Abo
  • Services:

Credential Stuffing: 90 Prozent der Loginversuche in Shops kommen von Unbefugten

Obwohl es 2017 weniger Fälle geleakter Zugangsdaten gab, blüht der Handel mit E-Mail-Adressen und Passwörtern wie eh und je. Das funktioniert auch deswegen so gut, weil Nutzer noch immer ein und dasselbe Passwort für verschiedene Konten verwenden.

Artikel veröffentlicht am ,
Das Wiederverwenden von Passwörtern macht Hackern das Leben leicht.
Das Wiederverwenden von Passwörtern macht Hackern das Leben leicht. (Bild: Santeri Viinamäki/CC-BY-SA 4.0)

Mit durchschnittlich 80 bis 90 Prozent kommt die große Mehrheit des Login-Traffics in Onlineshops von Unbefugten. Das ist zumindest das Ergebnis eines von der IT-Sicherheitsfirma Shape Security veröffentlichen Berichts über das Leaken und den Handel mit Zugangsdaten im Internet.

Stellenmarkt
  1. Bosch-Gruppe, Reutlingen
  2. netvico GmbH, Stuttgart

Demnach probierten Hacker auch 2017 wieder in großem Umfang Zugangsdaten, die sie aus großen geleakten Datenbanken erbeuten, in Onlineshops einzusetzen und so auf fremden Namen einzukaufen. Besonders beliebt sei das sogenannte Credential Stuffing bei Elektronikhändlern, Webseiten von Fluggesellschaften und sogar bei Händlern teurer Käsesorten.

Erst diese Woche berichteten Medien, in Internetforen seien über 15.500 Zugangsdaten für die Filesharing-Plattform Mega aufgetaucht. Diese seien aber nicht etwa bei Mega selbst erbeutet worden, sondern stammten aus anderen Leaks. Sie funktionierten aber für Mega-Konten, weil Nutzer ihre Passwörter wiederverwendeten.

Professionelle Bandenkriminalität

Solche Angreifer arbeiteten dabei schon längst nicht mehr manuell. Professionelle Software-Tools könnten große Mengen Zugangsdaten bei allen möglichen Plattformen, Onlinebanking-Seiten oder E-Mail-Anbietern auf Korrektheit testen. Ist die Validität der Daten bestätigt, könnten diese manuell missbraucht werden, um die gehackten Kontozugänge zu Geld zu machen. Solche sogenannten Account Checker könnten auch als Software-As-A-Service gemietet werden.

"Die Mehrheit der Versuche, mit geleakten Zugangsdaten fremde Konten zu übernehmen, werden von kriminellen Organisationen durchgeführt, die rein finanziell motiviert sind. Solche Organisationen kaufen und handeln mit Gütern, für die eine stetig hohe Nachfrage besteht", schreibt Shape Security in seinem Bericht. "Nachdem die Täter in ein fremdes Kundenkonto eingedrungen sind, laden sie sich die virtuellen Einkaufswagen voll mit Jersey-Blue-Käse und verkaufen diesen auf dem grauen Markt."

Die mit 60 Prozent illegitimern Loginversuche am zweit häufigsten betroffene Industrie seien Fluggesellschaften, auf deren Webseiten sich wertvolle Bonusmeilen aus Kundenkonten stehlen lassen. Ähnlich wie Onlineshops seien solche Webseiten häufig weniger stark geschützt als beispielsweise Zugänge zum Onlinebanking. Weil Nutzer sich zudem seltener in ihr Bonusmeilen-Konto einloggten, blieben Angriffe länger unbemerkt.

Große Leaks eher rückläufig

Insgesamt scheint sich die Lage im vergangenen Jahr etwas verbessert zu haben. Zwar habe es wie bereits im Jahr zuvor auch 2017 wieder über 50 öffentlich bekanntgewordene Leaks großer Mengen Zugangsdaten gegeben, der durchschnittliche Umfang der Leaks - also die Anzahl betroffener Konten - ist aber laut dem Bericht zurückgegangen.

Eine große Ausnahme bilden dabei die drei digitalen Einbrüche bei Yahoo, die alle anderen Vorfälle bei weitem überragten. Yahoo brach bereits 2016 alle Rekorde, als Hacker insgesamt Zugangsdaten von einer Milliarde Yahoo-Nutzern entwendeten. Im darauf folgenden Jahr musste das Unternehmen dann eingestehen, dass in früheren Angriffen zwei Milliarden weitere Nutzerkonten von den Leaks betroffen waren.

Trotz des statistischen Rückgangs 2017 werden laut Shape Security weltweit im Durchschnitt noch immer die Zugangsdaten von täglich einer Million Nutzerkonten geleakt. Bei mehr als der Hälfte davon handelt es sich um Zugangsdaten für Onlineforen und Onlinedienste wie E-Mail-Konten oder Cloud-Dienste.

Wie sich Nutzer schützen können

Dass Onlineforen oder große Internetkonzerne gehackt und Zugangsdaten gestohlen werden, können Nutzer kaum verhindern. Trotzdem lassen sich Onlinekonten vor unbefugtem Zugriff schützen, indem sich Nutzer über bekanntgewordene Hacks informieren und vor allem ein Passwort niemals mehrfach verwenden. Gelangen die Zugangsdaten für ein Forum an die Öffentlichkeit, bleibt so zumindest das Mailkonto und der Bankzugang geschützt.

Um die vielen, idealerweise auch noch starken Passwörter nicht zu vergessen, empfiehlt sich der Einsatz eines Passwort-Managers wie zum Beispiel Keepass (kostenlos), 1Password oder Lastpass (beide kommerziell).

Darüber hinaus lassen sich wichtige Konten zusätzlich per sogenannter Zwei-Faktor-Authentifizierung (2FA) schützen. Am sichersten ist es, sich dabei von einer entsprechenden App bei jedem Login einen Einmal-Code generieren zu lassen. Der weit verbreitete OTP-Standard sorgt für eine große Auswahl kompatibler Apps. Manche Onlinedienste wie etwa Linkedin bieten ausschließlich SMS-basierte 2FA an. Die gilt zwar als weniger sicher, ist aber besser als nichts. Eine Übersicht, welche Dienste 2FA anbieten, stellt die Webseite Twofactorauth.org zur Verfügung.



Anzeige
Spiele-Angebote
  1. (-68%) 8,88€
  2. (-83%) 4,99€
  3. 14,99€

wlorenz65 21. Jul 2018 / Themenstart

Klar, Canonical muss man vertrauen. Wenn die Spyware mit installieren, kann man als...

Hotohori 20. Jul 2018 / Themenstart

Weil die Captchas eben zu einem großen Teil inzwischen auch schon "geknackt" sind, heißt...

torrbox 20. Jul 2018 / Themenstart

Das ist kein Problem, da man nach dem dritten Versuch gesperrt wird. Das könnten...

Eheran 20. Jul 2018 / Themenstart

Wie gesagt, selbstverständlich findet das offline statt. Realistisch sind dann auch eher...

ML82 20. Jul 2018 / Themenstart

und? die funktionieren eh nicht an jedem gerät bzw. müssten dort erst eingerichtet...

Kommentieren


Folgen Sie uns
       


Youtube Music - angeschaut

Wir haben uns das neue Youtube Music angeschaut. Davon gibt es eine kostenlose Version mit Werbeeinblendungen und zwei Abomodelle. Youtube Music Premium ist quasi der Nachfolger von Googles Play Musik. Das Monatsabo für Youtube Music Premium kostet 9,99 Euro.

Youtube Music - angeschaut Video aufrufen
Foam: Geodaten auf der Blockchain
Foam
Geodaten auf der Blockchain

Sinnvolle Blockchain-Anwendungen sind noch immer rar. Das Unternehmen Foam aus Brooklyn will Location Services auf die Blockchain bringen und setzt dabei auf ein Lora-Netzwerk statt auf GPS.
Von Dirk Koller


    The Cycle angespielt: Wenn Freunde sich in den Rücken fallen
    The Cycle angespielt
    Wenn Freunde sich in den Rücken fallen

    Unter 20 Leuten findet sich immer ein Verbündeter - und der ist bei The Cycle des Berliner Studios Yager wichtig, denn wir haben nur 20 Minuten, um Aufträge zu erfüllen und von einem Planeten zu fliehen. In der Closed Alpha klappte das nämlich nicht immer so, wie von uns beabsichtigt.
    Ein Hands on von Marc Sauter

    1. Contracts Sniper Ghost Warrior 4 ohne offene Welt
    2. Human Head Studios Wikingerspiel Rune kommt in den Early Access
    3. Games Deutsche Spielentwickler verlieren weiter Marktanteile

    Computacenter: So gewinnt ein IT-Unternehmen Mitarbeiterinnen
    Computacenter
    So gewinnt ein IT-Unternehmen Mitarbeiterinnen

    Frauen hätten weniger Interesse an IT-Berufen als Männer und daran könne man nichts ändern, wird oft behauptet. Der IT-Dienstleister Computacenter hat andere Erfahrungen gemacht.
    Ein Interview von Juliane Gringer

    1. Studitemps Einige Studierende verdienen in der IT unter Mindestlohn
    2. SAP-Berater Der coolste Job nach Tourismusmanager und Bierbrauer
    3. Digital Office Index 2018 Jeder zweite Beschäftigte sitzt am Computer

      •  /