:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Auch Hacker denken ökonomisch Credential Stuffing bekämpfen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Überlegungen zum Kosten-Nutzen-Faktor treiben auch Cyberkriminelle um. Sie bevorzugen daher Angriffe, die weit weniger kosten, als sie an Ertrag einbringen. Credential Stuffing, bei dem gestohlene Anmeldeinformationen aus einem Dienst eingesetzt werden, um weitere Services zu knacken, entwickeln sich daher zu einer immer beliebteren Taktik unter Online-Angreifern.
Wollen Cyberkriminelle einen größtmöglichen Nutzen generieren, müssen sie Systeme entwickeln, die mehr Geld einbringen, als die Attacken kosten. Zwei Schlüsselfaktoren beeinflussen diese Kalkulation: die Kosten für den Betrieb und die sich verändernde Sicherheitslandschaft.
Entsprechend hat sich Credential Stuffing zu einer zunehmend verbreiteten Methode der Online-Kriminalität entwickelt. Eine Studie von F5 Labs und Shape Security hat kürzlich ergeben, dass sich die Zahl der Vorfälle mit manipulierten Zugangsdaten zwischen 2016 und 2020 fast verdoppelt hat.
Viele auf einen Streich
Bei Credential Stuffing erbeuten Hacker Benutzernamen und Passwörter zu extrem niedrigen Preisen oder kostenlos aus leicht zugänglichen Quellen. Mit Software automatisieren sie den Anmeldevorgang für Millionen von Nutzerkonten auf Hunderten von Websites. Die Methode zielt darauf ab, dass die Nutzer beispielsweise ihr Facebook-Passwort gleichzeitig als Login für das Konto des Internet-Service-Providers oder sogar für das Bankkonto verwenden. Dabei verteilen sie den Datenverkehr global, um keinen Verdacht zu erregen. Zudem können Hacker auch grundlegende automatisierte Verteidigungsmaßnahmen wie den Completely Automated Public Turing (CAPTCHA)-Test aushebeln, indem sie CAPTCHA-lösende Plugins oder Dienste auslagern.
Shape Security, ein Spezialisten-Team von F5, welches sich mit der Bekämpfung von Online- und Internetbetrug beschäftigt, schätzt, dass 100.000 Kontoübernahmeversuche etwa 200 US-Dollar kosten, einschließlich der erforderlichen Software, Netzwerk-Proxys und gestohlenen Anmeldedaten. Die Erfolgsquote liegt typischerweise zwischen 0,2 und 2 Prozent. Erfolgreiche Übernahmen werden dann für 2 bis 150 US-Dollar verkauft. Es ergibt sich eine finanzielle Rendite zwischen 200 und 300.000 Dollar oder mehr.
Abwehrstrategie ändern
Leider konzentrieren sich viele Unternehmen immer noch stark auf die Abwehr von Bot-Attacken, indem sie IP-Adressen oder User-Agent-Strings blockieren. Stattdessen sollte der Schwerpunkt darauf liegen, den Angreifern den Anreiz zu nehmen, ihre digitalen Objekte anzugreifen.
Für Unternehmen bedeutet dies, dass sie ihre Verteidigungsmaßnahmen soweit verbessern müssen, dass der Angriff für Hacker zu kostspielig wird.
Die beste Methode besteht darin, verschiedene Maßnahmen zu ergreifen, die Betrüger dazu zwingen, die kostenintensiven Phasen ihrer Angriffe zu beenden. Wenn dies zu oft geschieht, kippt die Kosten-Nutzen-Analyse zu ihren Ungunsten und die Ausgaben überwiegen. David Bianco stellte 2013 sein Konzept „Pyramid of Pain“ vor. Es kommt zum Tragen, wenn es darum geht, Credential Stuffing-Angriffe mit langfristiger Wirksamkeit zu entschärfen. Das Katz-und-Maus-Spiel mit IP-Adressen und User-Agent-Strings, die sich am unteren Ende der Pyramide befinden, ist sinnlos. Es ist besser, sich auf die höheren Stufen der Pyramide zu konzentrieren und die Tools und TTPs (Taktiken, Techniken und Verfahren) der Betrüger zu entschärfen. Mit anderen Worten: Unternehmen sollten ihren Gegner kontinuierlich frustrieren und ihn so dazu zwingen, das Feld zu räumen.
Die Kosten kennen
Dazu müssen Unternehmen feststellen, wieviel es tatsächlich kostet, ihre Web- und Mobil-Ressourcen anzugreifen. Wenn sie nicht wissen, wie viel es kostet, wissen Sie nicht, welche Art von Hürde sie einziehen müssen. Sobald Sie das getan haben, ist es an der Zeit, einen Drei-Punkte-Plan aufzustellen.
1. Schwachstellen beheben: Zunächst sollten Unternehmen die deutlichsten Schwachstellen beseitigen, indem sie ihr Netzwerk überprüfen. Auf diese Weise entsteht eine Mindestbarriere, die Angreifer überwinden müssen. So gilt es zum Beispiel, Authentifizierungsseiten für Webanwendungen zu analysieren und sicherzustellen, keine Spuren zu hinterlassen, die für Betrüger hilfreich sein könnten. Seiten zum Zurücksetzen von Passwörtern sind hier ein gängiges Beispiel. Aussagen wie „Tut mir leid, dieses Konto existiert nicht, bitte versuchen Sie es erneut“ helfen Betrügern tatsächlich. Sie teilen ihnen mit, welche Konten auf der Seite gültig sind und welche nicht. Das steigert Genauigkeit und Effizienz von nachfolgenden Credential Stuffing-Angriffen. Eine bessere Antwort wäre: „Wir haben Ihre Anfrage zum Zurücksetzen des Passworts erhalten. Wenn dieses Konto existiert, wird eine E-Mail zum Zurücksetzen des Passworts an Sie gesendet“.
2. Penetrationstests: Als Nächstes gilt es, Penetrationstests für die Web- und Mobile-Apps des Unternehmens durchzuführen, um zu verstehen, wie leicht oder schwer es ist, diese zu kompromittieren. Dieser Prozess sollte sich an Beweisen orientieren und nicht am Bauchgefühl. Das wird dabei helfen, einen Werkzeugkasten für Verteidigungsmaßnahmen aufzubauen, der wahrscheinliche Versuche widerspiegelt, die Sicherheitsmaßnahmen zu überwinden.
3. Schritt halten: Die Werkzeuge, die Kriminellen zur Verfügung stehen, werden allerdings täglich besser. Der dritte Schritt besteht also darin, Sicherheitskontrollen regelmäßig zu aktualisieren und zu verbessern, um mit der sich ständig weiterentwickelnden Risikolandschaft Schritt zu halten. Dies kann beinhalten, dass Sicherheitsanalysten (intern oder vertraglich) über die neuesten Angriffsvektoren und Tools informiert sein sollten, die im Dark Web und in Betrugsforen diskutiert werden.
Credential Stuffing ist kostengünstig und einfach, so dass es für Betrüger, die damit jedes Jahr Millionen erbeuten, eine wichtige Angriffstaktik ist. Unternehmen sollten es den Kriminellen an dieser Stelle nicht zu leicht machen – und sich entsprechend aufstellen.
Über den Autor: Stephan Schulz ist als Senior Solutions Engineer – Security bei F5 Networks in der Region Deutschland, Österreich und Schweiz tätig und berät Endkunden sowie Fachhandelspartner aus technischer Sicht. Stephan Schulz bringt mehr als 20 Jahre Erfahrung aus den verschiedensten Bereichen der IT mit, wobei sein Hauptfokus in den Bereichen Applikations- und IT-Sicherheit liegt.
(ID:47547667)
:quality(80)/images.vogel.de/vogelonline/bdb/1881700/1881745/original.jpg "APIs sind insbesondere für bestimmte Angriffstypen anfällig. Keine davon sind neu. Auf Grund fehlender Maßnahmen sind sie häufig sehr effektiv. (Sergey Nivens - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935900/1935901/original.jpg "Wir ziehen Bilanz von REvil, einer der bis zu ihrer Zerschlagung erfolgreichsten Ransomware-as-a-Service-Kampagnen. (Gorodenkoff - stock.adobe.com)")