Contact
QR code for the current URL

Story Box-ID: 1138508

IT Verlag für Informationstechnik GmbH Ludwig-Ganghofer-Str. 51 83624 Otterfing, Germany https://www.it-daily.net
Contact Mr Lars Becker

Credential Stuffing

Passwortlos sicherer unterwegs

(PresseBox) (Otterfing, )
Ransomware-Attacken und DDoS-Angriffe gehören mittlerweile zu den Standardverfahren im Bereich Cyber-Crime. Ein Thema das in den letzten Jahren zunehmend in den Mittelpunkt gerückt ist, ist Credential Stuffing. Was bedeutet das und wie kann man sich davor schützen – darüber sprach it security mit Stephan Schweizer, CEO bei Nevis Security.

it security: Herr Schweizer, bei Credential Stuffing handelt es sich um eine Betrugsmasche, die sich einer zunehmenden Beliebtheit erfreut. Was genau versteht man aber darunter und wie läuft so ein Angriff ab?

Stephan Schweizer: Unter Credential Stuffing versteht man das hochautomatisierte Durchprobieren von bekannten Username / Passwort Kombinationen gegen Webportale. Die Username / Passwort Kombinationen werden als sogenannte Combo-Lists im Darknet gekauft, die Daten stammen entweder aus Data Breaches oder Phishing-Attacken. Aktuelle Schätzungen gehen davon aus, dass zurzeit ca. 3,3 Milliarden solcher Username / Passwort Kombinationen zum Verkauf angeboten werden. Diese Combo-Lists werden anschließend auf speziellen Hacking-Tool-Suiten eingespielt, welche als SaaS Service ebenfalls im Darknet gemietet werden können. Dahinter verbirgt sich typischerweise ein Bot-Netzwerk, das dann die ausgewählten Ziele über einen verteilten Ansatz angreift, indem die Credential-Kombinationen durchprobiert werden. Da die Anfragen von verschiedenen Clients mit relativ tiefer Kadenz erfolgen, sind die Attacken für das angegriffene Webportal gar nicht so einfach zu erkennen. Je nach Aktualität der verwendeten Combolist liegt die Erfolgsrate der Angriffe bei circa 0,5 bis 3 Prozent. Das klingt auf den ersten Blick nach wenig – wenn aber zum Beispiel eine Combolist mit 1 Million Einträgen verwendet wird, so wird der Angreifer Zugriff auf etwa 5.000 bis 30.000 Accounts erhalten. Die erwähnten Tool-Suiten enthalten dann typischer- weise auch maßgeschneiderte Tools, welche im Erfolgsfall direkt eine Transaktion oder eine Angriffs-Aktion auslösen. Dies natürlich zum Schaden des betroffenen Endbenutzers.

it security: Warum ist bei Cyberkriminellen ausgerechnet Credential Stuffing so beliebt?

Stephan Schweizer: Die Beliebtheit beruht auf der Tatsache, dass die Attacken hochautomatisiert und großflächig ausgeführt werden können. Zudem ist das Risiko für den Angreifer relativ gering, bei gleichzeitig sehr guten Erfolgs- und Gewinnaussichten. Daher lohnt es sich für die Angreifer auch, die Automatismen laufend zu optimieren und sich neue Ziele zu suchen.

it security: Welche Schäden verursachen Credential Stuffings beziehungsweise Account Takeovers?

Stephan Schweizer: Wir haben dies im Rahmen einer repräsentativen Studie in Zusammenarbeit mit Aberdeen Research untersucht. Die Studie erstreckt sich über 10 Branchen (Finanzindustrie, E-Commerce, Telekom, Online Gambling). Zusammengefasst lässt sich sagen, dass das Problem größer ist, als wir ursprünglich vermutet hatten: 84 Prozent der Befragten gaben an, dass ihre Organisation im Verlauf der letzten 12 Monate nachgewiesene Fälle von Account Takeovers zu beklagen hatten. Die daraus resultierenden direkten und indirekten Schäden erreichen für die betroffenen Unternehmen schnell einmal mehrere Millionen pro Jahr. Natürlich hängt der absolute Betrag stark davon ab, wie viel Umsatz über den Online-Kanal erzielt wird. Im Fall von Finanzinstituten hat die Studie beispielsweise gezeigt, dass die Schäden zwischen 2,7 und 7,5 Prozent des jährlichen Online-Umsatzes ausmachen können – das sind substanzielle Beträge, die nicht einfach als „cost of doing business“ abgehakt werden können. Außerdem gilt es zu berücksichtigen, dass ein Account Takeover für den betroffenen Kunden und Endbenutzer ein schon fast traumatisches Erlebnis sein kann. Die Gefahr, dass ein solcher Benutzer zur Konkurrenz abwandert, ist daher sehr groß. Das belegen auch die Zahlen unserer Studie.

Das vollständige Interview lesen Sie auf it-daily.net

In dem Interview werden u.a. folgende weitere Fragen thematisiert:

Warum ist gerade die Finanzbranche so ein „leichtes“ oder bevorzugtes Ziel?

Wie lässt sich biometrische Identifikation unternehmensintern umsetzen, welche Möglichkeiten gibt es?

Anhand von künstlicher Intelligenz können Betrugsversuche ermittelt werden. Wie schnell kann nach so einer Meldung dann tatsächlich gehandelt werden?

IT Verlag für Informationstechnik GmbH

Die it verlag für Informationstechnik GmbH publiziert das Magazin it management mit dem Supplement it security. Im Online-Bereich stehen mit der News-Portal www.it-daily.net und diversen Newslettern wertvolle Informationsquellen für IT Professionals zur Verfügung. Mit eBooks, Whitepapern und Konferenzen zu Themen der Enterprise IT rundet der Verlag sein Angebot zu News aus der IT-Welt ab.

www.it-daily.net

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.