Für einen erfolgversprechenden „Credential Stuffing“-Angriff benötigt der Hacker vier Dinge:
- Eine Liste mit Login-Daten
- Eine Liste mit beliebten Online-Services, die er angreifen will (Beispiele: Dropbox, Adobe Cloud, Canva, etc.)
- Eine Technik, um eine hohe Zahl unterschiedlicher IP-Adressen als Absender zu benutzen (IP-Rotation)
- Einen „Bot“ (Computerprogramm), der vollautomatisch Login-Versuche bei den diversen Online-Services vornimmt.
Über solche Bots probiert der Hacker bei einem Online-Service ein Login nach dem anderen aus, wobei systematisch die Absender-IP-Adresse verändert wird, damit der Zielserver die Login-Versuche nicht blockiert. Denn jeder gut konfigurierte Server wird eine IP-Adresse sperren, wenn die Anzahl fehlgeschlagener Login-Versuche eine bestimmte Schwelle überschreitet.
Gelingt das Login, greift der Bot die oben erwähnten, wertvollen Informationen ab. Zusätzlich werden die erfolgreichen Login-Daten zur spätere Verwendungen – beispielsweise für Phishing-Attacken und dergleichen – gespeichert.
Verglichen mit folgenden Hacker-Methoden ist Credential Stuffing oft deutlich effizienter:
- Brute-Force-Attacken erfordern eine viel höhere Anzahl Versuche, weil rein zufällige Passwort-Kombinationen ausprobiert werden und nicht – wie beim Credential Stuffing – tatsächlich existierende Passwörter.
- Social Engineering beschränkt den Angriff meist auf eine einzige Plattform (Beispiel: Amazon), während Credential Stuffing Hunderte verschiedener Online Services gleichzeitig angreifen kann.