Credential Stuffing

Was ist Credential Stuffing?

Credential Stuffing ist eine Form von Cyberangriff, bei der ein Angreifer mithilfe automatisierter Tools eine große Anzahl gestohlener oder durchgesickerter Anmeldeinformationen (Benutzernamen und Passwörter) auf mehreren Websites oder Diensten testet, um unbefugten Zugriff auf privilegierte Benutzerkonten zu erhalten.

Diese Angriffsmethode nutzt die bedauerliche Tatsache aus, dass viele Menschen dieselben Anmeldeinformationen auf mehreren Plattformen wiederverwenden, wodurch Angreifer mit demselben Satz kompromittierter Anmeldeinformationen auf mehrere Konten zugreifen können.

Empfohlene Lektüre: Sicherheitsanalyse von Big Data: Vergangenheit, Gegenwart und Zukunft.

Welche Auswirkungen hat Credential Stuffing auf Ihr Unternehmen?

Credential Stuffing kann erhebliche negative Auswirkungen auf ein Unternehmen haben, darunter:

• Unbefugter Zugriff auf vertrauliche Daten: Wenn Angreifer Zugriff auf Mitarbeiter- oder Kundenkonten erhalten, können sie auf vertrauliche Informationen wie Finanzdaten, persönliche Daten und Geschäftsgeheimnisse zugreifen, was zu potenziellen Datenschutzverletzungen und einem Verlust des Kundenvertrauens führen kann.
• Rufschädigung: Ein erfolgreicher Credential-Stuffing-Angriff kann dem Ruf eines Unternehmens schaden, da Kunden und Partner das Vertrauen in die Fähigkeit des Unternehmens verlieren können, ihre Daten zu schützen.
• Finanzielle Verluste: Credential-Stuffing-Angriffe können zu direkten finanziellen Verlusten durch betrügerische Transaktionen, Diebstahl geistigen Eigentums oder Lösegeldforderungen für gestohlene Daten führen. Darüber hinaus können indirekte Kosten im Zusammenhang mit der Reaktion auf Vorfälle, Anwaltskosten und Bußgeldern entstehen.
• Betriebsunterbrechung: Ein Angreifer, der Zugriff auf kritische Systeme erhält, kann den Geschäftsbetrieb stören und so Ausfallzeiten und Produktivitätseinbußen verursachen.
• Erhöhte Arbeitsbelastung für IT- und Sicherheitsteams: Credential-Stuffing-Angriffe können zusätzlichen Aufwand für IT- und Sicherheitspersonal – oder sogar externe Berater – bedeuten, da sie auf den Vorfall reagieren, sein Ausmaß untersuchen und Abhilfemaßnahmen ergreifen müssen.
• Compliance-Verstöße: Ein erfolgreicher Angriff kann zu Verstößen gegen Datenschutzbestimmungen wie DSGVO oder HIPAA führen und Bußgelder und Strafen nach sich ziehen.

Wie funktioniert ein Credential-Stuffing-Angriff?

Ein Credential-Stuffing-Angriff umfasst normalerweise die folgenden Schritte:

1. Erwerb von Anmeldeinformationen: Angreifer verschaffen sich zunächst eine große Anzahl durchgesickerter oder gestohlener Benutzernamen und Passwörter, oft durch Datenlecks, Darknet-Foren oder auf andere illegale Weise.
2. Vorbereiten der Liste: Die Angreifer können die Anmeldeinformationen bereinigen, sortieren und organisieren, um die Wahrscheinlichkeit erfolgreicher Übereinstimmungen zu erhöhen. Sie können die Anmeldeinformationen auch mit bekannten Datensätzen von Sicherheitsverletzungen vergleichen, um ungültige oder abgelaufene Anmeldeinformationen zu entfernen.
3. Auswahl der Ziele: Angreifer wählen die Websites oder Dienste aus, die sie angreifen möchten, und konzentrieren sich dabei häufig auf beliebte Plattformen, auf denen Benutzer wahrscheinlich Anmeldeinformationen wiederverwenden oder über wertvolle Informationen verfügen.
4. Automatisierung: Angreifer verwenden automatisierte Tools oder Skripte, auch „Bots“ genannt, um systematisch zu versuchen, sich mit den erworbenen Anmeldedaten bei den Zielwebsites oder -diensten anzumelden. Diese Tools können häufig grundlegende Sicherheitsmaßnahmen wie CAPTCHAs umgehen und die Anmeldeversuche auf mehrere IP-Adressen verteilen, um einer Erkennung zu entgehen.
5. Identifizierung erfolgreicher Anmeldungen: Die automatisierten Tools zeichnen erfolgreiche Anmeldungen auf und Angreifer erhalten Zugriff auf die kompromittierten Konten.
6. Ausnutzen der Konten: Sobald Angreifer Zugriff haben, können sie die Konten für verschiedene Zwecke ausnutzen, beispielsweise um vertrauliche Daten zu stehlen, betrügerische Käufe zu tätigen, Malware zu verbreiten oder weitere Angriffe zu starten.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach können Ihnen die folgenden Tipps dabei helfen, sich besser gegen Credential-Stuffing-Angriffe zu verteidigen:

Verwenden Sie die Ratenbegrenzung für Anmeldeendpunkte
Setzen Sie eine Ratenbegrenzung für Anmeldeversuche ein, um zu verhindern, dass Angreifer Ihre Website mit automatisierten Anmeldeanfragen bombardieren. Die Kombination mit einer IP-Blacklist für bekannte bösartige IPs trägt zusätzlich dazu bei, solche Angriffe abzuschwächen.

Einführung von Technologien zur Bot-Abwehr
Implementieren Sie Tools zur Bot-Abwehr, wie etwa Web Application Firewalls (WAFs) und Anti-Bot-Dienste, um automatisierte Credential-Stuffing-Versuche zu blockieren, bevor diese Ihre Anmeldeendpunkte erreichen.

Nutzen Sie die Erkennung kompromittierter Passwörter
Verwenden Sie Dienste von Drittanbietern oder interne Mechanismen, um zu überprüfen, ob die Passwörter der Benutzer in Listen bekannter Sicherheitsverletzungen erscheinen, und erzwingen Sie Passwortänderungen, wenn eine Übereinstimmung erkannt wird, um die Wiederverwendung von Anmeldeinformationen zu verhindern.

Bereitstellen der adaptiven Authentifizierung
Implementieren Sie adaptive Authentifizierungssysteme, die die Anmeldesicherheit basierend auf kontextuellen Faktoren wie Benutzerverhalten, Standort oder Gerät erhöhen. Bei verdächtigem Verhalten kann das System eine zusätzliche Überprüfung anfordern oder den Zugriff blockieren.

Achten Sie auf ungewöhnliche Kontosperrungen
Plötzliche Spitzen bei Kontosperrungen sind oft ein frühes Anzeichen für Credential Stuffing. Stellen Sie sicher, dass Ihre SIEM- oder Überwachungstools so eingestellt sind, dass sie bei ungewöhnlichen Anmeldeaktivitäten oder fehlgeschlagenen Versuchen von mehreren Konten aus warnen.

Credential Stuffing vs. Brute-Force-Angriffe vs. ATO (Account Takeovers)

Credential Stuffing, Brute-Force-Angriffe und Account Takeovers (ATO) sind alles Methoden, die von Angreifern verwendet werden, um unbefugten Zugriff auf privilegierte Konten zu erlangen. Sie unterscheiden sich jedoch in ihrer Herangehensweise und ihren Techniken, wie in der folgenden Tabelle detailliert beschrieben.

So erkennen und verhindern Sie Credential Stuffing

Das Erkennen und Verhindern von Credential-Stuffing-Exploits ist unerlässlich, um Benutzerkonten und sensible Daten zu schützen. Hier sind einige effektive Strategien

Multi-Faktor-Authentifizierung (MFA)

MFA bietet eine zusätzliche Sicherheitsebene, indem Benutzer beim Anmelden mehr als eine Form der Identifizierung angeben müssen. In der Regel handelt es sich dabei um eine Kombination aus etwas, das der Benutzer weiß (z. B. ein Passwort oder Muster), etwas, das der Benutzer besitzt (z. B. ein physisches Token oder ein mobiles Gerät) und/oder etwas, das der Benutzer ist (z. B. ein Fingerabdruck oder eine Gesichtserkennung). MFA erschwert Angreifern den Zugriff auf Zielkonten erheblich, selbst wenn sie das richtige Passwort kennen.

Geräte-Fingerprinting

Beim Device Fingerprinting werden einzigartige Merkmale des Geräts eines Benutzers erfasst, beispielsweise Browsertyp, Betriebssystem oder installierte Plug-Ins. Diese Informationen können helfen, verdächtige Anmeldeversuche von unbekannten Geräten zu identifizieren. Durch den Vergleich des Fingerabdrucks des bei einem Anmeldeversuch verwendeten Geräts mit bekannten legitimen Geräten können Unternehmen potenzielle Credential-Stuffing-Angriffe erkennen und blockieren.

IP-Zulassungsliste

Bei der IP-Zulassungsliste wird der Zugriff von bekannten schädlichen IP-Adressen oder IP-Bereichen blockiert oder eingeschränkt. Durch die Überwachung und Analyse fehlgeschlagener Anmeldeversuche können Unternehmen IP-Adressen identifizieren, die Muster aufweisen, die auf Credential-Stuffing-Angriffe hindeuten, und zukünftige Versuche aus diesen Quellen verhindern.

Verwenden Sie ein CAPTCHA

CAPTCHAs sind Tests, die zwischen menschlichen Benutzern und automatisierten Bots unterscheiden sollen. Indem Unternehmen Benutzer während des Anmeldevorgangs zur Beantwortung einer CAPTCHA-Aufgabe auffordern, erschweren sie Angreifern den Einsatz automatisierter Tools zum Credential Stuffing. Fortgeschrittene Bots können CAPTCHAs jedoch manchmal umgehen, daher sollte dies nicht der einzige Abwehrmechanismus sein.

Erzwingen Sie Active Directory-Auditing für sichere Passwörter

Um das Risiko von Credential-Stuffing-Angriffen zu reduzieren, ist es wichtig, bei den Mitarbeitern auf eine gute Passworthygiene zu achten. Gleichzeitig ist es wichtig, Active Directory (AD)-Audits zu implementieren, um sicherzustellen, dass alle Mitarbeiter sichere Passwörter verwenden. Unternehmen sollten sicherstellen, dass Benutzer sichere, eindeutige Passwörter erstellen und diese nicht für mehrere Konten verwenden. Passwortmanager können Mitarbeitern außerdem dabei helfen, sichere Anmeldeinformationen zu verwalten.

Erzwingen Sie Passworthygiene

Zur Durchsetzung der Passworthygiene gehört die Implementierung von Richtlinien und Praktiken, die die Erstellung und Verwaltung starker, sicherer Passwörter fördern. Zu den wichtigsten Praktiken gehören:

• Verlauf erzwingen: Verhindern Sie, dass Benutzer frühere Passwörter wiederverwenden, indem Sie einen Passwortverlauf pflegen und die Wiederverwendung neuer Passwörter einschränken.
• Legen Sie ein maximales Kennwortalter fest: Fordern Sie Benutzer auf, ihre Kennwörter regelmäßig zu ändern, indem Sie ein maximales Kennwortalter festlegen, beispielsweise 60 oder 90 Tage.
• Legen Sie Anforderungen an Länge und Komplexität fest: Sorgen Sie für sichere Passwörter, indem Sie eine Mindestlänge vorschreiben (NIST empfiehlt mindestens 8 Ziffern für vom Benutzer gewählte Passwörter, wobei 14–16 Zeichen als die sichersten gelten) und eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwenden.
• Sitzungsdauer begrenzen: Reduzieren Sie das Risiko eines unbefugten Zugriffs, indem Sie Benutzer nach einer festgelegten Zeit der Inaktivität automatisch abmelden und die Dauer der Sitzungen begrenzen.
• Verwenden Sie Richtlinien zur Zugriffsverwaltung: Implementieren Sie Privileged Access Management (PAM) oder spezifische Richtlinien für Administrator- und Dienstkonten und stellen Sie sicher, dass diese strengeren Anforderungen an Kennwörter und Zugriffskontrollen entsprechen.
• Aktivieren Sie Warnmeldungen bei abgelaufenem Passwort: Senden Sie Benachrichtigungen oder E-Mails an Benutzer, um sie daran zu erinnern, ihre Passwörter vor Ablauf zu aktualisieren. So tragen Sie zur Aufrechterhaltung der Passworthygiene bei und vermeiden Kontosperrungen.

Credential Stuffing mit Exabeam erkennen

Die Anwendungsfallkategorien „Bedrohungserkennung, Investigation, and Response“ (TDIR) sind ein ergebnisorientiertes Framework für die Verwendung Exabeam Produkten. Es beschreibt, welche Bedrohungen Sie mithilfe eines vorgeschriebenen End-to-End-Workflows erkennen, untersuchen, verfolgen und darauf reagieren können.

Das TDIR-Kategorien-Framework ordnet Bedrohungen in einer Hierarchie an, sodass Sie sie von einem allgemeinen Typ, wie z. B. kompromittierte Insider, bis hin zu einem spezifischen Szenario, wie z. B. Brute-Force-Angriff oder kompromittierte Anmeldeinformationen, unterteilen können. Es gibt drei übergreifende Anwendungsfallkategorien: Kompromittierte Insider, böswillige Insider und externe Bedrohungen.

Der Outcomes Navigator für Exabeam Security Log Management und Exabeam SIEM zeigt Ihnen, ob Sie die richtigen Protokollquellen und Felder innerhalb der Anwendungsfallkategorien analysiert haben, um einen vollständigen Überblick über Credential Stuffing oder Brute-Force-Angriffe zu erhalten. Anschließend können Sie sehen, ob Sie spezifische Korrelationsregeln zum Erstellen relevanter Warnungen sowie Dashboards zur Visualisierung potenzieller Ereignisse und Angriffe eingerichtet haben.

Wenn Sie über Exabeam Fusion, Exabeam Sicherheitsuntersuchung oder Exabeam Security Analytics verfügen, sehen Sie zusätzlich, welche Analyseregeln auf Anmeldeinformationen basierende Angriffe wie Credential Stuffing, Brute Force oder Kontoübernahmen abdecken.