• IT-Karriere:
  • Services:

Credential Stuffing: 90 Prozent der Loginversuche in Shops kommen von Unbefugten

Obwohl es 2017 weniger Fälle geleakter Zugangsdaten gab, blüht der Handel mit E-Mail-Adressen und Passwörtern wie eh und je. Das funktioniert auch deswegen so gut, weil Nutzer noch immer ein und dasselbe Passwort für verschiedene Konten verwenden.

Artikel veröffentlicht am ,
Das Wiederverwenden von Passwörtern macht Hackern das Leben leicht.
Das Wiederverwenden von Passwörtern macht Hackern das Leben leicht. (Bild: Santeri Viinamäki/CC-BY-SA 4.0)

Mit durchschnittlich 80 bis 90 Prozent kommt die große Mehrheit des Login-Traffics in Onlineshops von Unbefugten. Das ist zumindest das Ergebnis eines von der IT-Sicherheitsfirma Shape Security veröffentlichen Berichts über das Leaken und den Handel mit Zugangsdaten im Internet.

Stellenmarkt
  1. Die Autobahn GmbH des Bundes, Bochum, Münster, Osnabrück
  2. THD - Technische Hochschule Deggendorf, Deggendorf

Demnach probierten Hacker auch 2017 wieder in großem Umfang Zugangsdaten, die sie aus großen geleakten Datenbanken erbeuten, in Onlineshops einzusetzen und so auf fremden Namen einzukaufen. Besonders beliebt sei das sogenannte Credential Stuffing bei Elektronikhändlern, Webseiten von Fluggesellschaften und sogar bei Händlern teurer Käsesorten.

Erst diese Woche berichteten Medien, in Internetforen seien über 15.500 Zugangsdaten für die Filesharing-Plattform Mega aufgetaucht. Diese seien aber nicht etwa bei Mega selbst erbeutet worden, sondern stammten aus anderen Leaks. Sie funktionierten aber für Mega-Konten, weil Nutzer ihre Passwörter wiederverwendeten.

Professionelle Bandenkriminalität

Solche Angreifer arbeiteten dabei schon längst nicht mehr manuell. Professionelle Software-Tools könnten große Mengen Zugangsdaten bei allen möglichen Plattformen, Onlinebanking-Seiten oder E-Mail-Anbietern auf Korrektheit testen. Ist die Validität der Daten bestätigt, könnten diese manuell missbraucht werden, um die gehackten Kontozugänge zu Geld zu machen. Solche sogenannten Account Checker könnten auch als Software-As-A-Service gemietet werden.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

"Die Mehrheit der Versuche, mit geleakten Zugangsdaten fremde Konten zu übernehmen, werden von kriminellen Organisationen durchgeführt, die rein finanziell motiviert sind. Solche Organisationen kaufen und handeln mit Gütern, für die eine stetig hohe Nachfrage besteht", schreibt Shape Security in seinem Bericht. "Nachdem die Täter in ein fremdes Kundenkonto eingedrungen sind, laden sie sich die virtuellen Einkaufswagen voll mit Jersey-Blue-Käse und verkaufen diesen auf dem grauen Markt."

Die mit 60 Prozent illegitimern Loginversuche am zweit häufigsten betroffene Industrie seien Fluggesellschaften, auf deren Webseiten sich wertvolle Bonusmeilen aus Kundenkonten stehlen lassen. Ähnlich wie Onlineshops seien solche Webseiten häufig weniger stark geschützt als beispielsweise Zugänge zum Onlinebanking. Weil Nutzer sich zudem seltener in ihr Bonusmeilen-Konto einloggten, blieben Angriffe länger unbemerkt.

Große Leaks eher rückläufig

Insgesamt scheint sich die Lage im vergangenen Jahr etwas verbessert zu haben. Zwar habe es wie bereits im Jahr zuvor auch 2017 wieder über 50 öffentlich bekanntgewordene Leaks großer Mengen Zugangsdaten gegeben, der durchschnittliche Umfang der Leaks - also die Anzahl betroffener Konten - ist aber laut dem Bericht zurückgegangen.

Eine große Ausnahme bilden dabei die drei digitalen Einbrüche bei Yahoo, die alle anderen Vorfälle bei weitem überragten. Yahoo brach bereits 2016 alle Rekorde, als Hacker insgesamt Zugangsdaten von einer Milliarde Yahoo-Nutzern entwendeten. Im darauf folgenden Jahr musste das Unternehmen dann eingestehen, dass in früheren Angriffen zwei Milliarden weitere Nutzerkonten von den Leaks betroffen waren.

Trotz des statistischen Rückgangs 2017 werden laut Shape Security weltweit im Durchschnitt noch immer die Zugangsdaten von täglich einer Million Nutzerkonten geleakt. Bei mehr als der Hälfte davon handelt es sich um Zugangsdaten für Onlineforen und Onlinedienste wie E-Mail-Konten oder Cloud-Dienste.

Wie sich Nutzer schützen können

Dass Onlineforen oder große Internetkonzerne gehackt und Zugangsdaten gestohlen werden, können Nutzer kaum verhindern. Trotzdem lassen sich Onlinekonten vor unbefugtem Zugriff schützen, indem sich Nutzer über bekanntgewordene Hacks informieren und vor allem ein Passwort niemals mehrfach verwenden. Gelangen die Zugangsdaten für ein Forum an die Öffentlichkeit, bleibt so zumindest das Mailkonto und der Bankzugang geschützt.

Um die vielen, idealerweise auch noch starken Passwörter nicht zu vergessen, empfiehlt sich der Einsatz eines Passwort-Managers wie zum Beispiel Keepass (kostenlos), 1Password oder Lastpass (beide kommerziell).

Darüber hinaus lassen sich wichtige Konten zusätzlich per sogenannter Zwei-Faktor-Authentifizierung (2FA) schützen. Am sichersten ist es, sich dabei von einer entsprechenden App bei jedem Login einen Einmal-Code generieren zu lassen. Der weit verbreitete OTP-Standard sorgt für eine große Auswahl kompatibler Apps. Manche Onlinedienste wie etwa Linkedin bieten ausschließlich SMS-basierte 2FA an. Die gilt zwar als weniger sicher, ist aber besser als nichts. Eine Übersicht, welche Dienste 2FA anbieten, stellt die Webseite Twofactorauth.org zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (1TB für 41,65€, 5TB für 92,65€)
  2. (u. a. Hitman 3 - Epic Games Store Key für 34,49€, Medieval Dynasty für 8,99€)
  3. 2.449,00€
  4. gratis (bis 22.04.)

wlorenz65 21. Jul 2018

Klar, Canonical muss man vertrauen. Wenn die Spyware mit installieren, kann man als...

Hotohori 20. Jul 2018

Weil die Captchas eben zu einem großen Teil inzwischen auch schon "geknackt" sind, heißt...

torrbox 20. Jul 2018

Das ist kein Problem, da man nach dem dritten Versuch gesperrt wird. Das könnten...

Eheran 20. Jul 2018

Wie gesagt, selbstverständlich findet das offline statt. Realistisch sind dann auch eher...

Anonymer Nutzer 20. Jul 2018

und? die funktionieren eh nicht an jedem gerät bzw. müssten dort erst eingerichtet...


Folgen Sie uns
       


Outriders angespielt

Im Video stellt Golem.de das von People Can Fly entwickelte Actionspiel Outriders vor.

Outriders angespielt Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /