Abo
  • IT-Karriere:

Credential Stuffing: 90 Prozent der Loginversuche in Shops kommen von Unbefugten

Obwohl es 2017 weniger Fälle geleakter Zugangsdaten gab, blüht der Handel mit E-Mail-Adressen und Passwörtern wie eh und je. Das funktioniert auch deswegen so gut, weil Nutzer noch immer ein und dasselbe Passwort für verschiedene Konten verwenden.

Artikel veröffentlicht am ,
Das Wiederverwenden von Passwörtern macht Hackern das Leben leicht.
Das Wiederverwenden von Passwörtern macht Hackern das Leben leicht. (Bild: Santeri Viinamäki/CC-BY-SA 4.0)

Mit durchschnittlich 80 bis 90 Prozent kommt die große Mehrheit des Login-Traffics in Onlineshops von Unbefugten. Das ist zumindest das Ergebnis eines von der IT-Sicherheitsfirma Shape Security veröffentlichen Berichts über das Leaken und den Handel mit Zugangsdaten im Internet.

Stellenmarkt
  1. ORTEC, Heidelberg
  2. DATAGROUP Köln GmbH, Köln, Einsatzgebiet Raum Köln / Leverkusen / Monheim / Düsseldorf

Demnach probierten Hacker auch 2017 wieder in großem Umfang Zugangsdaten, die sie aus großen geleakten Datenbanken erbeuten, in Onlineshops einzusetzen und so auf fremden Namen einzukaufen. Besonders beliebt sei das sogenannte Credential Stuffing bei Elektronikhändlern, Webseiten von Fluggesellschaften und sogar bei Händlern teurer Käsesorten.

Erst diese Woche berichteten Medien, in Internetforen seien über 15.500 Zugangsdaten für die Filesharing-Plattform Mega aufgetaucht. Diese seien aber nicht etwa bei Mega selbst erbeutet worden, sondern stammten aus anderen Leaks. Sie funktionierten aber für Mega-Konten, weil Nutzer ihre Passwörter wiederverwendeten.

Professionelle Bandenkriminalität

Solche Angreifer arbeiteten dabei schon längst nicht mehr manuell. Professionelle Software-Tools könnten große Mengen Zugangsdaten bei allen möglichen Plattformen, Onlinebanking-Seiten oder E-Mail-Anbietern auf Korrektheit testen. Ist die Validität der Daten bestätigt, könnten diese manuell missbraucht werden, um die gehackten Kontozugänge zu Geld zu machen. Solche sogenannten Account Checker könnten auch als Software-As-A-Service gemietet werden.

"Die Mehrheit der Versuche, mit geleakten Zugangsdaten fremde Konten zu übernehmen, werden von kriminellen Organisationen durchgeführt, die rein finanziell motiviert sind. Solche Organisationen kaufen und handeln mit Gütern, für die eine stetig hohe Nachfrage besteht", schreibt Shape Security in seinem Bericht. "Nachdem die Täter in ein fremdes Kundenkonto eingedrungen sind, laden sie sich die virtuellen Einkaufswagen voll mit Jersey-Blue-Käse und verkaufen diesen auf dem grauen Markt."

Die mit 60 Prozent illegitimern Loginversuche am zweit häufigsten betroffene Industrie seien Fluggesellschaften, auf deren Webseiten sich wertvolle Bonusmeilen aus Kundenkonten stehlen lassen. Ähnlich wie Onlineshops seien solche Webseiten häufig weniger stark geschützt als beispielsweise Zugänge zum Onlinebanking. Weil Nutzer sich zudem seltener in ihr Bonusmeilen-Konto einloggten, blieben Angriffe länger unbemerkt.

Große Leaks eher rückläufig

Insgesamt scheint sich die Lage im vergangenen Jahr etwas verbessert zu haben. Zwar habe es wie bereits im Jahr zuvor auch 2017 wieder über 50 öffentlich bekanntgewordene Leaks großer Mengen Zugangsdaten gegeben, der durchschnittliche Umfang der Leaks - also die Anzahl betroffener Konten - ist aber laut dem Bericht zurückgegangen.

Eine große Ausnahme bilden dabei die drei digitalen Einbrüche bei Yahoo, die alle anderen Vorfälle bei weitem überragten. Yahoo brach bereits 2016 alle Rekorde, als Hacker insgesamt Zugangsdaten von einer Milliarde Yahoo-Nutzern entwendeten. Im darauf folgenden Jahr musste das Unternehmen dann eingestehen, dass in früheren Angriffen zwei Milliarden weitere Nutzerkonten von den Leaks betroffen waren.

Trotz des statistischen Rückgangs 2017 werden laut Shape Security weltweit im Durchschnitt noch immer die Zugangsdaten von täglich einer Million Nutzerkonten geleakt. Bei mehr als der Hälfte davon handelt es sich um Zugangsdaten für Onlineforen und Onlinedienste wie E-Mail-Konten oder Cloud-Dienste.

Wie sich Nutzer schützen können

Dass Onlineforen oder große Internetkonzerne gehackt und Zugangsdaten gestohlen werden, können Nutzer kaum verhindern. Trotzdem lassen sich Onlinekonten vor unbefugtem Zugriff schützen, indem sich Nutzer über bekanntgewordene Hacks informieren und vor allem ein Passwort niemals mehrfach verwenden. Gelangen die Zugangsdaten für ein Forum an die Öffentlichkeit, bleibt so zumindest das Mailkonto und der Bankzugang geschützt.

Um die vielen, idealerweise auch noch starken Passwörter nicht zu vergessen, empfiehlt sich der Einsatz eines Passwort-Managers wie zum Beispiel Keepass (kostenlos), 1Password oder Lastpass (beide kommerziell).

Darüber hinaus lassen sich wichtige Konten zusätzlich per sogenannter Zwei-Faktor-Authentifizierung (2FA) schützen. Am sichersten ist es, sich dabei von einer entsprechenden App bei jedem Login einen Einmal-Code generieren zu lassen. Der weit verbreitete OTP-Standard sorgt für eine große Auswahl kompatibler Apps. Manche Onlinedienste wie etwa Linkedin bieten ausschließlich SMS-basierte 2FA an. Die gilt zwar als weniger sicher, ist aber besser als nichts. Eine Übersicht, welche Dienste 2FA anbieten, stellt die Webseite Twofactorauth.org zur Verfügung.



Anzeige
Hardware-Angebote
  1. ab 194,90€
  2. 169,90€ + Versand
  3. 469,00€

wlorenz65 21. Jul 2018

Klar, Canonical muss man vertrauen. Wenn die Spyware mit installieren, kann man als...

Hotohori 20. Jul 2018

Weil die Captchas eben zu einem großen Teil inzwischen auch schon "geknackt" sind, heißt...

torrbox 20. Jul 2018

Das ist kein Problem, da man nach dem dritten Versuch gesperrt wird. Das könnten...

Eheran 20. Jul 2018

Wie gesagt, selbstverständlich findet das offline statt. Realistisch sind dann auch eher...

ML82 20. Jul 2018

und? die funktionieren eh nicht an jedem gerät bzw. müssten dort erst eingerichtet...


Folgen Sie uns
       


Parrot Anafi Thermal angesehen

Die Anafi Thermal kann dank Wärmebildsensor Temperaturdaten von -10 bis 400° Celsius messen.

Parrot Anafi Thermal angesehen Video aufrufen
Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Heimautomatisierung Wäschefaltroboter-Hersteller Seven Dreamers ist insolvent
  2. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  3. Automatisierung Roboterhotel entlässt Roboter

Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

Urheberrechtsreform: Was das Internet nicht vergessen sollte
Urheberrechtsreform
Was das Internet nicht vergessen sollte

Die Reform des europäischen Urheberrechts ist eine Niederlage für viele Netzaktivisten. Zwar sind die Folgen der Richtlinie derzeit kaum absehbar. Doch es sollten die richtigen Lehren aus der jahrelangen Debatte mit den Internetgegnern gezogen werden.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht VG Media will Milliarden von Google
  2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
  3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

    •  /