zurück zur Übersicht

Im Kopf der Trickbetrüger: Credential-Stuffing

Selber Login, andere Seite: Credential Stuffing bedeutet, gehackte Accountdaten auf vielen Seiten durchzutestenForen und andere Plattformen die von Kriminellen genutzt werden, um sich über neueste Angriffsmethoden auszutauschen oder um Malware, gestohlene Datensätze und andere Güter zu verkaufen, gibt es viele. Einige existieren seit vielen Jahren mit tausenden aktiven Nutzern, andere sind Treffpunkte für eine kleine, eingeschworene Gemeinde. All diese Communities haben gemein, dass Sie wertvolle Informationen beinhalten, die genutzt werden können, um erfolgreiche Angriffe, Datendiebstahl, aber auch neue Entwicklungen oder geplante Angriffe zu erkennen.

Die Kunst liegt darin, Zugriff auf interessante Communities zu haben und erhaltene Daten korrekt zu nutzen.

Nicht selten kommt es vor, dass erfolgreiche Angriffe auf Unternehmen nur dadurch bekannt werden, dass erbeutete Informationen in derartigen Communities auftauchen. Für betroffene Unternehmen ist es von allergrößter Wichtigkeit, darüber so schnell wie möglich informiert zu werden. Nur so kann zusätzlicher Schaden abgewendet werden.

Die letzten Wochen haben – mal wieder – gezeigt, dass sowohl kleinere Unternehmen als auch große Konzerne Opfer von erfolgreichen Angriffen und darauf folgendem Datendiebstahl werden können. Der Umstand, dass bei der Attacke auf LinkedIn im Jahr 2012 statt der bisher angenommenen 6,5 Mio. Accounts doch 117 Mio. Accounts entwendet wurden, hat es bis in die Hauptabend-Nachrichten geschafft.

Für deutlich weniger Aufmerksamkeit hat die Veröffentlichung der Datenbank eines Gaming-Forums in einem geschlossenen Cybercrime-Forum gesorgt. Diese Datenbank enthielt Daten von „nur“ ca. 1,9 Mio. Benutzern und ist noch heute abrufbar. Die Veröffentlichung dieser – im Vergleich zu LinkedIn – relativ kleinen Datenbank ist freilich weniger spektakulär, für den Betreiber und die Nutzer dieses Gaming-Forums aber deutlich relevanter. In diesem Fall wurden die Betreiber des Gaming-Forums kurz nach der Veröffentlichung informiert und konnten so sehr schnell entsprechende Maßnahmen ergreifen.

Credential-Stuffing ermöglicht es Hackern, erbeutete Logins für weitere Angriffe zu verwenden

Eine oft vernachlässigte Gefahr solcher Veröffentlichungen sind wiederkehrende Logins. Viele Benutzer nutzen dieselben Login-Daten für unterschiedliche Plattformen. Wird eine dieser Plattformen Opfer eines Angriffs, ist die Wahrscheinlichkeit sehr hoch, dass versucht wird, die erbeuteten Benutzerdaten auf anderen Plattformen zu nutzen. Diese Form von Brute-Force-Angriffen wird als „Credential Stuffing“ bezeichnet und Programme wie SentryMBA machen es auch für unbedarfte Nutzer sehr einfach, diese Benutzerdaten auf einer Vielzahl von Webseiten zu testen. Die Praxis zeigt, dass dieses Vorgehen noch immer äußerst vielversprechend ist.
Prinzipiell gibt es zwei Ansätze, um gegen erfolgreiche Data-Breaches und darauffolgende Credential-Stuffing-Kampagnen vorzugehen.

Erkennung von Breaches und betroffenen Accounts

Sind Daten erstmal über diversen Cybercrime-Foren zugänglich, muss damit gerechnet werden, dass diese von verschiedenen Angreifern als Datenbasis für Tools wie SentryMBA genutzt werden. Verschiedene Plattformen versuchen derartige „Cybercrime Communities“ zu beobachten und informieren betroffene Kunden, wenn entsprechende Informationen in einschlägigen Foren veröffentlicht werden.

Credential-Stuffing-Angriffe auf eigenen Systemen erkennen

Derartige Angriffe können nur über eine Kombination verschiedener Methoden erkannt werden. SentryMBA etwa nutzt eine Reihe vordefinierter User-Agents für die Login-Versuche und da auch Angreifer faul sind, werden diese meist nicht geändert, obwohl dies durchaus möglich ist. Wird ein Anstieg dieser spezifischen User-Agent-Strings erkannt, kann dies auf eine laufende Credential-Stuffing-Attacke hinweisen. Zusätzlich können klassische Fraud-Detection-Methoden zum Einsatz kommen. Vielversprechend ist etwa die Suche nach fehlgeschlagenen Logins auf einer Vielzahl von tatsächlich existierenden Accounts, ausgehend von einer oder einer Gruppe von IPs. Sind entsprechende Logs verfügbar können solche Use-Cases in einem SIEM durch entsprechende Korrelationsregeln umgesetzt werden und damit bei Erkennung eines Angriffs entsprechende Gegenmaßnahmen eingeleitet werden können.

Vom Jäger zum Gejagten

Doch manchmal werden Betreiber von Cybercrime-Foren selbst zum Opfer, wie folgende amüsante Geschichte zeigt. Zwischen den Betreibern solcher Communities herrscht oft so große Konkurrenz, dass sie gegenseitig ihre Foren angreifen und die erbeuteten Informationen öffentlich zugänglich machen. So geschehen bei dem Forum nulled.io. Am 8. Mai wurde die knapp 10 Gb große Datenbank dieses Forums öffentlich zugänglich gemacht. dem nicht genug, wurden zusätzlich persönliche Informationen des Administrators (ein 20-jähriger Deutscher) und seiner Familie veröffentlicht.

Schreibe einen Kommentar