Aktuelles, Branche - geschrieben von dp am Montag, Oktober 25, 2021 19:38 - noch keine Kommentare
Warnung der PSW GROUP: Soziale Netzwerke als Brutstätten für Attacken mittels Credential Stuffing
Für sämtliche Web-Dienste dieselben Login-Daten zu verwenden ermöglicht Credential Stuffing
[datensicherheit.de, 25.10.2021] Dieses Thema sei nicht neu: „Soziale Netzwerke wie ,facebook‘, ,Twitter‘ oder auch Berufsnetzwerke wie ,XING‘ und ,LinkedIn‘ haben massive Sicherheitsprobleme. Datenklau ist bei nahezu jedem dieser Netzwerke bereits Thema gewesen.“ Allein 2021 seien bereits eine halbe Milliarde „facebook“-Nutzer, mehr als eine Million „Clubhouse“-Daten sowie die „LinkedIn“-Daten von fast allen Nutzern betroffen gewesen. Patrycja Schrenk kommentiert und warnt: „Allerdings können Nutzende selbst die meist nicht sehr tiefgreifende Sicherheit Sozialer Netzwerke weiter kompromittieren, indem diese beispielsweise für sämtliche Dienste dieselben Login-Daten verwenden“, so die Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP
Patrycja Schrenk: Soziale Netzwerke oder auch Berufsnetzwerke haben massive Sicherheitsprobleme!
Credential Stuffing: Angreifer probieren mit Login-Daten Anmeldungen bei anderen Online-Diensten aus
Schrenk betont: „Das kann fatale Folgen haben, die bis zum Identitätsdiebstahl reichen können. Denn wenn Nutzende dieselben Login-Daten für mehrere Dienste verwenden, reicht es, wenn Cyber-Kriminelle einmalig an diese Daten gelangen.“ Diese probierten dann aus, in welche Dienste man sich mit diesen Zugängen noch einloggen kann. Diese Angriffsmethode werde auch „Credential Stuffing“ genannt.
Tatsächlich gehöre „Credential Stuffing“ zu den Angriffsmethoden, welche im Internet sehr häufig aufträten. Angreifer nutzten dabei Anmeldedaten, „die entweder geleakt, gestohlen oder sonst wie in ihre Hände gelangt sind“.
Mit diesen Login-Daten probierten die Angreifer Anmeldungen mit Nutzernamen und Passwort bei anderen Online-Diensten aus. „Um dieses Ausprobieren bei anderen Diensten zu erleichtern, werden dafür in aller Regel gerne Bot-Netzwerke eingesetzt. Rotierende ,Proxys‘ können Hunderttausende Login-Informationen über verschiedene Online-Dienste hinweg ansteuern“, erläutert Schrenk.
Credential Stuffing nicht mit Brute Force verwechseln!
Das „Credential Stuffing“ könne demnach nur bei Nutzern Erfolg haben, welche dieselben Login-Daten („Credentials“) für verschiedene Dienste verwendeten. Nicht zu verwechseln seien „Credential Stuffing“-Angriffe mit „Brute Force“-Attacken: Für „Brute Force“-Angriffe würden unzählige Kombinationen möglicher Login-Daten computergestützt „erraten“.
„Es werden solange Login-Daten eingegeben, bis irgendwann zufällig eine Kombination passt.“ Die Erfolgsaussichten von „Brute Force“-Attacken verringerten sich mit starken Passwörtern – beim „Credential Stuffing“ hingegen sei die Stärke eines Passworts nicht maßgeblich.
„Damit ist der beste Schutz vor ,Credential Stuffing‘- Angriffen, tatsächlich für jeden Dienst unterschiedliche Login-Daten zu verwenden. Niemals sollte dasselbe Passwort für verschiedene Dienste genutzt werden. Um nicht den Überblick über viele Passwörter zu verlieren, hilft die Nutzung eines sicheren Passwort-Managers“, empfiehlt Schrenk. Unternehmen rät sie zudem zum Einsatz von Monitoring-Systemen, welche unautorisierte Anmeldeversuche von Botnetzen erkennen könnten und diese abwehrten.
Angriffe per Credential Stuffing erschweren: Immer mehr Dienste bieten Zwei-Faktor-Authentifizierung an
Auch mittels verschiedener Faktoren zur Authentifizierung könnten Accounts geschützt werden: Immer mehr Dienste böten mit der Zwei-Faktor-Authentifizierung (2FA) mindestens zwei Faktoren, über welche sich Nutzer anmelden könnten. „Als zweiten Faktor oder auch für den gängigen Login setzen bereits immer mehr Dienste auf biometrische Daten. Der Fingerabdruck- oder Augen-Scan existiert bei Notebooks, Smartphones, Tablets und Rechnern. Da biometrische Daten einmalig sind, sind Fälschungen schwer bis unmöglich“.
Allerdings sollten Anwender einen sicheren Anbieter zum Speichern ihrer biometrischen Daten nutzen. Darüber hinaus erfreue sich „TOTP-based Authenticator“ zur zusätzlichen Authentifizierung immer größerer Beliebtheit. Der „Time-based One-time“-Passwort-Algorithmus (TOTP) sei das Verfahren, mit welchem Session-Kennwörter erstellt würden. Entsprechende Anwendungen seien auch für Mobilgeräte verfügbar, so dass diese Login-Methode überall genutzt werden könne. Dabei werde dem Passwort ein einmaliger Code, das Session-Kennwort, angehängt.
„Jeder Internet-Nutzende sollte es sich außerdem zur Routine machen, Passwörter regelmäßig auf Diebstahl oder Kompromittierung zu checken“, so Schrenk. Entweder sei diese Funktion im Passwort-Manager enthalten oder alternativ böten sichere Online-Dienste wie „haveibeenpwned.com“ für E-Mail und Rufnummer oder „haveibeenpwned.com/passwords“ für Passwörter entsprechende Services an.
Weitere Informationen unter zum Thema:
PSW GROUP, Bianca Wellbrock, 31.08.2021
Credential Stuffing: Cyberangriffe durch unsichere Logins
datensicherheit.de, 01.07.2021
Linkedin-Datenleck: API als Schwachstelle / Bereits im April 2021 wurde über ein Datenleck bei Linkedin berichtet
datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt
datensicherheit.de, 23.02.2021
Clubhouse: Data Breach bei Social-Media-Plattform / Satnam Narang kommentiert Sicherheitslücken in boomender Clubhouse-App
Aktuelles, Gastbeiträge - Nov 29, 2023 18:22 - noch keine Kommentare
Kubernetes mit KBOM sicherer machen
weitere Beiträge in Experten
- Zero Trust: Sicherheit auch für 5G und Edge Computing
- KI – mehr als ein Hype
- Chance oder Bedrohung: Künstliche Intelligenz und IT-Sicherheit
- 106. Tagung der Datenschutzkonferenz: Hohes Datenschutzniveau der medizinischen Forschung im Fokus
- Orphaned Data: Die Gefahr verwaister Daten
Aktuelles, Branche, Studien - Dez 1, 2023 21:44 - noch keine Kommentare
Cactus: Ransomware-Newcomer macht bedrohliche Karriere
weitere Beiträge in Branche
- Mimecast Global Threat Intelligence Report Q3 / 2023: 97 Prozent aller Unternehmen Ziel von E-Mail-Phishing-Attacken
- Studie: 44 % der Cyberangriffe durchdringen Abwehrmechanismen deutscher Unternehmen
- KI – mehr als ein Hype
- Neues Jahr – Ransomware-Attacken voraus
- IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren