Streaming-Dienste als Einfallstor: Cyberkrimineller Missbrauch privater Credentials für Credential-Stuffing-Angriffe auf Unternehmen

Da ein nicht unerheblicher Teil der Opfer nach wie vor Passwort-Recycling betreibt, können Angreifer erbeutete private „Credentials“ leicht für „Credential Stuffing“-Angriffe ausnutzen

[datensicherheit.de, 23.05.2026] Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, widmet sich in seiner aktuellen Stellungnahme einer Phishing-Kampagne, welche es demnach auf die „Credentials“ der Kunden von Streaming-Diensten, wie z.B. „Netflix“, „hulu“, „Disney“ oder auch „HBO“, abgesehen hat. So haben vor Kurzem Sicherheitsanalysten von Bitdefender in einem Blog-Beitrag Phishing-Kampagnen analysiert, welche auf die „Credentials“ der Kunden von bekannten Streaming-Diensten zielen. Da ein nicht unerheblicher Teil der Opfer nach wie vor Passwort-Recycling betreibe, könnten die Angreifer die erbeuteten „Credentials“ dann für „Credential Stuffing“-Angriffe missbrauchen. Auch für Unternehmen wird dieser neue Angriffsvektor, welcher gezielt die privaten Nutzerkonten der Mitarbeiter ins Visier nimmt, laut Krämer „zunehmend zum Problem“.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Die Angreifer machen sich zunutze, dass ein erheblicher Teil ihrer Opfer eine allenfalls mangelhafte Passwort-Hygiene betreibt

Opfer sollen dazu gebracht werden, auf einen in einer Nachricht enthaltenden Link zu klicken

„In aller Regel beginnen die Angriffe mit dem Empfang einer Nachricht per E-Mail oder SMS“, berichtet Krämer. Die Opfer sollten ihr Konto bestätigen oder an einer Umfrage teilnehmen. „Dringlichkeit und Zeitdruck werden vorgetäuscht!“

• So sollen die Opfer dazu gebracht werden, auf einen in der Nachricht enthaltenden Link zu klicken. Dieser führe sie dann auf eine nahezu perfekte Imitation der Landingpage ihres Streaming-Dienstes – „wo sie dazu aufgefordert werden, ihre E-Mail-Adresse und ihr Passwort – nicht selten auch ihre Zahlungsdaten – einzugeben“.

Doch damit nicht genug: „Die vom Konto des Streaming-Dienstes erbeuteten ,Credentials’ sind nicht das eigentliche Ziel der Angreifer. Sie dienen lediglich als Ausgangspunkt für die eigentliche Attacke. Die Angreifer machen sich zunutze, dass ein erheblicher Teil ihrer Opfer eine allenfalls mangelhafte Passwort-Hygiene betreibt.“

Cyberkriminelle haben eine Chance von 1:5, mit erbeuteten Daten „Credential Stuffing“-Angriffe zu starten

Rund 20 Prozent aller Betroffenen nutzten über verschiedene Plattformen hinweg dasselbe Passwort. „Das heißt, Cyberkriminelle haben eine Chance von 1 zu 5 mit den erbeuteten ,Credentials’ einen ,Credential Stuffing’-Angriff zu einem erfolgreichen Abschluss zu führen.“

• In großem Stil testeten sie die frisch erbeuteten E-Mail-Passwort-Kombinationen mittels automatisierter Skripte an verschiedenen Login-Portalen – so lange, bis sie Erfolg haben.

Ein enormes Risiko – auch und gerade für die Unternehmens-IT – , denn mit Vorliebe testeten die Angreifer die erbeuteten E-Mail-Passwort-Kombinationen an Unternehmens-VPNs, Remote-Desktop-Gateways, „Corporate E-Mail-Accounts“, wie „Microsoft 365“, sowie Kollaborations- und B2B-Zahlungsplattformen. Es bestehe also ein erhebliches Risiko, „dass ein Mitarbeiter durch die Kompromittierung seines privaten Streaming-Passworts Cyberkriminellen Tür und Tor zur Infrastruktur seines Arbeitgebers öffnet“.

KnowBe4-Tipps zur Verhinderung von „Credential Stuffing“-Angriffen

Unternehmen kann laut Krämer hierzu nur geraten werden:

• klare Passwort-Richtlinien zu definieren:
  Einzigartige Passwörter für jedes „Account“ sollten absolute Pflicht sein. Der Einsatz von „Enterprise Password“-Managern könne helfen, das Recycling von Passwörtern durch die eigenen Mitarbeiter zu verhindern.
• eine flächendeckende MFA einzuführen:
  Alle kritischen Systeme sollten obligatorisch über eine Multi-Faktor-Authentifizierung (MFA) abgesichert sein, wobei der Absicherung des primären E-Mail-Kontos – als Dreh- und Angelpunkt etwaiger Passwort-Resets – höchste Priorität zufallen sollte.
• sämtliche Endpunkte zu schützen:
  Um auf Netzwerkebene Phishing-Webseiten rechtzeitig zu blockieren und etwaige „Secondary Payloads“ abzuwehren, sei der Einsatz zuverlässiger EDR-Lösungen (Endpoint Detection and Response) von entscheidender Bedeutung.
• das Sicherheitsbewusstsein der Belegschaft proaktiv zu schärfen:
  Sämtliche Mitarbeiter sollten darin geschult werden, bei E-Mails, die künstlich Dringlichkeit erzeugen, misstrauisch zu werden und abonnierte Plattformen stets direkt über ihren Browser aufzurufen – nicht über Links in E-Mails oder SMS-Nachrichten.

Im heutigen Digitalen Zeitalter sei die kontinuierliche Aufklärung der gesamten Belegschaft über sämtliche Cyberrisiken – sowohl über solche, die am Arbeitsplatz als auch über solche, die Zuhause bestehen – „ein zentraler Schritt auf dem Weg zur Verwirklichung einer ganzheitlichen Unternehmenssicherheit“, betont Krämer abschließend.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

knowbe4, April 2026
Phishing Threat Trends Report

Bitdefender, Silviu Stahie, 27.04.2026
Netflix Phishing Scams: They’re More Dangerous Than You Think

datensicherheit.de, 25.10.2021
Warnung der PSW GROUP: Soziale Netzwerke als Brutstätten für Attacken mittels Credential Stuffing / Für sämtliche Web-Dienste dieselben Login-Daten zu verwenden ermöglicht Credential Stuffing

datensicherheit.de, 23.11.2020
Prognose: Smartphone-Credentials sind die Zukunft der Zugangskontrolle / Herangehensweise muss überdacht werden und neue Technologien eingesetzt werden

datensicherheit.de, 20.05.2020
Finanzsektor: Steigende Anzahl an DDoS- und Credential-Stuffing-Angriffen / Überdurchschnittlich viele Vorkommnisse im April 2020