Credential Stuffing: Goldgrube für Cyberkriminelle

Wenn Fahrlässigkeit auf professionelle Betrüger trifft

Bei Credential Stuffing nutzen Angreifer die Bequemlichkeit der Anwender im Internet aus. Auch heute noch verwenden viele Nutzer ein und dasselbe Passwort für mehrere oder gar alle Dienste im Netz. Einer aktuellen Umfrage des Marktforschungsunternehmens Bilendi zufolge, nutzen 60 Prozent der Deutschen ihre Kennwörter mehrfach. Sind diese Logins einmal bekannt, ist es für Online-Betrüger ein Leichtes, systematisch lukrative Webdienste für ihre Zwecke zu missbrauchen.

Adresslisten – sogenannte Combolists – mit Millionen von Zugangsdaten werden auf professionellen Marktplätzen im Internet sowie im Darknet zu Schnäppchenpreisen gehandelt. Cyberkriminelle können sich hier nach Herzenslust bedienen. Die Marktplätze gleichen herkömmlichen E-Commerce-Plattformen, es gibt sogar Kundensupport mit 24/7-Service. Die Informationen aus den Combolists entstammen zumeist Datenlecks oder Hacker-Angriffen – für kontinuierlichen Nachschub ist in Zeiten der globalen Digitalisierung gesorgt.

Einmal mit der erforderlichen Datenmunition ausgerüstet, torpedieren automatisierte Angriffswerkzeuge die anvisierten Dienste. Innerhalb weniger Stunden können Millionen an Nutzer-Passwort-Kombinationen getestet werden. Treffer zu aktiven Accounts verkaufen Cyberkriminelle im Nachgang im Darknet an den Meistbietenden oder sie nutzen die Informationen für die eigenen Zwecke. Herkömmliche Sicherheitsvorkehrungen auf Online-Portalen, die etwa bei zu vielen fehlgeschlagene Anmeldeversuchen den betroffenen Account sperren, greifen hier nicht. Cyberkriminelle setzen für ihre Attacken Botnetze ein, die für automatisierte Anmeldeversuche unzähligen IP-Adressen und manipulierte Headerdaten verwenden. Für den angegriffenen Webdienst erscheint Credential Stuffing damit als valider Besucher-Traffic.

Finanzindustrie auf der Abschussliste

Prinzipiell sind von Credential Stuffing alle Branchen gleichermaßen betroffen. Zuletzt hatten es die Angreifer aber vermehrt auf Banken und Finanzdienstleister abgesehen. Dabei zielten die Cyberkriminellen sowohl auf die für Anwender konzipierten Anmeldeseiten im Internet als auch auf die dahinterliegenden Schnittstellen ab. Durch die zunehmende Nutzung von Online-Bezahldiensten, Mobile Payment und Banking as a Service (BaaS) wächst auch die Angriffsfläche für Attacken. Die Corona-Pandemie hat jüngst durch die Lockdown-Beschränkungen diese Tendenz noch verschärft – nie zuvor wurden so viele Waren über das Internet oder mobile Apps geordert und bezahlt.

Immenser Schaden für betroffene Unternehmen

Auf der Gegenseite fällt der durch Credential Stuffing angerichtete Schaden ebenfalls immens aus. Funktioniert von 10.000 Login-Kombinationen nur eine einzige, ist der GAU für den attackierten Website-Betreiber bereits eingetreten. Im Online-Banking werden Gelder umgeleitet, im E-Commerce teure Einkäufe getätigt oder im ERP-System eines Unternehmens vertrauliche Vertragsdaten eingesehen.

Am stärksten betroffen sind natürlich Portale, über die hohe Transaktionen ablaufen. Besonders für Banken, Payment-Dienstleister, aber auch die Reisebranche können Angriffe mittels Credential Stuffing hohe wirtschaftliche Schäden nach sich ziehen. Das Ponemon Institute beziffert die durchschnittlichen Schäden durch diesen Angriffsvektor auf rund 6 Millionen US-Dollar pro Firma im Jahr. Zu den direkten Schäden kommen zudem weitere Belastungen:

Verdeckte Schäden durch Credential Stuffing

• Ausfälle durch Downtime aufgrund massiver Serverbelastung während des Angriffs

• Service- und Supportkosten für die betroffenen Konten

• Vertrauensverlust bei Kunden / Abwanderung zur Konkurrenz

• Langanhaltende Imageschäden

Myra schützt Ihre Webdienste zuverlässig vor Credential Stuffing

Myra Security bietet mit seiner Security as a Service-Plattform und der darin enthaltenen Web Application Security eine vorgelagerte Schutzinstanz, die Webanwendungen vollumfänglich vor Credential Stuffing bewahrt. Dank passivem Fingerprinting erkennt Myra eingehenden Bot-Traffic zuverlässig und eindeutig – unabhängig von IPs, ASN oder UserAgent. Die hochperformante Myra-Technologie überwacht, analysiert und filtert schädlichen Traffic, noch bevor virtuelle Angriffe einen realen Schaden anrichten.