Credential Stuffing

it security: Herr Schweizer, bei Credential Stuffing handelt es sich um eine Betrugsmasche, die sich einer zunehmenden Beliebtheit erfreut. Was genau versteht man aber darunter und wie läuft so ein Angriff ab?

Stephan Schweizer: Unter Credential Stuffing versteht man das hochautomatisierte Durchprobieren von bekannten Username / Passwort Kombinationen gegen Webportale. Die Username / Passwort Kombinationen werden als sogenannte Combo-Lists im Darknet gekauft, die Daten stammen entweder aus Data Breaches oder Phishing-Attacken. Aktuelle Schätzungen gehen davon aus, dass zurzeit ca. 3,3 Milliarden solcher Username / Passwort Kombinationen zum Verkauf angeboten werden. Diese Combo-Lists werden anschließend auf speziellen Hacking-Tool-Suiten eingespielt, welche als SaaS Service ebenfalls im Darknet gemietet werden können. Dahinter verbirgt sich typischerweise ein Bot-Netzwerk, das dann die ausgewählten Ziele über einen verteilten Ansatz angreift, indem die Credential-Kombinationen durchprobiert werden. Da die Anfragen von verschiedenen Clients mit relativ tiefer Kadenz erfolgen, sind die Attacken für das angegriffene Webportal gar nicht so einfach zu erkennen. Je nach Aktualität der verwendeten Combolist liegt die Erfolgsrate der Angriffe bei circa 0,5 bis 3 Prozent. Das klingt auf den ersten Blick nach wenig – wenn aber zum Beispiel eine Combolist mit 1 Million Einträgen verwendet wird, so wird der Angreifer Zugriff auf etwa 5.000 bis 30.000 Accounts erhalten. Die erwähnten Tool-Suiten enthalten dann typischer- weise auch maßgeschneiderte Tools, welche im Erfolgsfall direkt eine Transaktion oder eine Angriffs-Aktion auslösen. Dies natürlich zum Schaden des betroffenen Endbenutzers.

it security: Warum ist bei Cyberkriminellen ausgerechnet Credential Stuffing so beliebt?

Stephan Schweizer: Die Beliebtheit beruht auf der Tatsache, dass die Attacken hochautomatisiert und großflächig ausgeführt werden können. Zudem ist das Risiko für den Angreifer relativ gering, bei gleichzeitig sehr guten Erfolgs- und Gewinnaussichten. Daher lohnt es sich für die Angreifer auch, die Automatismen laufend zu optimieren und sich neue Ziele zu suchen.

it security: Welche Schäden verursachen Credential Stuffings beziehungsweise Account Takeovers?

Stephan Schweizer: Wir haben dies im Rahmen einer repräsentativen Studie in Zusammenarbeit mit Aberdeen Research untersucht. Die Studie erstreckt sich über 10 Branchen (Finanzindustrie, E-Commerce, Telekom, Online Gambling). Zusammengefasst lässt sich sagen, dass das Problem größer ist, als wir ursprünglich vermutet hatten: 84 Prozent der Befragten gaben an, dass ihre Organisation im Verlauf der letzten 12 Monate nachgewiesene Fälle von Account Takeovers zu beklagen hatten. Die daraus resultierenden direkten und indirekten Schäden erreichen für die betroffenen Unternehmen schnell einmal mehrere Millionen pro Jahr. Natürlich hängt der absolute Betrag stark davon ab, wie viel Umsatz über den Online-Kanal erzielt wird. Im Fall von Finanzinstituten hat die Studie beispielsweise gezeigt, dass die Schäden zwischen 2,7 und 7,5 Prozent des jährlichen Online-Umsatzes ausmachen können – das sind substanzielle Beträge, die nicht einfach als „cost of doing business“ abgehakt werden können. Außerdem gilt es zu berücksichtigen, dass ein Account Takeover für den betroffenen Kunden und Endbenutzer ein schon fast traumatisches Erlebnis sein kann. Die Gefahr, dass ein solcher Benutzer zur Konkurrenz abwandert, ist daher sehr groß. Das belegen auch die Zahlen unserer Studie.

Das vollständige Interview lesen Sie auf it-daily.net

In dem Interview werden u.a. folgende weitere Fragen thematisiert:

Warum ist gerade die Finanzbranche so ein „leichtes“ oder bevorzugtes Ziel?

Wie lässt sich biometrische Identifikation unternehmensintern umsetzen, welche Möglichkeiten gibt es?

Anhand von künstlicher Intelligenz können Betrugsversuche ermittelt werden. Wie schnell kann nach so einer Meldung dann tatsächlich gehandelt werden?