[datensicherheit.de, 16.06.2022] Schwache Passwörter wie „123456“ zählten nach wie vor zu den größten Sicherheitsrisiken für Kontoübernahmen durch Cyber-Kriminelle, warnt Digital Shadows im Zusammenhang mit dem neuen Cyber-Threat-Report „Account Takeover in 2022“ – dieser legt demnach das Ausmaß von weltweit geleakten Logindaten im Zusammenhang mit Kontoübernahmen (Account Take Over / ATO) offen. So seien im Darknet mehr als 24 Milliarden Benutzer-Passwort-Kombinationen im Umlauf. Bezogen auf die Weltbevölkerung entspreche dies „vier exponierten Accounts pro Internet-User“. Die Zahl der gestohlenen und offengelegten Zugangsdaten sei damit seit 2020 um rund 65 Prozent gestiegen.

Account Takeover: 6,7 Milliarden der aufgedeckten Logindaten als „unique“ eingestuft

Die Mehrzahl der exponierten Daten betreffe Privatpersonen sowie Verbraucher und umfasse Benutzernamen sowie Passwörter von diversen Accounts – angefangen bei Bankkonten und Onlinehändlern über Streamingdienste und „Social Media“ bis hin zu Unternehmensportalen. Insgesamt 6,7 Milliarden der aufgedeckten Logindaten seien als „unique“ eingestuft und damit erstmals und einmalig auf einem Marktplatz im Darknet zum Verkauf angeboten worden (2020: 5 Milliarden / +34%).

„Angeboten werden die kompromittierten Logindaten in erster Linie über einschlägige Marktplätze sowie Foren im Darknet. Hier hat das cyber-kriminelle Ökosystem in den letzten zwei Jahren deutlich an Umfang und Professionalität gewonnen.“ Neben geleakten Zugangsdaten, Malware und Cracking-Tools könnten interessierte Kunden auch Abo-Dienste und „Premium Services“ rund um Kontoübernahmen abschließen.

„Allein in den letzten 18 Monaten identifizierten die Analysten von Digital Shadows 6,7 Millionen Vorfälle, in denen Logindaten von Kunden auf diversen Plattformen beworben wurden.“ Dazu gehörten die Benutzernamen und Passwörter von Mitarbeitern, Partnern, Kunden sowie von diversen Servern und IoT-Geräten.

Account Takeover durch fehlende Passwort-Hygiene begünstigt

„Größtes Sicherheitsmanko ist laut Studie nach wie vor eine fehlende Passwort-Hygiene. So verwenden Internet-User weiterhin leicht zu erratende Passwörter (z.B. ,Passwort‘) und simple Zahlenfolgen.“

Fast jedes 200-ste Passwort (0,46%) laute „123456“. Beliebt seien außerdem Kombinationen von auf der Computertastatur nahe beieinander liegenden Buchstaben (z.B. „qwertz“, „1q2w3e“). Von den 50 am häufigsten genutzten Passwörtern ließen sich 49 in weniger als einer Sekunde knacken. Einige der dazu benötigten „Tools“ seien für bereits 50 US-Dollar im Darknet erhältlich.

Selbst durch das Hinzufügen von Sonderzeichen (z.B. „@“, „#“) lasse sich das Hacken von Logindaten nur verzögern, nicht aber unbedingt verhindern. Ein zehnteiliges Passwort mit nur einem Sonderzeichen koste Cyber-Kriminelle laut Digital Shadows durchschnittlich 90 Minuten mehr Zeit. Bei zwei Sonderzeichen benötigten Hacker immerhin zwei Tage und vier Stunden.

Problem kompromittierter Anmeldedaten gerät außer Kontrolle und lädt zum Account Takeover ein

„Die Branche bewegt sich zwar mit großen Schritten auf eine passwortlose Zukunft zu. Im Moment scheint das Problem der kompromittierten Anmeldedaten jedoch außer Kontrolle geraten“, so Chris Morgan, „Senior Cyber Threat Intelligence Analyst“ bei Digital Shadows.

Er führt aus: „Kriminelle verfügen über endlose Listen an geleakten oder gestohlenen Zugangsdaten und können sich über die fehlende Kreativität von Anwendern bei der Wahl ihrer Passwörter freuen. Dadurch lassen sich Konten mithilfe von automatisierten und leicht zu bedienenden Cracking-Tools in wenigen Sekunden übernehmen. Viele der Fälle, die wir im Rahmen unserer Studie untersucht haben, hätten durch die Vergabe eines einmaligen und starken Passworts vermieden werden können.“

Um das Risiko von „Account Takover Fraud“ (ATO) auf ein Minimum zu reduzieren, sollten Unternehmen bestimmte Sicherheitsmaßnahmen implementieren und eine umfassende „Threat Intelligence“ aufbauen.

Beispiele für Sicherheitsmaßnahmen gegen Account Takover Fraud

Passwort-Manager
Diese – verfügbar als App auf einem Telefon, Tablet oder Computer – generierten und speicherten komplizierte Passwörter automatisch und vereinfachten die Handhabung für Mitarbeiter.

Multifaktor-Authentifizierung (MFA)
MFA schaffe eine zusätzliche Sicherheitsebene durch das Hinzufügen eines weiteren Faktors zum Authentifizierungsprozess (z. B. PIN, biometrische Daten, USB-Token).

Authentifizierungs-App
Eine solche generiere alle 30 Sekunden einen neuen sechsstelligen Zufallscode, den der Nutzer zur Authentifizierung eingeben müsse.

Kontinuierliches Monitoring von Zugangsdaten
Das kontinuierliche Monitoring von Zugangsdaten von Mitarbeitern, Kunden und Partnern sowie des Unternehmens- und Markennamens helfe, digitale Bedrohungen frühzeitig zu erkennen.

Automatisierte Tools
Scannen des „Open, Deep und Dark Web“ nach geleakten Daten und Alarmmeldung, wenn diese zum Verkauf angeboten werden.

Sensibilisierung
Ein geschärftes Sicherheitsbewusstsein bei Mitarbeitern sowie klare Passwort-Richtlinien verhinderten, dass Passwörter mehrfach vergeben und unternehmenseigene E-Mails für private Konten genutzt werden.

Weitere Informationen zum Thema:

digital shadows
Account Takeover in 2022
https://resources.digitalshadows.com/whitepapers-and-reports/account-takeover-in-2022

datensicherheit.de, 14.06.2022
Betrug: Kontoübernahmen um 58 Prozent angestiegen / „Jetzt kaufen, später zahlen“ – Boom beflügelt Betrug

[datensicherheit.de, 17.01.2021] Mit dem Aus für die illegale Webplattform „DarkMarket“ sei den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyber-Kriminalität gelungen. Im Darknet selbst habe diese Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen hervorgerufen – so Ergebnisse der ersten Untersuchungen des „Threat Intelligence“-Anbieters Digital Shadows.

Darknet-Analysten beobachten Kommunikation

Die Darknet-Analysten fanden nach eigenen Angaben ein Update eines ,DarkMarket‘-Moderators, das bereits 48-Stunden vor der offiziellen Meldung durch Europol auf dem Darknet-Community-Forum ,Dread‘ veröffentlicht wurde und von Problemen bei der Kontaktaufnahme mit dem Administrator von „DarkMarket“ berichtet. In der Community seien danach Vermutung eines „Exit-Scams“ lautgeworden. Auch eine Zerschlagung dieser Plattform sei diskutiert worden.

Marktplätze im Darknet mit Wachstumspotenzial

Die verhaltenen Reaktionen überraschten, da „DarkMarket“ vor allem in den letzten zwölf Monaten ein stetiges Wachstum verzeichnet und mit 500.000 Nutzern erst kürzlich einen „Meilenstein“ erreichte habe. Die rund 2.400 aktiven Verkäufer hätten dabei Geschäfte im Wert von über 140 Millionen Euro abgewickelt. Gehandelt worden sei mit Falschgeld, gestohlenen Kreditkartendaten, anonymen SIM-Karten und Malware. Vor allem aber habe „DarkMarket“ als Umschlagplatz für Drogen gegolten. Durch die mit „Corona“ begründeten „Lockdowns“ hätten auch dort viele Kriminelle ihr Geschäft ins Netz verschieben und Transaktionen über Online-Plattformen im Darknet tätigen müssen.

Darknet-Community sehr flexibel beim Verkauf ihrer Ware

„In den letzten Monaten und Jahren ist es internationalen Ermittler-Teams immer wieder gelungen, wichtige Marktplätze zu schließen. In anderen Fällen – wie ,Empire Market‘ – haben sich die Betreiber selbst aus dem Staub gemacht und das Geld der kriminellen Kundschaft mitgenommen. Das ,Dark Web‘ scheint sich an diese Dynamik gewöhnt zu haben“, erläutert Stefan Bange, „Country Manager DACH“ bei Digital Shadows. „DarkMarket“ habe zwar eine beeindruckende Anzahl aktiver Nutzertransaktionen verzeichnet. Doch der cyber-kriminelle Markt habe eine Fülle an alternativen Vertriebskanälen zu bieten und die Darknet-Community habe sich als „sehr flexibel erwiesen, wenn es darum geht ihre Ware zu verkaufen“.

„Flüchtlinge“ im Darknet auf der Suche nach neuen Marktplätzen

Nach Recherchen von Digital Shadows drehten sich die Diskussionen in Foren und Chats momentan vor allem um alternative Plattformen. Daneben gebe es erste Ankündigungen, die gänzlich neue Marktplätze in Aussicht stellten. „Bereits bestehende Marktplätze werben wiederum mit kostenlosen Konten und Benefits um Verkäufer, die mit dem Ende von ,DarkMarket‘ zu ,Flüchtlingen‘ geworden sind“ – dieser Begriff werde im Darknet für Käufer/Anbieter von Offline-Marktplätzen verwendet.

Indes gewisser Aufruhr im Darknet…

Gänzlich unbeeindruckt hinterlasse das Ende von „DarkMarket“ die Darknet-Community indes aber nicht. „So werfen einige Akteure Nutzern von ,DarkMarket‘ mangelnde OpSec-Praktiken vor und geben ihnen die Schuld für den Erfolg der Strafverfolgungsbehörden.“ Der Administrator von „Dread“ habe die Betreiber von weiterhin aktiven Marktplätzen dazu aufgefordert, einen „Proof-of-Life“ zu senden. So könne sichergestellt werden, dass andere Plattformen nicht in ähnlicher Weise kompromittiert würden und die Dienste weiterhin zur Verfügung stünden.

Weitere Informationen zum Thema:

EUROPOL, 12.01.2021
DarkMarket: world’s largest illegal dark web marketplace taken down

digital shadows_, Photon Research Team, 12.02.2021
Dark Web-Monitoring: Die vielen Gesichter der Unterwelt

datensicherheit.de, 29.08.2020
Empire Market: Weltgrößter Darknet-Markt nicht mehr erreichbar / Spekulationen um Exit-Scam der Betreiber des Darknet-Marktplatzes

[datensicherheit.de, 29.08.2020] Einer der größten Marktplätze im Darknet, „Empire Market“, ist laut Medienberichten seit 23. August 2020 offensichtlich offline. Es wird laut Digital Shadows angenommen, „dass es sich um einen ,Exit-Scam‘ handelt und die Betreiber der Seite mit dem Geld der kriminellen Kundschaft verschwunden sind“.

Empire Market bislang einer der umsatzstärksten Umschlagplätze im Darknet

„Empire Market“ habe bislang zu den umsatzstärksten Umschlagplätzen im sogenannten Darknet gezählt. Nach der Zerschlagung der illegalen Marktplätze „Alpha Bay“ und „Hansa“ durch Behörden, habe sich „Empire Market“ für Hunderttausende von Cyber-Kriminellen zu einem der wichtigsten Handelsplattformen von illegaler Ware im englischsprachigen Raum entwickelt: Neben Drogen sei mit gefälschten Dokumente wie Pässen und Führerscheinen sowie mit Malware gehandelt worden.

Empire-Market-Betreiber begingen offenbar Exit-Scam

Seit dem 23. August 2020 sei „Empire Market“ nun nicht mehr zu erreichen. „Dem Marktplatz nahestehende Nutzer führten den Ausfall zunächst auf eine noch andauernde DDoS-Attacke zurück.“ Mittlerweile verdichteten sich jedoch die Hinweise darauf, dass die Betreiber den Marktplatz aufgegeben und dabei die Konten der Nutzer geräumt hätten – in mehreren cyber-kriminellen Foren sei der „Exit-Scam“ bestätigt worden.

Wöchentliches Geschäftsvolumen vom Empire Market bei rund 6,5 Millionen US-Dollar

Illegale Darknet-Marktplätze wie „Empire Market“ verlangten „häufig ein Deposit in Form von Bitcoins, ehe Anbieter ihre Ware einstellen können“. Der Betrag werde vom Marktplatz treuhänderisch verwahrt und solle zusätzliche Sicherheit und Anonymität gewährleisten. Allerdings hätten die Administratoren dadurch auch leichtes Spiel, sich mit dem Guthaben ihrer Kunden ohne Vorwarnung aus dem Staub zu machen. Laut „darknet stats“ habe das wöchentliche Geschäftsvolumen bei rund 6,5 Millionen US-Dollar (August 2020) gelegen.

Vertrauen vielen Kunden vom ,Empire Market‘ zum Verhängnis geworden

Die meisten Anbieter nutzten diese Marktplätze für ihre täglichen Geschäfte. Das Transaktionsvolumen sei groß und auf den Konten befinde sich „sehr, sehr viel Geld“, erläutert Stefan Bange, „Country Manager DACH“ beim Threat-Intelligence-Anbieter Digital Shadows. „Vor allem wenn die Plattform schon länger besteht und etabliert ist, wie es bei ,Empire‘ der Fall ist, werden Gelder langfristig auf den Konten geführt, um bei Bedarf schnell und direkt darauf zugreifen zu können. Dieses Vertrauen könnte jetzt viele Kunden von ,Empire Market‘ zum Verhängnis werden.“

Weitere Informationen zum Thema:

digital shadows_, Photon Research Team, 12.02.2020
Dark Web-Monitoring: Die Vielen Gesichter der Unterwelt

datensicherheit.de, 21.02.2019
Digital Shadows-Report: Cyber-Erpressung auf Management-Ebene

[datensicherheit.de, 08.07.2020] Laut einem aktuellen Report von Digital Shadows über Zugangsdaten haben sich bedenkliche Ausmaße geleakter Login-Daten im Zusammenhang mit Kontoübernahmen (ATO) gezeigt: Die „Threat Intelligence-Experten“ haben demnach mehr als 15 Milliarden Benutzername-Passwort-Kombinationen gefunden, welche auf cyber-kriminellen Marktplätzen gehandelt werden – viele davon im DarkWeb. Damit sei die Zahl der gestohlenen und offengelegten Zugangsdaten seit 2018 um rund 300 Prozent gestiegen. Die kompromittierten Daten stammten aus mehr als 100.000 unterschiedlichen Verstößen gegen Datenschutzbestimmungen, Cyber-Hacks und anderen Datenleaks. Insgesamt fünf Milliarden der aufgedeckten Login-Daten seien als „unique“ eingestuft und würden damit erstmals und einmalig auf einem Marktplatz zum Verkauf angeboten.

Abbildung: Digital Shadows

Durchschnittspreise für Zugangsdaten Januar-Juni 2020

Untergrund-Markt für Zugansdaten: Von Bankkonten bis hin zu Streaming-Diensten

Die Mehrzahl der exponierten Daten betreffe Privatpersonen sowie Verbraucher und umfasse Benutzernamen und Passwörter von diversen Kundenaccounts – angefangen bei Bankkonten bis hin zu Streamingdiensten wie „Netflix“ oder „Spotify“. Viele der Kontodaten seien kostenlos auf einschlägigen Foren erhältlich oder würden zu Spottpreisen verkauft – durchschnittlich koste der Zugang zu einem Konto 13,68 Euro.
Bei Konten von Banken, Bezahldiensten und anderen Finanzdienstleistern, die bei einem erfolgreichen Zugriff mit einem höheren Gewinn winkten, liege der Preis mit 62,86 Euro deutlich höher. Über dem Durchschnittspreis lägen auch Zugangsdaten für Antivirenprogramme mit 19,21 Euro. Für unter zehn Euro könnten Cyber-Kriminelle auf fremde Konten bei Streaming-Diensten, Social-Media-Profilen, virtuellen privaten Netzwerke (VPNs) und Webseiten mit pornographischen Inhalten zugreifen.

Missbrauch von Zugangsdaten für Phishing, Social Engineering, Extortion oder Infiltrieren von Netzwerken

„Allein in den letzten 18 Monaten hat das ,Photon Research Team‘ von Digital Shadows etwa 27,3 Millionen Benutzer-Passwort-Kombinationen bei unseren Kunden identifiziert“, berichtet Stefan Bange, „Country Manager DACH“ bei Digital Shadows. Natürlich folge nicht auf jedes geleakte Login auch ein erfolgreicher Cyber-Angriff.
Trotzdem enthielten viele dieser Konten personenbezogene und sehr sensible Informationen, welche von Cyber-Kriminellen ausgenutzt werden könnten – sei es für Phishing, Social Engineering, Extortion oder das Infiltrieren des Netzwerks. Das Risiko für den Einzelnen sei groß, aber auch Organisationen und Unternehmen seien direkt und indirekt über ihre Mitarbeiter und Kunden betroffen, warnt Bange.

2 Millionen Sätze von Zugangsdaten im Kontext von Schlüsselabteilungen in Unternehmen gefunden

Die Analysten hätten insgesamt zwei Millionen E-Mail-Adressen und Benutzernamen gefunden, welche mit Schlüsselabteilungen von Unternehmen (z.B. „Buchhaltung“, „Controlling“) in Verbindung stünden. Darüber hinaus entdeckte Digital Shadows nach eigenen Angaben zum Verkauf stehende „Domain Admins“, welche je nach Unternehmensgröße und Branche einen Preis zwischen 500 und 120.000 Euro erzielten.
Inwiefern diese sicherheitskritischen Zugangsdaten aktuell und valide sind, lasse sich schwer beurteilen. Auf der Liste der „Domain Admins“ fänden sich jedoch sowohl große Konzerne und sogenannte Global Player als auch unterschiedliche staatliche Behörden und Regierungsstellen.

As-a-Service: Mieten von Zugangsdaten als Dienstleistung

„Die Wahrheit ist, dass es für Cyber-Kriminelle noch nie so einfach war, das Konto von Anwendern zu hacken. Brute-Force-Cracking-Tools und ,Account Checker‘ sind im DarkWeb schon ab vier Euro erhältlich. Zudem beobachten wir seit geraumer Zeit eine Zunahme von sogenannten ,as-a-Service‘-Angeboten, bei denen Kriminelle gar nicht mehr selbst tätig werden müssen, sondern sich den Zugang zu einem Konto und damit die Identität des Anwenders für weniger als zehn Euro einfach mieten können“, führt Bange aus.
Multi-Faktor-Authentifizierung (MFA) mache ATO-Angriffe zwar schwieriger, aber nicht unmöglich. Bange: „Hier sehen wir immer wieder neue Methoden, die 2FA umgehen und auf cyberkriminellen Foren diskutiert und gehandelt werden.“

Sicherheitsmaßnahmen und „Threat Intelligence“ zum Schutz der Zugansdaten

Um das Risiko von „Account Takover Fraud“ (ATO) auf ein Minimum zu reduzieren, sollten Unternehmen bestimmte Sicherheitsmaßnahmen implementieren und eine umfassende „Threat Intelligence“ aufbauen. Dazu gehört laut Digital Shadows:

• Monitoring von Zugangsdaten von Mitarbeitern (z.B. über „HaveIBeenPwned“) sowie das Einrichten von Alerts, die über aktuellen Daten-Hacks informieren.
• Monitoring des Unternehmens- und Markennamens in gängigen Foren: „Google Alerts“ beispielsweise könnten – richtig konfiguriert – Indikatoren für drohende ATO-Versuche liefern.
• Monitoring von Zugangsdaten von Kunden.
• Umfassende Abdeckung von Quellen im OpenWeb, DeepWeb und DarkWeb: In Code-Repositories wie „GitHub“ beispielsweise fänden sich öffentlich zugängliche technische Daten, die von Cyber-Kriminellen ausgenutzt werden könnten – darunter Authentifizierungsschlüssel, hartcodierte Passwörter, „Code Snippets“ oder API-Schlüssel.
• Implementierung einer Online-Firewall für Web-Anwendungen. Kommerzielle und Open-Source-Firewalls (wie z.B. „ModSecurity“), könnten helfen, Angriffe auf Zugangsdaten zu identifizieren und zu blockieren.
• Sicherheitsbewusstsein bei Anwendern schärfen, um das Nutzen der unternehmenseigenen E-Mail für private Konten und die Wiederverwendung von Passwörtern zu unterbinden.
• Beobachten von „Credential Stuffing Tools“: Einige Lösungen seien mittlerweile in der Lage, sogenannte CAPTCHAs zu umgehen.
• Implementierung von Multi-Faktor-Authentifizierung ohne SMS-Token: Dabei gelte es, zwischen der höheren Sicherheit durch „2FA“ und eventuellen Reibungen sowie Kosten abzuwägen.

Weitere Informationen zum Thema:

digital shadows_
From Exposure to Takeover: The 15 billion stolen credentials allowing account takeovers

digital shadows_
Two-Factor in Review: A technical assessment of the most popular mitigation for ATO attacks

datensicherheit.de, 29.04.2019
Zum Welt-Passwort-Tag: In drei Schritten zu sicheren Zugangsdaten

datensicherheit.de, 05.10.2018
12,5 Millionen E-Mail-Archivdateien frei zugänglich im Netz