ihr Netzwerk überprüfen. Auf diese Weise entsteht eine Mindestbarriere, die Angreifer überwinden müssen. So gilt es zum Beispiel, Authentifizierungsseiten für Webanwendungen zu analysieren und sicherzustellen, keine Spuren zu hinterlassen, die für Betrüger hilfreich sein könnten. Seiten zum Zurücksetzen von Passwörtern sind hier ein gängiges Beispiel. Aussagen wie „Tut mir leid, dieses Konto existiert nicht, bitte versuchen Sie es erneut“ helfen Betrügern tatsächlich. Sie teilen ihnen mit, welche Konten auf der Seite gültig sind und welche nicht. Das steigert Genauigkeit und Effizienz von nachfolgenden Credential Stuffing-Angriffen. Eine bessere Antwort wäre: „Wir haben Ihre Anfrage zum Zurücksetzen des Passworts erhalten. Wenn dieses Konto existiert, wird eine E-Mail zum Zurücksetzen des Passworts an Sie gesendet“.

2. Penetrationstests: Als Nächstes gilt es, Penetrationstests für die Web- und Mobile-Apps des Unternehmens durchzuführen, um zu verstehen, wie leicht oder schwer es ist, diese zu kompromittieren. Dieser Prozess sollte sich an Beweisen orientieren und nicht am Bauchgefühl. Das wird dabei helfen, einen Werkzeugkasten für Verteidigungsmaßnahmen aufzubauen, der wahrscheinliche Versuche widerspiegelt, die Sicherheitsmaßnahmen zu überwinden.

3. Schritt halten: Die Werkzeuge, die Kriminellen zur Verfügung stehen, werden allerdings täglich besser. Der dritte Schritt besteht also darin, Sicherheitskontrollen regelmäßig zu aktualisieren und zu verbessern, um mit der sich ständig weiterentwickelnden Risikolandschaft Schritt zu halten. Dies kann beinhalten, dass Sicherheitsanalysten (intern oder vertraglich) über die neuesten Angriffsvektoren und Tools informiert sein sollten, die im Dark Web und in Betrugsforen diskutiert werden.

Credential Stuffing ist kostengünstig und einfach, so dass es für Betrüger, die damit jedes Jahr Millionen erbeuten, eine wichtige Angriffstaktik ist. Unternehmen sollten es den Kriminellen an dieser Stelle nicht zu leicht machen – und sich entsprechend aufstellen.

Über den Autor: Stephan Schulz ist als Senior Solutions Engineer – Security bei F5 Networks in der Region Deutschland, Österreich und Schweiz tätig und berät Endkunden sowie Fachhandelspartner aus technischer Sicht. Stephan Schulz bringt mehr als 20 Jahre Erfahrung aus den verschiedensten Bereichen der IT mit, wobei sein Hauptfokus in den Bereichen Applikations- und IT-Sicherheit liegt.

(ID:47547667)