Credential Stuffing: Wie Sicherheits-Lecks zum Datensieb werden

Wir alle nutzen Dutzende oder sogar Hunderte verschiedener Online-Services: E-Mail Provider, Anwender-Software, Streaming-Dienste, Zeitungs-Abos und vieles mehr. Jeder dieser Services verlangt von uns Login-Daten – mindestens einen Benutzernamen und ein Passwort. Häufig werden solche Login-Daten jedoch auf die ein oder andere Weise gestohlen und dann in großen Passwortsammlungen von Cyberkriminellen zum Verkauf angeboten. Solche Login-Daten nutzen Hacker dann beispielsweise beim sogenannten Credential Stuffing, um Profit aus den gestohlenen Daten zu schlagen.

Immer wieder gelingt es Hackern, in die Datenbanken großer Online-Services einzudringen und dort die Login-Daten zahlreicher Nutzer zu stehlen. Die erbeuteten Daten werden im Darknet in Form von Listen zum Verkauf angeboten. Die derzeit bekannteste und größte Liste heißt „Collection #1-5“ und enthält über 2,2 Milliarden Kombinationen von Benutzernamen und Passwörtern – ein Datenvolumen von rund 900 Gigabyte!

Was kann man mit dieser Liste anfangen? Auf den ersten Blick nicht sehr viel. Wenn ein Service-Anbieter den Datendiebstahl bemerkt, warnt er seine Kunden und fordert sie auf, ihr Passwort zu ändern.

Das Ändern des Passwortes schützt zwar davor, dass Hacker auf das entsprechende Benutzerkonto zugreifen können. Nur: Viele Anwender sind bequem. Sie verwenden dieselbe Kombination von E-Mail-Adresse und Passwort für verschiedene Online-Services. Hier kommt das Credential Stuffing ins Spiel, das Hacker nutzen, um die entwendeten Login-Daten doch noch zu ihrem Vorteil einsetzen zu können.

Beim Credential Stuffing versuchen Angreifer, mit gestohlenen Login-Daten (engl. „Credentials“) in ein System einzudringen. Dabei probieren sie eine hohe Zahl verschiedener Credentials aus, die sie bei anderen Online-Services erbeutet haben. Ziel des Angriffs ist es, an weitere wertvolle Daten im gehackten Account zu gelangen, zum Beispiel an die Kreditkarten-Nummer oder die Adresse des Anwenders, an gespeicherte Dokumente, an Kontaktdaten – kurz: an weitere Daten, aus denen sich Profit schlagen lässt.

Statistiken zufolge ist ungefähr jeder tausendste Login-Versuch erfolgreich. Mit anderen Worten: Ein Angreifer muss im Schnitt 1.000 verschiedene Login-Daten ausprobieren, um in ein System einzudringen.

Für einen erfolgversprechenden „Credential Stuffing“-Angriff benötigt der Hacker vier Dinge:

• Eine Liste mit Login-Daten
• Eine Liste mit beliebten Online-Services, die er angreifen will (Beispiele: Dropbox, Adobe Cloud, Canva, etc.)
• Eine Technik, um eine hohe Zahl unterschiedlicher IP-Adressen als Absender zu benutzen (IP-Rotation)
• Einen „Bot“ (Computerprogramm), der vollautomatisch Login-Versuche bei den diversen Online-Services vornimmt.

Über solche Bots probiert der Hacker bei einem Online-Service ein Login nach dem anderen aus, wobei systematisch die Absender-IP-Adresse verändert wird, damit der Zielserver die Login-Versuche nicht blockiert. Denn jeder gut konfigurierte Server wird eine IP-Adresse sperren, wenn die Anzahl fehlgeschlagener Login-Versuche eine bestimmte Schwelle überschreitet.

Gelingt das Login, greift der Bot die oben erwähnten, wertvollen Informationen ab. Zusätzlich werden die erfolgreichen Login-Daten zur spätere Verwendungen – beispielsweise für Phishing-Attacken und dergleichen – gespeichert.

Verglichen mit folgenden Hacker-Methoden ist Credential Stuffing oft deutlich effizienter:

• Brute-Force-Attacken erfordern eine viel höhere Anzahl Versuche, weil rein zufällige Passwort-Kombinationen ausprobiert werden und nicht – wie beim Credential Stuffing – tatsächlich existierende Passwörter.
• Social Engineering beschränkt den Angriff meist auf eine einzige Plattform (Beispiel: Amazon), während Credential Stuffing Hunderte verschiedener Online Services gleichzeitig angreifen kann.

Die einfachste und sicherste Schutzmaßnahme ist die Verwendung unterschiedlicher Passwörter für Ihre verschiedenen Logins. Dies ist zwar unbequem, aber es ist trotzdem weniger mühsam, sich eine Methode zum Merken unterschiedlicher Passwörter zurechtzulegen, als im Falle eines Sicherheits-Lecks das Passwort für sämtliche Logins einzeln ändern zu müssen.

Bewährte Methoden im Umgang mit unterschiedlichen Passwörtern sind:

• ein geheimes Passwort-Schema, das für alle Passwörter gleichermaßen angewandt wird. Ein bewährtes Schema ist die Vermischung von Plattform-Name mit einer festen Zahlenkombination. Das Passwort für Dropbox wäre dann zum Beispiel dro33pbox22 und dasjenige für Amazon ama33zon22.
• die Verwendung einesPasswort-Managers; hier hat man die Wahl zwischen einer App und einem Browser-Add-on.
• die Verwendung mehrerer E-Mail-Adressen bzw. Benutzernamen für die verschiedenen Plattformen, jeweils mit einem anderen Passwort.

Für die Betreiber von Websites, Webshops und Online-Services existiert eine ganze Reihe verschiedener Möglichkeiten, die Anwender vor Credential Stuffing zu schützen:

• TOTP-based Authenticator, d.h. Verwendung eines einmaligen temporären Passwortes (time-based one-time password) für die Anmeldung
• Multi-Faktor-Authentisierung, zum Beispiel Zusendung eines SMS-Codes auf das Smartphone
• Blockieren von Headless Browsern, wie sie bei Bots zum Einsatz kommen
• Datenverkehr aus Datencentern wie z.B. Amazon Web Services oder IBM Watson blockieren. Denn Bots werden häufig von solchen Datencentern aus betrieben.
• Verwendung spezialisierter Verteidigungs-Software. Für WordPress bietet sich beispielsweise das Plugin Wordfence Login Security an.
• Device Fingerprinting. Dabei werden verschiedene Merkmale des Anwender-Computers wie zum Beispiel die MAC-Adresse, die Festplatten-Größe, usw. ausgelesen und zu einem Hash-Wert verrechnet, sodass ein Login-Versuch von einem fremden Computer sofort entlarvt werden kann.