Credential Stuffing: 90 Prozent der Loginversuche in Shops kommen von Unbefugten

Obwohl es 2017 weniger Fälle geleakter Zugangsdaten gab, blüht der Handel mit E-Mail-Adressen und Passwörtern wie eh und je. Das funktioniert auch deswegen so gut, weil Nutzer noch immer ein und dasselbe Passwort für verschiedene Konten verwenden.

Artikel veröffentlicht am ,
Das Wiederverwenden von Passwörtern macht Hackern das Leben leicht.
Das Wiederverwenden von Passwörtern macht Hackern das Leben leicht. (Bild: Santeri Viinamäki/CC-BY-SA 4.0)

Mit durchschnittlich 80 bis 90 Prozent kommt die große Mehrheit des Login-Traffics in Onlineshops von Unbefugten. Das ist zumindest das Ergebnis eines von der IT-Sicherheitsfirma Shape Security veröffentlichen Berichts über das Leaken und den Handel mit Zugangsdaten im Internet.

Demnach probierten Hacker auch 2017 wieder in großem Umfang Zugangsdaten, die sie aus großen geleakten Datenbanken erbeuten, in Onlineshops einzusetzen und so auf fremden Namen einzukaufen. Besonders beliebt sei das sogenannte Credential Stuffing bei Elektronikhändlern, Webseiten von Fluggesellschaften und sogar bei Händlern teurer Käsesorten.

Erst diese Woche berichteten Medien, in Internetforen seien über 15.500 Zugangsdaten für die Filesharing-Plattform Mega aufgetaucht. Diese seien aber nicht etwa bei Mega selbst erbeutet worden, sondern stammten aus anderen Leaks. Sie funktionierten aber für Mega-Konten, weil Nutzer ihre Passwörter wiederverwendeten.

Professionelle Bandenkriminalität

Solche Angreifer arbeiteten dabei schon längst nicht mehr manuell. Professionelle Software-Tools könnten große Mengen Zugangsdaten bei allen möglichen Plattformen, Onlinebanking-Seiten oder E-Mail-Anbietern auf Korrektheit testen. Ist die Validität der Daten bestätigt, könnten diese manuell missbraucht werden, um die gehackten Kontozugänge zu Geld zu machen. Solche sogenannten Account Checker könnten auch als Software-As-A-Service gemietet werden.

"Die Mehrheit der Versuche, mit geleakten Zugangsdaten fremde Konten zu übernehmen, werden von kriminellen Organisationen durchgeführt, die rein finanziell motiviert sind. Solche Organisationen kaufen und handeln mit Gütern, für die eine stetig hohe Nachfrage besteht", schreibt Shape Security in seinem Bericht. "Nachdem die Täter in ein fremdes Kundenkonto eingedrungen sind, laden sie sich die virtuellen Einkaufswagen voll mit Jersey-Blue-Käse und verkaufen diesen auf dem grauen Markt."

Die mit 60 Prozent illegitimern Loginversuche am zweit häufigsten betroffene Industrie seien Fluggesellschaften, auf deren Webseiten sich wertvolle Bonusmeilen aus Kundenkonten stehlen lassen. Ähnlich wie Onlineshops seien solche Webseiten häufig weniger stark geschützt als beispielsweise Zugänge zum Onlinebanking. Weil Nutzer sich zudem seltener in ihr Bonusmeilen-Konto einloggten, blieben Angriffe länger unbemerkt.

Große Leaks eher rückläufig

Insgesamt scheint sich die Lage im vergangenen Jahr etwas verbessert zu haben. Zwar habe es wie bereits im Jahr zuvor auch 2017 wieder über 50 öffentlich bekanntgewordene Leaks großer Mengen Zugangsdaten gegeben, der durchschnittliche Umfang der Leaks - also die Anzahl betroffener Konten - ist aber laut dem Bericht zurückgegangen.

Eine große Ausnahme bilden dabei die drei digitalen Einbrüche bei Yahoo, die alle anderen Vorfälle bei weitem überragten. Yahoo brach bereits 2016 alle Rekorde, als Hacker insgesamt Zugangsdaten von einer Milliarde Yahoo-Nutzern entwendeten. Im darauf folgenden Jahr musste das Unternehmen dann eingestehen, dass in früheren Angriffen zwei Milliarden weitere Nutzerkonten von den Leaks betroffen waren.

Trotz des statistischen Rückgangs 2017 werden laut Shape Security weltweit im Durchschnitt noch immer die Zugangsdaten von täglich einer Million Nutzerkonten geleakt. Bei mehr als der Hälfte davon handelt es sich um Zugangsdaten für Onlineforen und Onlinedienste wie E-Mail-Konten oder Cloud-Dienste.

Wie sich Nutzer schützen können

Dass Onlineforen oder große Internetkonzerne gehackt und Zugangsdaten gestohlen werden, können Nutzer kaum verhindern. Trotzdem lassen sich Onlinekonten vor unbefugtem Zugriff schützen, indem sich Nutzer über bekanntgewordene Hacks informieren und vor allem ein Passwort niemals mehrfach verwenden. Gelangen die Zugangsdaten für ein Forum an die Öffentlichkeit, bleibt so zumindest das Mailkonto und der Bankzugang geschützt.

Um die vielen, idealerweise auch noch starken Passwörter nicht zu vergessen, empfiehlt sich der Einsatz eines Passwort-Managers wie zum Beispiel Keepass (kostenlos), 1Password oder Lastpass (beide kommerziell).

Darüber hinaus lassen sich wichtige Konten zusätzlich per sogenannter Zwei-Faktor-Authentifizierung (2FA) schützen. Am sichersten ist es, sich dabei von einer entsprechenden App bei jedem Login einen Einmal-Code generieren zu lassen. Der weit verbreitete OTP-Standard sorgt für eine große Auswahl kompatibler Apps. Manche Onlinedienste wie etwa Linkedin bieten ausschließlich SMS-basierte 2FA an. Die gilt zwar als weniger sicher, ist aber besser als nichts. Eine Übersicht, welche Dienste 2FA anbieten, stellt die Webseite Twofactorauth.org zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


wlorenz65 21. Jul 2018

Klar, Canonical muss man vertrauen. Wenn die Spyware mit installieren, kann man als...

Hotohori 20. Jul 2018

Weil die Captchas eben zu einem großen Teil inzwischen auch schon "geknackt" sind, heißt...

torrbox 20. Jul 2018

Das ist kein Problem, da man nach dem dritten Versuch gesperrt wird. Das könnten...

Eheran 20. Jul 2018

Wie gesagt, selbstverständlich findet das offline statt. Realistisch sind dann auch eher...



Aktuell auf der Startseite von Golem.de
Intel Core i9-14900KS
Intel ist wahnsinnig geworden - zum Glück!

Um den Core i9-14900KS zur schnellsten Allround-CPU zu machen, hat Intel den Weg der Vernunft scheinbar vollständig verlassen. Doch dahinter stecken gute Neuigkeiten für Intel-Kunden.
Ein IMHO von Martin Böckmann

Intel Core i9-14900KS: Intel ist wahnsinnig geworden - zum Glück!
Artikel
  1. FTX-Gründer: Sam Bankman-Fried zu 25 Jahren Haft verurteilt
    FTX-Gründer
    Sam Bankman-Fried zu 25 Jahren Haft verurteilt

    Der Richter betonte die Dreistigkeit der Handlungen von Bankman-Fried. Doch die Haftstrafe für den früheren Chef der Kryptobörse FTX liegt weit unter der Forderung der Anklage.

  2. Streaming: Twitch verbietet Popos als Leinwand
    Streaming
    Twitch verbietet Popos als Leinwand

    Auf Hinterteile projizierte Streams sind auf Twitch künftig verboten: Der zu Amazon gehörende Dienst geht gegen einen absurden Trend vor.

  3. Artemis 3: Nasa plant ein Gewächshaus auf dem Mond
    Artemis 3
    Nasa plant ein Gewächshaus auf dem Mond

    In wenigen Jahren sollen wieder Menschen auf dem Mond landen. Die Nasa bereitet das wissenschaftliche Programm vor.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Palit 4070 Super 579,95€ • Xbox-Controller ab 39,99€ • AVM Fritzbox + Repeater -30% • DVDs & Blu-rays -31% • EA -75% • Ubisoft -50% • MindStar: AMD Ryzen 9 7900 339€, MSI RTX 4080 Super Ventus 3X OC 1.099€ • Gratis-Zugaben PS5 Slim & Nintendo Switch OLED beim TV-Kauf [Werbung]
    •  /