Abo
  • Services:

Credential Stuffing: 90 Prozent der Loginversuche in Shops kommen von Unbefugten

Obwohl es 2017 weniger Fälle geleakter Zugangsdaten gab, blüht der Handel mit E-Mail-Adressen und Passwörtern wie eh und je. Das funktioniert auch deswegen so gut, weil Nutzer noch immer ein und dasselbe Passwort für verschiedene Konten verwenden.

Artikel veröffentlicht am ,
Das Wiederverwenden von Passwörtern macht Hackern das Leben leicht.
Das Wiederverwenden von Passwörtern macht Hackern das Leben leicht. (Bild: Santeri Viinamäki/CC-BY-SA 4.0)

Mit durchschnittlich 80 bis 90 Prozent kommt die große Mehrheit des Login-Traffics in Onlineshops von Unbefugten. Das ist zumindest das Ergebnis eines von der IT-Sicherheitsfirma Shape Security veröffentlichen Berichts über das Leaken und den Handel mit Zugangsdaten im Internet.

Stellenmarkt
  1. Bundesinstitut für Risikobewertung, Berlin
  2. Rentschler Biopharma SE, Laupheim

Demnach probierten Hacker auch 2017 wieder in großem Umfang Zugangsdaten, die sie aus großen geleakten Datenbanken erbeuten, in Onlineshops einzusetzen und so auf fremden Namen einzukaufen. Besonders beliebt sei das sogenannte Credential Stuffing bei Elektronikhändlern, Webseiten von Fluggesellschaften und sogar bei Händlern teurer Käsesorten.

Erst diese Woche berichteten Medien, in Internetforen seien über 15.500 Zugangsdaten für die Filesharing-Plattform Mega aufgetaucht. Diese seien aber nicht etwa bei Mega selbst erbeutet worden, sondern stammten aus anderen Leaks. Sie funktionierten aber für Mega-Konten, weil Nutzer ihre Passwörter wiederverwendeten.

Professionelle Bandenkriminalität

Solche Angreifer arbeiteten dabei schon längst nicht mehr manuell. Professionelle Software-Tools könnten große Mengen Zugangsdaten bei allen möglichen Plattformen, Onlinebanking-Seiten oder E-Mail-Anbietern auf Korrektheit testen. Ist die Validität der Daten bestätigt, könnten diese manuell missbraucht werden, um die gehackten Kontozugänge zu Geld zu machen. Solche sogenannten Account Checker könnten auch als Software-As-A-Service gemietet werden.

"Die Mehrheit der Versuche, mit geleakten Zugangsdaten fremde Konten zu übernehmen, werden von kriminellen Organisationen durchgeführt, die rein finanziell motiviert sind. Solche Organisationen kaufen und handeln mit Gütern, für die eine stetig hohe Nachfrage besteht", schreibt Shape Security in seinem Bericht. "Nachdem die Täter in ein fremdes Kundenkonto eingedrungen sind, laden sie sich die virtuellen Einkaufswagen voll mit Jersey-Blue-Käse und verkaufen diesen auf dem grauen Markt."

Die mit 60 Prozent illegitimern Loginversuche am zweit häufigsten betroffene Industrie seien Fluggesellschaften, auf deren Webseiten sich wertvolle Bonusmeilen aus Kundenkonten stehlen lassen. Ähnlich wie Onlineshops seien solche Webseiten häufig weniger stark geschützt als beispielsweise Zugänge zum Onlinebanking. Weil Nutzer sich zudem seltener in ihr Bonusmeilen-Konto einloggten, blieben Angriffe länger unbemerkt.

Große Leaks eher rückläufig

Insgesamt scheint sich die Lage im vergangenen Jahr etwas verbessert zu haben. Zwar habe es wie bereits im Jahr zuvor auch 2017 wieder über 50 öffentlich bekanntgewordene Leaks großer Mengen Zugangsdaten gegeben, der durchschnittliche Umfang der Leaks - also die Anzahl betroffener Konten - ist aber laut dem Bericht zurückgegangen.

Eine große Ausnahme bilden dabei die drei digitalen Einbrüche bei Yahoo, die alle anderen Vorfälle bei weitem überragten. Yahoo brach bereits 2016 alle Rekorde, als Hacker insgesamt Zugangsdaten von einer Milliarde Yahoo-Nutzern entwendeten. Im darauf folgenden Jahr musste das Unternehmen dann eingestehen, dass in früheren Angriffen zwei Milliarden weitere Nutzerkonten von den Leaks betroffen waren.

Trotz des statistischen Rückgangs 2017 werden laut Shape Security weltweit im Durchschnitt noch immer die Zugangsdaten von täglich einer Million Nutzerkonten geleakt. Bei mehr als der Hälfte davon handelt es sich um Zugangsdaten für Onlineforen und Onlinedienste wie E-Mail-Konten oder Cloud-Dienste.

Wie sich Nutzer schützen können

Dass Onlineforen oder große Internetkonzerne gehackt und Zugangsdaten gestohlen werden, können Nutzer kaum verhindern. Trotzdem lassen sich Onlinekonten vor unbefugtem Zugriff schützen, indem sich Nutzer über bekanntgewordene Hacks informieren und vor allem ein Passwort niemals mehrfach verwenden. Gelangen die Zugangsdaten für ein Forum an die Öffentlichkeit, bleibt so zumindest das Mailkonto und der Bankzugang geschützt.

Um die vielen, idealerweise auch noch starken Passwörter nicht zu vergessen, empfiehlt sich der Einsatz eines Passwort-Managers wie zum Beispiel Keepass (kostenlos), 1Password oder Lastpass (beide kommerziell).

Darüber hinaus lassen sich wichtige Konten zusätzlich per sogenannter Zwei-Faktor-Authentifizierung (2FA) schützen. Am sichersten ist es, sich dabei von einer entsprechenden App bei jedem Login einen Einmal-Code generieren zu lassen. Der weit verbreitete OTP-Standard sorgt für eine große Auswahl kompatibler Apps. Manche Onlinedienste wie etwa Linkedin bieten ausschließlich SMS-basierte 2FA an. Die gilt zwar als weniger sicher, ist aber besser als nichts. Eine Übersicht, welche Dienste 2FA anbieten, stellt die Webseite Twofactorauth.org zur Verfügung.



Anzeige
Top-Angebote
  1. (u. a. Canon EOS M100 + Objektiv 15-45 mm + 50€ Cashback für 299€ statt 376,86€ im Vergleich...
  2. (u. a. Inferno Blu-ray Steelbook für 6,99€ und Ni No Kuni 2: Schicksal eines Königreichs King's...
  3. 16,99€ + 3,49€ Versand (Vergleichspreis ca. 30€)
  4. (u. a. NieR Automata für 20,99€ und Dead in Vinland für 12,49€)

wlorenz65 21. Jul 2018 / Themenstart

Klar, Canonical muss man vertrauen. Wenn die Spyware mit installieren, kann man als...

Hotohori 20. Jul 2018 / Themenstart

Weil die Captchas eben zu einem großen Teil inzwischen auch schon "geknackt" sind, heißt...

torrbox 20. Jul 2018 / Themenstart

Das ist kein Problem, da man nach dem dritten Versuch gesperrt wird. Das könnten...

Eheran 20. Jul 2018 / Themenstart

Wie gesagt, selbstverständlich findet das offline statt. Realistisch sind dann auch eher...

ML82 20. Jul 2018 / Themenstart

und? die funktionieren eh nicht an jedem gerät bzw. müssten dort erst eingerichtet...

Kommentieren


Folgen Sie uns
       


Windows 10 on Snapdragon - Test

Wir schauen uns Windows 10 on ARM auf zwei Snapdragon-Notebooks an.

Windows 10 on Snapdragon - Test Video aufrufen
IMHO: Heilloses Durcheinander bei Netflix und Amazon Prime
IMHO
Heilloses Durcheinander bei Netflix und Amazon Prime

Es könnte alles so schön sein abseits vom klassischen Fernsehen. Netflix und Amazon Prime bieten modernes Encoding, 4K-Auflösung, HDR-Farben und -Lichter, flüssige Kamerafahrten wie im Kino - leider nur in der Theorie, denn sie bringen es nicht zum Kunden.
Ein IMHO von Michael Wieczorek

  1. IMHO Ein Lob für Twitter und Github
  2. Linux Mit Ignoranz gegen die GPL
  3. Sicherheit Tag der unsinnigen Passwort-Ratschläge

Raumfahrt: Großbritannien will wieder in den Weltraum
Raumfahrt
Großbritannien will wieder in den Weltraum

Die Briten wollen eigene Raketen bauen und von Großbritannien aus starten. Ein Teil des Geldes dafür kommt auch von Investoren und staatlichen Investitionsfonds aus Deutschland.
Von Frank Wunderlich-Pfeiffer

  1. Chang'e 4 China stellt neuen Mondrover vor
  2. Raumfahrt Cubesats sollen unhackbar werden
  3. Landspace Chinesisches Raumfahrtunternehmen kündigt Raketenstart an

Matebook X Pro im Test: Huaweis zweites Notebook ist klasse
Matebook X Pro im Test
Huaweis zweites Notebook ist klasse

Mit dem Matebook X Pro veröffentlicht Huawei sein zweites Ultrabook. Das schlanke Gerät überzeugt durch ein gutes Display, flotte Hardware samt dedizierter Grafikeinheit, clevere Kühlung und sinnvolle Anschlüsse. Nur die eigenwillig positionierte Webcam halten wir für fragwürdig.
Ein Test von Marc Sauter

  1. Android Huawei stellt zwei neue Tablets mit 10-Zoll-Displays vor
  2. Smartphones Huawei will Ende 2019 Nummer 1 werden
  3. Handelskrieg Huawei-Chef kritisiert Rückständigkeit in den USA

    •  /