Lesezeit: .




Wenn Fahrlässigkeit auf professionelle Betrüger trifft
Bei Credential Stuffing nutzen Angreifer die Bequemlichkeit der Anwender im Internet aus. Auch heute noch verwenden viele Nutzer ein und dasselbe Passwort für mehrere oder gar alle Dienste im Netz. Einer aktuellen Umfrage des Marktforschungsunternehmens Bilendi zufolge, nutzen 60 Prozent der Deutschen ihre Kennwörter mehrfach. Sind diese Logins einmal bekannt, ist es für Online-Betrüger ein Leichtes, systematisch lukrative Webdienste für ihre Zwecke zu missbrauchen.
Einmal mit der erforderlichen Datenmunition ausgerüstet, torpedieren automatisierte Angriffswerkzeuge die anvisierten Dienste. Innerhalb weniger Stunden können Millionen an Nutzer-Passwort-Kombinationen getestet werden. Treffer zu aktiven Accounts verkaufen Cyberkriminelle im Nachgang im Darknet an den Meistbietenden oder sie nutzen die Informationen für die eigenen Zwecke. Herkömmliche Sicherheitsvorkehrungen auf Online-Portalen, die etwa bei zu vielen fehlgeschlagene Anmeldeversuchen den betroffenen Account sperren, greifen hier nicht. Cyberkriminelle setzen für ihre Attacken Botnetze ein, die für automatisierte Anmeldeversuche unzähligen IP-Adressen und manipulierte Headerdaten verwenden. Für den angegriffenen Webdienst erscheint Credential Stuffing damit als valider Besucher-Traffic.
Finanzindustrie auf der Abschussliste
Online-Betrüger in Goldgräberstimmung
Hinzu kommt, dass verifizierte Login-Daten zu Banken oder Bezahldiensten als lukrativste Ziele für Angreifer gelten. Laut einem RSA-Dokument werden keine Anmeldedaten im Darknet so hoch gehandelt wie Logins aus dem Finanzsektor. Bis zu 24 US-Dollar bezahlen Cyberkriminelle für gültige Zugangsdaten von Banking Accounts, immerhin 15,5 US-Dollar erhalten Betrüger für Logins zu Payment-Diensten. Der Betrag mag zunächst klein wirken. Da bei Credential Stuffing aber meist Datenbanken mit mehreren Millionen Logins zum Einsatz kommen und die Erfolgsquote bei rund 0,5 bis 3 Prozent liegt, stellt dieser Angriffsvektor eine wahre Goldgrube für Cyberkriminelle dar.



Immenser Schaden für betroffene Unternehmen
Auf der Gegenseite fällt der durch Credential Stuffing angerichtete Schaden ebenfalls immens aus. Funktioniert von 10.000 Login-Kombinationen nur eine einzige, ist der GAU für den attackierten Website-Betreiber bereits eingetreten. Im Online-Banking werden Gelder umgeleitet, im E-Commerce teure Einkäufe getätigt oder im ERP-System eines Unternehmens vertrauliche Vertragsdaten eingesehen.

Verdeckte Schäden durch Credential Stuffing
- Ausfälle durch Downtime aufgrund massiver Serverbelastung während des Angriffs
- Service- und Supportkosten für die betroffenen Konten
- Vertrauensverlust bei Kunden / Abwanderung zur Konkurrenz
- Langanhaltende Imageschäden
Schutz vor Credential Stuffing
Die Abwehr von Credential Stuffing fällt für die betroffenen Unternehmen äußerst komplex aus. Hier ist ein Spagat aus Sicherheit und Usability gefragt. Komplexe Vorgaben an die Passwortsicherheit sowie nachgelagerte Human Interaction Proof-Verfahren wie Captchas erhöhen zwar die Sicherheit von Portalen, sorgen bei einer zu aggressiven Konfiguration allerdings für Frust bei den Nutzern.


Außerdem stellen Captchas ebenfalls keine unüberwindbare Hürde für Angreifer dar. Längst haben sich spezialisierte Dienstanbieter im Internet etabliert, die mit einer Armee von Billiglöhnern die Captcha-Aufforderungen zu Spottpreisen lösen – selbst API-Anbindungen zu diesen fragwürdigen Services sind erhältlich. Damit genügt eine simple Erweiterung der bestehenden Angriffs-Tools, um Captchas zu umgehen.
Eine weitere und weitaus effektivere Möglichkeit der Bot-Bekämpfung stellt die systematische Reglementierung automatischer Anfragen dar. Hierbei werden bösartige Bots mittels spezieller Software eindeutig identifiziert und blockiert, während gutartige Anfragen – etwa von Suchmaschinen – weiterhin toleriert sind. Der Einsatz von Bot Management bietet zudem den Vorteil, dass sich die automatischen Zugriffe auf Webseiten granular steuern lassen. Beispielsweise bietet es sich an, gutartige Bots nur zu Traffic-armen Zeiten auf der Website zu akzeptieren. Auf diese Weise bleiben wertvolle Server-Ressourcen für Kunden frei. Da heutzutage der Traffic auf Webseiten rund zur Hälfte aus Bot-Anfragen besteht, steckt in der Verwaltung dieser Datenströme enormes Potenzial.
Myra schützt Ihre Webdienste zuverlässig vor Credential Stuffing
Myra Security bietet mit seiner Security as a Service-Plattform und der darin enthaltenen Web Application Security eine vorgelagerte Schutzinstanz, die Webanwendungen vollumfänglich vor Credential Stuffing bewahrt. Dank passivem Fingerprinting erkennt Myra eingehenden Bot-Traffic zuverlässig und eindeutig – unabhängig von IPs, ASN oder UserAgent. Die hochperformante Myra-Technologie überwacht, analysiert und filtert schädlichen Traffic, noch bevor virtuelle Angriffe einen realen Schaden anrichten.