Wie Mitarbeiter zu Opfern von Credential-Stuffing-Angriffen werden

Credential-Stuffing-Angriffe, eine weit verbreitete Form von Brute-Force-Angriffen, sind extrem einfach durchzuführen und generieren laut dem neuen Bericht von Recorded Future massive Gewinne. Diese Angriffe verwenden Konto-Überprüfungs-Software, um Millionen von Anmeldeinformationen zu testen, die bei Datenschutzverletzungen von verschiedenen Online-Diensten gestohlen wurden. Dadurch haben die Angreifer eine automatisierte Zugriffmöglichkeit auf verschiedenen Websites. Die Autoren des Berichtes schätzen, dass eine Investition von 550 Dollar fast 20.000 Dollar als Bruttogewinn für den Angreifer generieren kann.

Typerweise verlassen sich die Angreifer auf die Gewohnheit der Internetnutzer, die immer das gleiche Passwort über mehrere Konten hinweg verwenden. Die Unachtsamkeit der meisten Internetnutzer gegenüber der Cybersicherheit stellt für Kriminelle nach wie vor eine einfache und lukrative Datenquelle dar. Der jüngste Data-Breach-Report von Verizon zeigt auf, dass bei 81 Prozent der Hacker-bezogenen Sicherheitsverstöße entweder gestohlene und/oder schwache Passwörter verwendet wurden. Vor nicht allzu langer Zeit erfuhr die IT-Sicherheitswelt von dem schockierenden „Collection #1“ von Troy Hunt, der eine umfassende illegale Datenbank im Dark-Web mit etwa 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter entdeckte. Diese Daten stammten aus früheren Datenschutzverletzungen und Sicherheitsvorfällen und wurden von mehreren Websites gesammelt. Diese sensiblen Informationen wurden in verschiedenen kriminellen Foren verbreitet, bevor sie von Hunt und seinem Team entdeckt wurden. Man kann sich nur vorstellen, wofür sie diese Informationen verwendet haben.

Bösartige Kampagnen wie Credential-Stuffing-Angriffe, sind in den letzten Jahren unter Cyber-Kriminellen sehr beliebt geworden. Der State of the internet: security – Credential Stuffing Attacks Bericht der Firma Akamai enthält die Angabe, dass zwischen Anfang Mai und Ende Juni 2018 über 8,35 Milliarden Versuche von Credential-Stuffing weltweit festgestellt wurden. Die USA war für 2,82 Milliarden Versuche verantwortlich, gefolgt von Russland mit 1,55 Milliarden Anmeldeversuchen. Die übrigen Länder der Top-10-Täter waren jeweils für zwischen 250 Millionen und 165 Millionen böswillige Anmeldeversuche verantwortlich. Diese Art von Angriff garantiert nicht immer einen hohen Gewinn für die meisten Angreifer, aber es ist ein kostengünstiger Angriff mit geringem Risiko.

Die Effizienz dieser Angriffe zog die Aufmerksamkeit anspruchsvollerer bösartiger Akteure auf sich, die Tools entwickelt haben, um benutzerdefinierte Konfigurationsdateien zu unterstützen. Die Software, mit denen der Angriff durchgeführt wird, sind oft billig. Ein Beispiel dafür ist Private-Keeper, die momentan die beliebteste Konto-Überprüfungs-Software im russischsprachigen Untergrund ist. Die meiste Software verkauft sich dort für unter 50 Dollar wie zum Beispiel SNIPR, und mehrere sind kostenlos, wie z.B. STORM, Black-Bullet und SentryMBA. Letztere unterstützt eine unbegrenzte Anzahl von benutzerdefinierten Plugins. Diese Plugins können gekauft, kostenlos bezogen oder von Benutzern selbst entwickelt werden. Die Angriffe sind in der Regel langsam, so dass keine Sicherheitswarnungen ausgelöst werden. Oder er lässt sich einfach als Massenangriff durchführen. Aber einige Angriffe treten oft als mehrere gleichzeitig stattfindende Attacken auf, wobei einzelne Bots gleichzeitig das System angreifen. Obwohl die Ziele solcher Angriffe zumeist Finanzdienstleiter, Einzelhändler oder Unternehmen der Medien- und Unterhaltungsindustrie sind, sah sich fast jede große Organisation mit einem Online-Shop in den letzten Jahren solchen Anmeldeangriffen ausgesetzt.

Um das Ausmaß und die Schwere dieser Angriffe weiter zu veranschaulichen, beobachtete Akamai den Fall von zwei Finanzdienstleitern in den USA. Dabei wurde festgestellt, dass größere Finanzdienstleiter eher große Angriffe erleiden, nämlich von über 350.000 Anmeldeversuchen an einem Nachmittag. Obwohl diese Firmen in der Regel mit hohen Besucherzahlen rechnen, war diese Zahl eine offensichtliche Abweichung. Unterdessen erhalten kleinere Finanzdienstleiter, wie die Kreditgenossenschaften in der Regel fast tausend normale Anmeldungen pro Stunde, aber während der Beobachtungszeit stiegen die versuchten Anmeldungen um das Zehnfache – über 8.000 versuchte bösartige Anmeldungen pro Stunde.

 

Fazit

Credential-Stuffing wird nicht oft von den meisten Unternehmen sehr ernsthaft genommen, bis ihr Sicherheitssystem gefährdet ist. Proaktiv zu sein, wenn es darum geht, ist der beste Weg, solche Angriffe zu verhindern. Um sich gegen diese Bedrohung zu schützen, empfiehlt Recorded Future den Benutzern, eine Multi-Faktor-Authentifizierung zu implementieren und einen Passwortmanager zu verwenden, um eindeutige Passwörter für jedes ihrer Konten zu generieren. Unternehmen können auch ein System von regelmäßigen Passwort-Resets einrichten. Zusätzlich zu diesen Bemühungen des Risikomanagements können Unternehmen auch ihre Konten in kompromittierten Kontenlisten von Have I Been Pwned oder anderen Bedrohungs-Nachrichtendiensten überprüfen, um festzustellen, ob sie übereinstimmen oder nicht. Benutzer, die gefährdete Anmeldeinformationen haben, können rechtzeitig benachrichtigt werden, um ihr Passwort umgehend zu ändern.

 

Stu Sjouwerman, CEO von KnowBe4

91% der erfolgreichen Datenschutzverletzungen begannen mit einem Spear-Phishing-Angriff. In vielen Fällen sind die Mitarbeiter die schwächste Schicht in der Netzwerksicherheit, da sie immer schwache Passwörter verwenden und oft für Phishing- und Social-Engineering-Angriffe wie Credential-Stuffing anfällig sind. Das New School Security Awareness-Training kann Mitarbeitern das notwendige Wissen vermitteln, um sich gegen diese Angriffe im beruflichen sowie privaten Leben zu verteidigen.

Regelmäßige automatisierte, simulierte Phishing-Tests verwandeln die Mitarbeiter von der schwächsten Sicherheitsschicht zu der stärksten Verteidigungslinie und der große Kapital in der Cybersicherheit des Unternehmens. Info: Beispiel von Recorded Future: https://www.recordedfuture.com/credential-stuffing-attacks/

Von Stu Sjouwerman, CEO bei KnowBe4