Anzeige

Cybercrime

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu möglichst vielen Benutzerkonten verschaffen, um Angriffe oder betrügerische Aktivitäten durchzuführen.

So kann er Geld von Bankkonten abheben, große Einkäufe tätigen oder Identitäten stehlen, um neue, betrügerische Konten zu erstellen. Im schlimmsten Fall dringt er in das Netzwerk eines Unternehmens ein, stiehlt oder verschlüsselt sensible Daten und bringt ganze Systeme zum Absturz.

Inzwischen ist Credential Stuffing ähnlich weit verbreitet wie Phishing und Malware-Downloads. Daher müssen sich Nutzer und Unternehmen mit geeigneten Maßnahmen schützen.

Maßnahmen für Verbraucher

Verwenden Sie für jedes Konto ein anderes Passwort. Credential Stuffing basiert darauf, dass Anwender gleiche Passwörter für verschiedene Websites nutzen. Mit Hilfe eines Passwort-Managers lassen sich starke, einzigartige Passwörter für jedes Konto erstellen und verschlüsselt in einem Passwort-Tresor speichern. Für die Anmeldung an einem Konto braucht man sich dann nur noch ein Master-Passwort zu merken – der Passwort-Manager erledigt den Rest.

Ändern Sie Passwörter, wenn sie gestohlen wurden. Auf der Seite haveibeenpwnd.com können Nutzer sehen, wann und wo Anmeldedaten kompromittiert wurden. Wer den eigenen E-Mail-Alias auf einer Liste findet, sollte das Passwort für alle entsprechenden Konten ändern.

Löschen Sie ungenutzte, unnötige Konten. Dies verringert das Risiko, dass Angreifer alte, möglicherweise identische Anmeldedaten für aktuelle Konten nutzen.

Verwenden Sie, wann immer möglich, Multi-Faktor-Authentifizierung (MFA). Hier sind bei der Anmeldung zwei oder mehr Faktoren unterschiedlicher Art zu verwenden. Normalerweise handelt es sich dabei um etwas, das der Benutzer kennt wie ein Passwort, und etwas, das nur der Nutzer hat, wie eine TAN, die per Textnachricht gesendet wird. Es ist sehr unwahrscheinlich, dass Cyberkriminelle beide Faktoren besitzen.

Maßnahmen für Unternehmen

Implementierung einer Multi-Faktor-Authentifizierung (MFA). Unternehmen sollten MFA für so viele öffentlich zugängliche Websites wie möglich sowie für interne Ressourcen mit sensiblen und vertraulichen Daten verwenden. Dies ist zwar kein hundertprozentiger Schutz, aber eine weitere Hürde für Cyberkriminelle.

Einsatz einer intelligenten Anti-Bot-Lösung. Diese Systeme sammeln eine Vielzahl von Daten über den Benutzer und das Gerät. Mit Hilfe von maschinellem Lernen identifizieren sie bösartige Bots und blockieren diese. Zudem sollten Unternehmen ergänzende Maßnahmen zur Abwehr von Bots einsetzen:

CAPTCHAs helfen, Menschen von Bots zu unterscheiden. Obwohl einige Angriffstools CAPTCHAs lösen können, eignen sie sich zur Abwehr einfacher Attacken.

Fingerprints von Geräten und Browsern erstellen. Durch das Sammeln von Software- und Hardware-Informationen über Gerät und Browser lässt sich erkennen, ob derselbe Angreifer versucht, mehrere Kontoanmeldungen vorzunehmen. Dies weist auf Credential Stuffing hin.

IP-Ratenbegrenzung verwenden. Damit können Unternehmen IP-Adressen blockieren, die sich mit einer höheren Rate als einem voreingestellten Grenzwert anmelden wollen, etwa mehr als dreimal pro Sekunde. Da kein Mensch so schnell ist, handelt es sich wahrscheinlich um Bots.

Manche Credential-Stuffing-Angriffe werden mit Hilfe eines kleinen Bereichs von IP-Adressen durchgeführt. Wenn viele fehlgeschlagene Anmeldeversuche von diesen Adressen ausgehen, sind diese zu blockieren – falls es sich nicht um legitime Systeme handelt.

Website-Verkehr protokollieren und überwachen. Unternehmen sollten Anmeldeversuche mit einer Liste bekannter gestohlener Anmeldeinformationen abgleichen und bei Übereinstimmung blockieren. Zudem weist eine niedrige Erfolgsrate bei Anmeldeversuchen – etwa nur 10 bis 15 Prozent – auf Credential Stuffing hin. Auch ungewöhnlich hoher Datenverkehr oder kontinuierliche Login-Versuche außerhalb der normalen Geschäftszeiten können Hinweise darauf sein.

Richtlinien für starke Passwörter etablieren. Unternehmen sollten Mitarbeitende dabei unterstützen, sichere Passwörter zu erstellen. Hier können Passwort-Manager auf Unternehmensebene helfen. Gleichzeitig sind Lösungen einzusetzen, die einfache, häufig verwendete oder bereits gestohlene Passwörter verhindern.

Ausblick

Angesichts einer Rekordzahl von Menschen, die online arbeiten und leben, werden Credential-Stuffing-Angriffe weiter zunehmen. Doch mit relativ einfachen Mitteln können sich Nutzer und Unternehmen davor schützen.

 


Weitere Artikel

Ransomware

Ransomware-Bekämpfung mit Multi-Faktor-Authentifizierung

Da immer mehr Unternehmen mit Ransomware-Bedrohungen konfrontiert sind, müssen IT-Teams proaktive Schritte heranziehen, um Daten und Anwendungen zu schützen, die für Angreifer zu einem wertvollen Ziel geworden sind.
Cybersecurity

CrowdStrike und AWS bauen Partnerschaft aus

CrowdStrike kündigte heute neue Funktionen für die CrowdStrike Falcon-Plattform an, die mit den Diensten von Amazon Web Services (AWS) funktionieren und Kunden noch besser vor den wachsenden Ransomware-Bedrohungen und zunehmend komplexen Cyberangriffen…
EU Cyber Security

NIS 2 - ein Rückschritt für die Cybersicherheit der EU

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die aktuelle Cybersicherheitsituation als „angespannt bis kritisch‟ ein. „Informationssicherheit muss einen deutlich höheren Stellenwert einnehmen und zur Grundlage aller…
DevSecOps

DevSecOps in der IT-Sicherheit: Maßnahmen zur Steigerung des Sicherheitsbewusstseins

Durch die Digitalisierung der Gesellschaft gibt es heutzutage zahllose neue Produkte und Services. Schon jetzt bieten Smartphone-Apps und Web-Services Möglichkeiten, den Alltag zu vereinfachen und neue Dinge zu erleben. Grundlage dafür sind Nutzerdaten, mit…
Cybersecurity training

Anstieg in der Nachfrage für Sicherheitstrainings

Mit schnellen Schritten nähern wir uns Halloween. Wer sich gruseln möchte, muss allerdings nicht auf den Monatswechsel warten. Denn Oktober ist Cybersecurity Awareness Month, und ein Blick auf die steigende Zahl sowie die immer gravierenderen Folgen von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.