Anatomie des Angriffs – wie es funktioniert
Credential-Stuffing-Angriffe nutzen große Listen offengelegter Benutzername/Passwort-Paare. Bei einigen Datenverstößen führt die unsachgemäße Speicherung von Anmeldeinformationen dazu, dass die gesamte Passwortdatenbank durchgesickert ist. In anderen Fällen knacken Cyberkriminelle die Passwörter einiger Benutzer durch Passwort-Erraten-Angriffe. Credential-Stuffer können sich auch durch Phishing und ähnliche Angriffe Zugang zu Benutzernamen und Passwörtern verschaffen.
These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.
After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.
Credential Stuffing vs. Brute-Force-Angriffe
Brute-Force-Passwortangriffe sind ein allgemeiner Begriff, der einige verschiedene spezifische Angriffstechniken umfasst. Im Allgemeinen bedeutet ein Brute-Force-Angriff, dass der Angreifer einfach verschiedene Kombinationen für ein Passwort ausprobiert, bis etwas funktioniert.
Der Begriff Brute-Force-Angriff wird am häufigsten für einen Angriff verwendet, bei dem der Angreifer alle möglichen Optionen für ein Passwort ausprobiert. Beispielsweise könnte ein Brute-Force-Angriff auf ein achtstelliges Passwort aaaaaaaa, aaaaaaab, aaaaaaac usw. versuchen. Dieser Ansatz findet zwar am Ende garantiert das richtige Passwort, ist aber so langsam, dass er für ein sicheres Passwort nicht mehr durchführbar ist.
Credential Stuffing verfolgt einen anderen Ansatz zum Erraten des Passworts eines Benutzers. Anstatt alle möglichen Passwortkombinationen zu betrachten, konzentriert es sich auf diejenigen, von denen bekannt ist, dass sie von einer Person verwendet wurden, weil sie bei einem Verstoß aufgedeckt wurden. Dieser Ansatz zum Erraten von Passwörtern ist viel schneller als eine Brute-Force-Suche, geht jedoch davon aus, dass Passwörter auf mehreren Websites wiederverwendet werden. Da die meisten Menschen jedoch dasselbe Passwort für mehrere Websites verwenden , ist dies eine sichere Annahme.
So verhindern Sie Credential Stuffing
Credential Stuffing stellt ein ernstes Risiko sowohl für die persönliche als auch für die Unternehmenssicherheit dar. Ein erfolgreicher Credential-Stuffing-Angriff verschafft dem Angreifer Zugriff auf das Konto des Benutzers, das möglicherweise vertrauliche Informationen enthält, oder die Möglichkeit, im Namen des Benutzers Finanztransaktionen oder andere privilegierte Aktionen durchzuführen. Doch trotz der weithin bekannten Gefahr der Wiederverwendung von Passwörtern ändern die meisten Menschen ihr Passwortverhalten nicht.
Credential Stuffing kann auch ein Risiko für das Unternehmen darstellen, wenn Passwörter für private und geschäftliche Konten wiederverwendet werden. Unternehmen können verschiedene Schritte unternehmen, um das Risiko von Credential-Stuffing-Angriffen zu mindern, darunter:
- Mehrstufige Authentifizierung (MFA): Credential-Stuffing-Angriffe basieren auf der Fähigkeit des Angreifers, sich nur mit einem Benutzernamen und einem Passwort bei einem Konto anzumelden. Die Implementierung von MFA oder 2FA erschwert diese Angriffe, da der Angreifer zusätzlich einen Einmalcode benötigt, um sich erfolgreich anzumelden.
- CAPTCHA: Credential-Stuffing-Angriffe erfolgen in der Regel automatisiert. Durch die Implementierung von CAPTCHA auf Anmeldeseiten kann ein Teil dieses automatisierten Datenverkehrs daran gehindert werden, die Website zu erreichen und potenzielle Passwörter zu testen.
- Anti-Bot-Lösungen: Über CAPTCHA hinaus können Unternehmen auch Anti-Bot-Lösungen einsetzen, um den Credential-Stuffing-Verkehr zu blockieren. Diese Lösungen nutzen Verhaltensanomalien, um menschliche und automatisierte Besucher einer Website zu unterscheiden und verdächtigen Datenverkehr zu blockieren.
- Website Traffic Monitoring: A credential stuffing attack involves a massive volume of failed login attempts. Monitoring traffic to login pages may allow an organization to block or throttle these attacks.
- Überprüfung verletzter Anmeldeinformationen: Credential-Stuffing-Bots verwenden in der Regel Listen mit Anmeldeinformationen, die bei Datenschutzverletzungen offengelegt wurden. Das Überprüfen von Benutzerkennwörtern anhand von Listen schwacher Kennwörter oder von Diensten wie HaveIBeenPwned kann dabei helfen, festzustellen, ob das Kennwort eines Benutzers potenziell anfällig für Credential Stuffing ist.
Verhindern Sie Credential Stuffing mit Harmony Browse
Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:
- Sperrung der Wiederverwendung von Passwörtern: Wenn ein Mitarbeiter auf einer Website ein neues Passwort erstellt, prüft Harmony Browse, ob er dasselbe Passwort für andere Konten verwendet hat. Durch das Blockieren der Wiederverwendung von Passwörtern verringert Harmony Browse die Gefahr von Credential-Stuffing-Angriffen.
- Schutz von Benutzeranmeldeinformationen: Die bei Credential-Stuffing-Angriffen verwendeten Listen enthalten häufig Anmeldeinformationen, die durch Phishing-Angriffe gestohlen wurden. Harmony Browse blockiert Zero-Day-Phishing-Seiten, die darauf abzielen, diese Anmeldeinformationen zu stehlen.
Schauen Sie sich dieses Video an, um Harmony Browse in Aktion zu sehen.
Feedback