Die Folgen kompromittierter Anmeldedaten
Wenn Nutzer ihre Firma zusätzlichen Risiken aussetzen
Warum offengelegte Daten so gefährlich sind
Einer Studie zufolge verwenden 44 % der befragten Mitarbeitenden dieselben Anmeldedaten für private und berufliche Konten.
Unternehmen, die ihre Systeme und Daten mit einfachen Benutzername-Passwort-Kombinationen schützen, machen es Angreifern leichter (und schneller), sie zu knacken. Gleichermaßen können Benutzer, die es versäumen, angemessene Sicherheitsmaßnahmen zu ergreifen – z. B. die Verwendung von Wörterbüchern als Passwörter, das Nicht-Ändern von kompromittierten Passwörtern usw. –, einem größeren Angriffsrisiko ausgesetzt sein.
Eine der gängigsten Methoden, um in geschützte Systeme und Konten einzudringen, sind Credential Stuffing-Angriffe. Diese Angriffe spammen die Anmeldeendpunkte von Unternehmen mit kompromittierten Anmeldedaten (Benutzernamen und Kennwörter, die bei Datenverstößen in anderen Unternehmen offengelegt wurden) und führen dann weitere böswillige Aktivitäten durch, sobald man erfolgreich Zugang erhalten hat.
Oft werden Listen mit gestohlenen Zugangsdaten im Dark Web gekauft und verkauft und können dazu verwendet werden, sich Zugang zu einer beliebigen Anzahl von Organisationen zu verschaffen. Die Erfolgsquote bei Verstößen mit diesen gestohlenen Daten ist eher niedrig. Der Erfolg wird jedoch durch die große Menge an Zugangsdaten, auf die Angreifer Zugriff haben, sowie durch die Tatsache verstärkt, dass Benutzer dazu neigen, ihre Zugangsdaten über mehrere Konten hinweg zu verwenden oder sie nach einem bekannten Verstoß nicht sofort zu ändern.
Beachten Sie dabei folgendes: Cloudflare hat große Brute Force-Angriffe verzeichnet, bei denen mehr als 12.000 HTTP-Anfragen pro Minute mit offengelegte Anmeldedaten durchgeführt wurden. Selbst wenn nur ein Bruchteil dieser Versuche erfolgreich wäre, könnten sie einem Unternehmen ernsthaften Schaden zufügen, sobald sich ein Angreifer erfolgreich anmelden könnte.
Credential Stuffing-Angriffen sind sehr häufig und meist sehr umfangreich. Die Abwehr dieser Angriffe erfordert darum eine proaktive und vielschichtige Sicherheitsstrategie. Diese muss betrügerische Login-Anfragen blockieren, robuste Anforderungen zur Authentifizierung durchsetzen und im Falle eines Verstoßes laterale Bewegungen minimieren.
Warum Credential Stuffing immer noch funktioniert
Erfolgreiches Credential Stuffing führt zur Übernahme eines Kontos, wodurch Angreifer die vollständige Kontrolle über das Konto eines Benutzers erlangen, und vertrauliche Daten stehlen, interne Systeme kompromittieren oder größere Angriffe durchführen können.
Ein Beispiel dafür ist DraftKings, ein Sportwettenanbieter, der Opfer eines schwerwiegenden Credential Stuffing-Angriffs wurde, bei dem mit gestohlenen Zugangsdaten auf seine Systeme zugegriffen wurde. In der Folge wurden die persönlichen Daten von über 67.000 Nutzern kompromittiert.
Zu diesen Daten gehörten physische und E-Mail-Adressen, Telefonnummern, Informationen zum Kontostand, teilweise Zahlungskartendaten und andere sensible Informationen, wobei das volle Ausmaß des Verstoßes unbekannt war. Infolgedessen konnten die Angreifer etwa 300.000 USD von mehreren Benutzerkonten abheben.
Nach solchen Angriffen ändern manche Nutzer ihre Passwörter für kompromittierte Konten schnell. Viele andere verwenden jedoch weiterhin Passwörter für mehrere Systeme, behalten nach einem Sicherheitsverstoß dasselbe Passwort bei oder ändern es in ein weniger sicheres. In einer Studie der Carnegie Mellon University, änderte nur eine von drei Personen mit Konten auf einer bekanntermaßen kompromittierten Domain ihre Passwörter nach dem Bekanntwerden eines Datenverstoßes.
Und aufgrund der hohen Anzahl bekannter Fälle von Datenkompromittierung — bei denen allein im Jahr 2022 über 700 Millionen Anmeldedaten gestohlen wurden, ist es für Angreifer, die über die nötigen Ressourcen verfügen, oft sehr einfach an gestohlene Anmeldedaten zu gelangen.
Sobald die Angreifer die Anmeldedaten eines legitimen Benutzerkontos geknackt haben, können sie diese Kombinationen verwenden, um mehrere Unternehmen anzugreifen. Wenn beispielsweise die beruflichen Anmeldedaten eines Mitarbeitenden bei einer Datenschutzverletzung offengelegt und im Dark Web verkauft werden, können Angreifer diese Anmeldedaten verwenden, um beliebte Bankanwendungen oder andere wertvolle Ziele anzugreifen, was zu zusätzlichen Verlusten führen kann, wenn das Opfer dasselbe Passwort für den Zugang zu mehreren Plattformen verwendet.
Ein sicherer Zugriff bringt höheren Aufwand mit sich
Wenn es darum geht, sich gegen Credential Stuffing und Kontoübernahmen zu schützen, müssen sowohl die einzelnen Benutzer als auch die Unternehmen Maßnahmen setzen, um den Zugang zu sichern. Eine gute Passworthygiene ist wichtig, aber sie reicht für die Angriffsabwehr nicht aus, wenn andere Sicherheitsmaßnahmen nicht vorhanden sind.
Organisationen, die sich beispielsweise auf die Ein-Faktor-Authentifizierung verlassen (z. B. die nur einen Benutzernamen und ein Kennwort verlangen) können ihre Nutzer unbeabsichtigt einem größeren Risiko der Kontoübernahme aussetzen, da Angreifer nur eine Form des Angriffs durchführen müssen, um in geschützte Konten und Systeme einzudringen.
Im Gegensatz dazu sind Organisationen, die eine Multifaktor-Authentifizierung durchsetzen, z. B. eine Kombination aus Benutzername und Passwort und auch ein eindeutiges physisches Token verlangen, von den Benutzern verlangen, ihre Passwörter regelmäßig zu aktualisieren, und Zero Trust-Sicherheitsmaßnahmen implementieren, weitaus wahrscheinlicher gegen Credential Stuffing-Versuche gefeit.
Implementierung von Abwehrmaßnahmen
Mehrere Faktoren können es einer Organisation erschweren, Credential Stuffing zu verhindern. Da sich diese Angriffe auf Daten stützen, die von anderen Unternehmen gestohlen oder im Dark Web gekauft wurden, sind sich Unternehmen möglicherweise nicht bewusst, dass ihre Benutzer kompromittierte Anmeldedaten verwenden. Darüber hinaus automatisieren die Angreifer ihre Versuche häufig mit Hilfe von Software zum Ausfüllen von Anmeldedaten, die schädliche Bots verwendet, um Anmeldeendpunkte mit Anfragen zuzuspammen.
Dennoch gibt es verschiedene Strategien, die Unternehmen zum Schutz ihrer Benutzer und Daten ergreifen können, darunter:
MFA verlangen
Der beste Schutz vor Credential Stuffing ist eine proaktive Vorgehensweise. Indem sie von den Benutzern verlangen, sich mehrfach zu identifizieren, um auf geschützte Systeme und Daten zugreifen zu können, können Unternehmen die Wahrscheinlichkeit eines erfolgreichen Eindringens minimieren – selbst bei Benutzern, die möglicherweise wieder dieselben Anmeldedaten verwenden. Um das Sicherheitsniveau weiter zu erhöhen, können sie auch verlangen, dass Passwörter in regelmäßigen Abständen zurückgesetzt werden, und die Länge und die Zeichen festlegen, die Benutzerpasswörter enthalten müssen.
Blockieren von Anfragen, die offengelegte Anmeldedaten verwenden
Obwohl Credential Stuffing-Tools Anmeldeversuche als legitime Versuche tarnen können, können Unternehmen die Regeln der Web Application Firewall (WAF) so konfigurieren, dass diese Anfragen mit Datenbanken öffentlich zugänglicher gestohlener Anmeldedaten abgeglichen werden. Bei einer Übereinstimmung kann dem Benutzer eine interaktive Challenge gestellt werden, oder die Anfrage kann automatisch abgelehnt werden.
Einführung von Zero Trust-Sicherheit
Zero Trust – ein modernes Sicherheitsmodell, das davon ausgeht, dass Bedrohungen sowohl innerhalb als auch außerhalb des Netzwerks eines Unternehmens vorhanden sind – überprüft kontinuierlich jeden Benutzer, jedes Gerät und jede Anfrage. Zero Trust geht über MFA hinaus, indem es den Zugang mit den geringsten Berechtigungen durchsetzt (d. h. Benutzer haben möglichst wenig Zugriff auf sensible Daten), Validierung der Geräteidentität und der Berechtigungen sowie wiederholte Überprüfung der Benutzeridentität. Zusammengenommen tragen diese Praktiken dazu bei, ein Eindringen zu verhindern, die Wahrscheinlichkeit lateraler Bewegungen zu verringern und die Auswirkungen eines erfolgreichen Eindringens zu mindern.
Credential Stuffing verhindern
Basierend auf einem leistungsstarken globalen Netzwerk – das 320 Städte in über 120 Ländern umfasst – verfügt Cloudflare über einen beispiellosen Einblick in aktuelle und neu entstehende Angriffsmuster. Dies trägt dazu bei, die Kunden besser vor einer Vielzahl automatisierter und gezielter Angriffe zu schützen.
Mit Cloudflare Zero Trust können Unternehmen, strenge Zugriffsanforderungen implementieren, um ihre Login-Endpunkte vor unbefugten Anfragen zu schützen. Darüber hinaus können Unternehmen ihre Anfälligkeit für Credential Stuffing verringern, indem sie Cloudflare nutzen, um fehlgeschlagene Anmeldeversuche zu begrenzen, schlechtes Bot-Verhalten zu identifizieren und zu blockieren. Außerdem können sie Zugriffsversuche aus potenziell bösartigen Quellen über benutzerdefinierte Firewall-Regeln filtern.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Holen Sie sich das Whitepaper Anwendungssicherheit im Jahr 2023: eine Bestandsaufnahme und erfahren Sie, wie Cloudflare Unternehmen vor Credential Stuffing und anderen neuen Bedrohungen schützt.
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Wie Credential Stuffing-Angriffe zu Kontoübernahmen führen können
Warum MFA nicht ausreicht, um Credential Stuffing zu verhindern
Strategien zum Schutz Ihres Unternehmens vor volumetrischen Angriffen