Seite wählen
Finanzdienste im Visier: Cyberkriminelle nutzen vermehrt Credential Stuffing, um gezielt die Konten von Banking- oder Payment-Anbieter zu kapern. Hier fallen die Erlöse im Darknet am höchsten aus. Für Banken, Zahlungsdienstleister und andere Unternehmen herrscht akuter Handlungsbedarf, um massive Schäden zu verhindern.
Credential Stuffing ist keinesfalls ein neuer Angriffsvektor. Der systematische Missbrauch von Zugangsdaten gehört seit Jahren zu den beliebtesten Methoden von Cyberkriminellen – und das aus gutem Grund. Credential-Stuffing-Attacken sind risikoarm, unkompliziert und relativ preiswert. Auf der Gegenseite fällt die Abwehr von solchen Angriffen um ein Vielfaches komplexer aus.

Wenn Fahrlässigkeit auf professionelle Betrüger trifft

Bei Credential Stuffing nutzen Angreifer die Bequemlichkeit der Anwender im Internet aus. Auch heute noch verwenden viele Nutzer ein und dasselbe Passwort für mehrere oder gar alle Dienste im Netz. Einer aktuellen Umfrage des Marktforschungsunternehmens Bilendi zufolge, nutzen 60 Prozent der Deutschen ihre Kennwörter mehrfach. Sind diese Logins einmal bekannt, ist es für Online-Betrüger ein Leichtes, systematisch lukrative Webdienste für ihre Zwecke zu missbrauchen.

Adresslisten – sogenannte Combolists – mit Millionen von Zugangsdaten werden auf professionellen Marktplätzen im Internet sowie im Darknet zu Schnäppchenpreisen gehandelt. Cyberkriminelle können sich hier nach Herzenslust bedienen. Die Marktplätze gleichen herkömmlichen E-Commerce-Plattformen, es gibt sogar Kundensupport mit 24/7-Service. Die Informationen aus den Combolists entstammen zumeist Datenlecks oder Hacker-Angriffen – für kontinuierlichen Nachschub ist in Zeiten der globalen Digitalisierung gesorgt.

Einmal mit der erforderlichen Datenmunition ausgerüstet, torpedieren automatisierte Angriffswerkzeuge die anvisierten Dienste. Innerhalb weniger Stunden können Millionen an Nutzer-Passwort-Kombinationen getestet werden. Treffer zu aktiven Accounts verkaufen Cyberkriminelle im Nachgang im Darknet an den Meistbietenden oder sie nutzen die Informationen für die eigenen Zwecke. Herkömmliche Sicherheitsvorkehrungen auf Online-Portalen, die etwa bei zu vielen fehlgeschlagene Anmeldeversuchen den betroffenen Account sperren, greifen hier nicht. Cyberkriminelle setzen für ihre Attacken Botnetze ein, die für automatisierte Anmeldeversuche unzähligen IP-Adressen und manipulierte Headerdaten verwenden. Für den angegriffenen Webdienst erscheint Credential Stuffing damit als valider Besucher-Traffic.

Finanzindustrie auf der Abschussliste

Prinzipiell sind von Credential Stuffing alle Branchen gleichermaßen betroffen. Zuletzt hatten es die Angreifer aber vermehrt auf Banken und Finanzdienstleister abgesehen. Dabei zielten die Cyberkriminellen sowohl auf die für Anwender konzipierten Anmeldeseiten im Internet als auch auf die dahinterliegenden Schnittstellen ab. Durch die zunehmende Nutzung von Online-Bezahldiensten, Mobile Payment und Banking as a Service (BaaS) wächst auch die Angriffsfläche für Attacken. Die Corona-Pandemie hat jüngst durch die Lockdown-Beschränkungen diese Tendenz noch verschärft – nie zuvor wurden so viele Waren über das Internet oder mobile Apps geordert und bezahlt.

Online-Betrüger in Goldgräberstimmung

Hinzu kommt, dass verifizierte Login-Daten zu Banken oder Bezahldiensten als lukrativste Ziele für Angreifer gelten. Laut einem RSA-Dokument werden keine Anmeldedaten im Darknet so hoch gehandelt wie Logins aus dem Finanzsektor. Bis zu 24 US-Dollar bezahlen Cyberkriminelle für gültige Zugangsdaten von Banking Accounts, immerhin 15,5 US-Dollar erhalten Betrüger für Logins zu Payment-Diensten. Der Betrag mag zunächst klein wirken. Da bei Credential Stuffing aber meist Datenbanken mit mehreren Millionen Logins zum Einsatz kommen und die Erfolgsquote bei rund 0,5 bis 3 Prozent liegt, stellt dieser Angriffsvektor eine wahre Goldgrube für Cyberkriminelle dar.

Immenser Schaden für betroffene Unternehmen

Auf der Gegenseite fällt der durch Credential Stuffing angerichtete Schaden ebenfalls immens aus. Funktioniert von 10.000 Login-Kombinationen nur eine einzige, ist der GAU für den attackierten Website-Betreiber bereits eingetreten. Im Online-Banking werden Gelder umgeleitet, im E-Commerce teure Einkäufe getätigt oder im ERP-System eines Unternehmens vertrauliche Vertragsdaten eingesehen.

Am stärksten betroffen sind natürlich Portale, über die hohe Transaktionen ablaufen. Besonders für Banken, Payment-Dienstleister, aber auch die Reisebranche können Angriffe mittels Credential Stuffing hohe wirtschaftliche Schäden nach sich ziehen. Das Ponemon Institute beziffert die durchschnittlichen Schäden durch diesen Angriffsvektor auf rund 6 Millionen US-Dollar pro Firma im Jahr. Zu den direkten Schäden kommen zudem weitere Belastungen:

Verdeckte Schäden durch Credential Stuffing

  • Ausfälle durch Downtime aufgrund massiver Serverbelastung während des Angriffs
  • Service- und Supportkosten für die betroffenen Konten
  • Vertrauensverlust bei Kunden / Abwanderung zur Konkurrenz
  • Langanhaltende Imageschäden

Schutz vor Credential Stuffing

Die Abwehr von Credential Stuffing fällt für die betroffenen Unternehmen äußerst komplex aus. Hier ist ein Spagat aus Sicherheit und Usability gefragt. Komplexe Vorgaben an die Passwortsicherheit sowie nachgelagerte Human Interaction Proof-Verfahren wie Captchas erhöhen zwar die Sicherheit von Portalen, sorgen bei einer zu aggressiven Konfiguration allerdings für Frust bei den Nutzern.

Außerdem stellen Captchas ebenfalls keine unüberwindbare Hürde für Angreifer dar. Längst haben sich spezialisierte Dienstanbieter im Internet etabliert, die mit einer Armee von Billiglöhnern die Captcha-Aufforderungen zu Spottpreisen lösen – selbst API-Anbindungen zu diesen fragwürdigen Services sind erhältlich. Damit genügt eine simple Erweiterung der bestehenden Angriffs-Tools, um Captchas zu umgehen.

Eine weitere und weitaus effektivere Möglichkeit der Bot-Bekämpfung stellt die systematische Reglementierung automatischer Anfragen dar. Hierbei werden bösartige Bots mittels spezieller Software eindeutig identifiziert und blockiert, während gutartige Anfragen – etwa von Suchmaschinen – weiterhin toleriert sind. Der Einsatz von Bot Management bietet zudem den Vorteil, dass sich die automatischen Zugriffe auf Webseiten granular steuern lassen. Beispielsweise bietet es sich an, gutartige Bots nur zu Traffic-armen Zeiten auf der Website zu akzeptieren. Auf diese Weise bleiben wertvolle Server-Ressourcen für Kunden frei. Da heutzutage der Traffic auf Webseiten rund zur Hälfte aus Bot-Anfragen besteht, steckt in der Verwaltung dieser Datenströme enormes Potenzial.

Myra schützt Ihre Webdienste zuverlässig vor Credential Stuffing

Myra Security bietet mit seiner Security as a Service-Plattform und der darin enthaltenen Web Application Security eine vorgelagerte Schutzinstanz, die Webanwendungen vollumfänglich vor Credential Stuffing bewahrt. Dank passivem Fingerprinting erkennt Myra eingehenden Bot-Traffic zuverlässig und eindeutig – unabhängig von IPs, ASN oder UserAgent. Die hochperformante Myra-Technologie überwacht, analysiert und filtert schädlichen Traffic, noch bevor virtuelle Angriffe einen realen Schaden anrichten.

Diesen Artikel teilen