Credential-Stuffing-Attacken richtig entgegenwirken

Ein Artikel von Gerhard Giese, Industry Strategist bei Akamai | 31.07.2020 - 10:01

Viele Unternehmen setzen deshalb auf Multi-Faktor-Authentifizierung (MFA), um die Zugangssicherheit zu erhöhen und dem Datendiebstahl entgegenzuwirken. Dabei ist MFA ein aktueller und wichtiger Sicherheitsstandard – einen erfolgreichen Credential-Stuffing-Angriff kann man damit aber nicht immer ausschließen. Viele Finanzdienstleister ergreifen deshalb weitere Maßnahmen und setzen beispielsweise Bot-Management-Lösungen ein, um groß angelegte Credential-Stuffing-Attacken zu identifizieren und zu verhindern.

Wie funktioniert Credential Stuffing?

Kriminelle verwenden oft im Netz frei verfügbare Automatisierungstools, um eine große Menge von gestohlenen Zugangsdaten auf einer großen Zahl anderer Websites zu „testen“. Tools wie zum Beispiel Sentry MBA oder SNIPR, um nur zwei Beispiele zu nennen, machen es Kriminellen leicht, gestohlene Zugangsdaten zu verifizieren. Kostengünstige "Botnet-as-a-Service"-Plattformen ermöglichen es Kriminellen dabei außerdem, Credential Stuffing im großen Maßstab zu betreiben. Die Chancen, gestohlene Zugangsdaten zu finden, die auch noch auf anderen Websites funktionieren, steigen dabei mit der Menge an Datensätzen und den geprüften Webseiten. Die Basis dieses illegalen Geschäfts ist eine blühende Schattenwirtschaft für Kauf, Verkauf und Verwertung gestohlener Anmeldedaten. Milliarden davon sind im Dark Web erhältlich.

 Bankkonten, Kreditkartenkonten, Wertpapierdepots und Payment-Apps sind – wenig überraschend – dabei besonders hochwertige Ziele. Laut dem Sicherheitsbericht „Angriffe auf Finanzdienstleister“ aus dem Jahr 2019 entfielen etwa sechs Prozent aller Credential-Stuffing-Angriffe auf die Finanzbranche (siehe untenstehende Tabelle). Auch wenn dieser Anteil zunächst gering scheint, muss man ihn in Relation zur extrem hohen Anzahl an Angriffen und zum möglichen Schaden eines erfolgreichen Angriffs setzen – beispielsweise auf ein Bankkonto. Um die Zahl ins richtige Licht zu rücken: Über einen Zeitraum von 17 Monaten stellte Akamai über 3,5 Millionen Versuche von Anmeldedatenmissbrauch gegen Finanzunternehmen fest!

Cyberkriminelle benutzen Credential Stuffing auch, um sich unrechtmäßigen Zugang zu APIs zu verschaffen. Der diesjährige Sicherheitsbericht „Finanzdienstleistungen – Versuche einer feindlichen Übernahme“ zeigt, dass Angreifer dabei gezielt Zugang zu vertraulichen Daten und Diensten suchen, die für Finanzdelikte genutzt werden können. Die nachstehende Abbildung zeigt Versuche von Anmeldedatenmissbrauch, die über einen Zeitraum von 24 Monaten festgestellt worden sind. Angriffe, die auf API-Endpunkte abzielen, sind in orange dargestellt. Das obere Diagramm stellt alle Branchen dar, das untere zeigt den Finanzdienstleistungssektor.

Verteidigung gegen Credential-Stuffing-Angriffe

Credential-Stuffing-Attacken können zu Bußgeldern, Schadensersatzforderungen und zum Verlust von Kunden führen. Für viele Unternehmen im Finanzsektor aber noch viel wichtiger: Vor allem erfolgreiche Angriffe können den Ruf eines Unternehmens dauerhaft schädigen. Auch die Leistung von Websites und Online-Diensten kann schon allein durch die Angriffsversuche beeinträchtigt werden, indem der schadhafte Bot-Verkehr die Systeme überlastet. Dabei optimieren die Angreifer ständig ihre Methoden – beispielsweise mit der Verteilung der Anmeldeversuche auf Tausende von Bots, der Verwendung von Proxy-Servern oder der zeitlichen Streuung der Anmeldeversuche.

Schädliche Anmeldeversuche auf APIs im Finanzdienstleistungssektor_Akamai.png

Ab Mai 2019 stieg die Anzahl schädlicher Anmeldeversuche auf APIs im Finanzdienstleistungssektor deutlich an. (Bildquelle: Akamai Technologies)

Folgende Tipps helfen Unternehmen das Risiko zu minimieren

Tipp 1: Regelmäßiges Überprüfen der Anmeldeseiten von Websites und Applikationen

Viele Applikation- und Website-Designer machen es Angreifern unfreiwillig leicht, indem sie Benutzer-IDs oder andere Informationen bestätigen, die zur Durchführung eines Angriffs verwendet werden können. Beispielsweise kann ein Cyberkrimineller versuchen, sich mit einer ungeprüften Benutzer-ID und einem Passwort in ein Konto einzuloggen. Wenn die Webanwendung eine Fehlermeldung zurückgibt, die angibt, dass das Passwort falsch ist, kann der Kriminelle davon ausgehen, dass die Benutzerkennung gültig ist und Brute-Force-Methoden zum Knacken von Passwörtern oder andere Mechanismen verwenden, um Zugang zum Konto zu erhalten. Authentifizierungs-Workflows sollten deshalb überprüft werden!

Tipp 2: Erweiterte Multi-Faktor-Authentifizierungslösungen

Multi-Faktor-Authentifizierungslösungen können einen unbefugten Zugriff verhindern, wenn ein Cyberkrimineller in den Besitz gültiger Anmeldedaten gelangt. MFA ist deshalb ein wichtiger Sicherheitsfaktor, kann im schlechtesten Fall aber Angreifern sogar helfen. Bei vielen MFA-Implementierungen geben die Benutzer zunächst eine Kombination aus Benutzer-ID und Passwort ein und werden dann aufgefordert, einen weiteren Authentisierungsnachweis wie einen per E-Mail oder SMS verschickten Code einzugeben. Ein Angreifer kann so den MFA-Workflow ausnutzen, um eine Benutzer-ID/Passwort-Kombination zu verifizieren (die meisten MFA-Lösungen validieren die Benutzer-ID/Passwort-Kombination, bevor sie den Challenge-Code generieren).

Wenn die Benutzer-ID/Passwort-Kombination bestätigt ist, können Hacker den betroffenen Account mit Spear-Phishing direkt angreifen, die validierten Zugangsdaten im Dark Web verkaufen oder sie anderweitig nutzen. Für einen umfassenden Schutz sollte deshalb eine vielschichtige, tiefgreifende Sicherheitsarchitektur eingeführt werden, die MFA mit anderen Schutzmaßnahmen kombiniert.

Tipp 3: Implementieren einer Bot-Management-Lösung

Für den besten Schutz vor Credential Stuffing sollte eine netzwerkbasierte Bot-Management-Lösung als Teil einer mehrschichtigen Sicherheitsimplementierung eingeführt werden. Denn Angreifer verlassen sich auf verteilte Botnets, um komplexe Credential-Stuffing-Angriffe durchzuführen. Aktuelle „Best-of-Breed“-Lösungen nutzen dabei künstliche Intelligenz und maschinelles Lernen, um auch fortgeschrittene Angriffe zu erkennen.

Mehrschichtige Sicherheitslösungen bieten bestmöglichen Schutz

Unternehmen können Credential-Stuffing-Angriffen effektiv entgegenwirken, indem sie Authentifizierungs-Workflows überprüfen und eine mehrschichtige Sicherheitsarchitektur implementieren, die eine Bot-Verwaltungsplattform umfasst.  Bot-Management-Lösungen erkennen und stoppen schadhafte Bots an der Edge, bevor sie in Anwendungen oder das Rechenzentrum gelangen. Die Lösungen nutzen maschinelles Lernen und Verhaltensanalyse, um Credential-Stuffing-Angriffe zu identifizieren und abzuwehren, ohne den legitimen Bot-Verkehr zu beeinträchtigen.