zurück zur Übersicht

Maskenball: Wie mit gestohlenen Credentials Geld verdient wird

Mit sicheren Zugangsdaten ist das so eine Sache. Irgendwie suggeriert das Thema, dass alles gut wird, wenn wir endlich schwierig zu erratende Passwörter verwenden. Und tatsächlich gehen nach einer Statistik von BlueLiv 81% der digitalen Einbrüche auf schwache oder gestohlene Passwörter zurück. Mit schwachen Passwörtern haben wir uns in mehr als einem Artikel im Cubespotter schon befasst. Aber was nützt mir ein hochkomplexes Passwort, wenn es mir gestohlen wird? Herzlich wenig.

Der Report (hier zum Nachlesen) zeigt eindrücklich, dass die Baustellen letztlich immer noch dieselben sind. Hier ein kleiner Überblick:

  • Infektionen mit Malware: Von Grabbern, Keyloggern über Banking Trojaner hin zu Targeted Malware sind hier viele alte Bekannte anzutreffen.
  • Phishing: Funktioniert immer noch und wird immer perfider.
  • Man-in-the-Middle Angriffe: Fake Twins, also Hotspots, die aussehen als wären sie legitim, reihen sich hier ein mit der Weiterleitung zu einer Phishing Seite, meistens in Kombination mit DNS Hijacking.
  • DNS Hijacking: Manipulation von DNS-Einträgen, um nichtsahnende Benutzer mit legitimen Anfragen auf manipulierte Websites zu locken.
  • Schwachstellen in Systemen und Websites: Ein Klassiker und doch schwierig zu beseitigen. Datenbanken, die hinter den Anwendungen stehen, sind und bleiben ein attraktives Ziel.
  • Brute Force und Dictionary Attacks: Hallo, mein kompliziertes, leicht zu merkendes Passwort!
  • Non-technical Methods: Social Engineering ist inzwischen wohl fast jedem ein Begriff. Aber auch Shoulder Surfing, also das Über-die-Schulter-Schauen beim Passworttippen in der Bahn oder am Arbeitsplatz, nimmt erstaunlich effektive Ausmaße an.

Es gibt also neben dem schwachen Passwort noch die eine oder andere Möglichkeit, wie ein Angreifer sich Zugriff erschleichen kann. Das Interessante (oder Beängstigende, je nachdem) ist dabei, dass in den allermeisten Fällen nicht derjenige die Login-Daten verwendet, der sie auch gestohlen hat, sondern dass der Dieb diese verkauft.

The Credential Theft Ecosystem

Je nach wahrscheinlichem Nutzen erzielen die Credentials unterschiedliche Preise im Darknet. Zugangsdaten zu einem Bankkonto oder einer Kreditkarte mit einem Verfügungsrahmen von 250.000 Euro sind natürlich teurer als solche, auf denen nur 500 Euro abzweigbar sind, frische Daten sind wertvoller als solche, die vor Jahren zuletzt verwendet wurden. Um diesen Nutzen vor dem Verkauf zu ermitteln, muss der Dieb oder seine Partner die Daten natürlich aufbereiten, filtern und testen.

Sie ahnen es, wenn Sie es nicht schon wussten: Ein ganzer, nicht unlukrativer Geschäftszweig hat sich um den Diebstahl von Zugangsdaten entwickelt. Von passender Malware und kompromittierten Servern zum Stehlen selbst, über Werkzeug zum Validieren und Aufbereiten der Daten bis hin zu fertig geschätzten und polierten Credentials ist alles zu haben, zum Teil sogar mit 24/7-Support. Kein Wunder, dass Hacker offenbar anfangen, geregelte Arbeitszeiten durchzusetzen und in die Ferien zu verschwinden.

Geschwindigkeit ist Trumpf

Je professioneller das Umfeld der Angreifer wird, desto wichtiger ist es für jedes Unternehmen, möglichst vollständig zu verhindern, dass ein solcher Diebstahl auftreten kann. Hier heißen die Lösungsworte Priviledged Identity Management (PIM), Pentesting, Patchmanagement, Multi-Faktor-Authentifizierung und nicht zuletzt Security Awareness bei den Mitarbeitern, um z.B. Credential Stuffing zu vermeiden.

Falls in der Vorsorge doch einmal etwas durchschlüpft, ist auch hier Geschwindigkeit Trumpf. Entwendete Credentials müssen möglichst schnell auffallen und Gegenmaßnahmen eingeleitet werden. Das kann eine Benachrichtigung des Benutzers beinhalten, zusätzlich wäre auch einen Malwarescan seines PCs sinnvoll, und auf jeden Fall natürlich die Änderung seines Passworts.

Maske verrutscht

Wie aber fällt überhaupt auf, dass etwas nicht stimmt? Indikatoren gibt es viele. Beispielsweise kann ein erkannter Malwarebefall auf den Diebstahl von Zugangsdaten hinweisen. Nicht zuletzt hilft auch die Überwachung des Netzwerks und der Abgleich der Firewall Logs mit als bösartig bekannten IPs oder Hosts. Listen mit bekannten Adressen, sog. Threat Feeds, gibt es zuhauf. Das Problem dabei ist allerdings häufig die Masse an Informationen. Eine Kooperation mit den IT-Sicherheitsabteilungen von artverwandten Unternehmen kann hier Abhilfe schaffen.

Außerdem gibt es noch die Möglichkeit, sogenannte Targeted Threat Intelligence einzusetzen. Dabei werden Foren und Kommunikationsplattformen im Deep und Dark Web nach Informationen durchforstet, die auf einen erfolgten oder bevorstehenden Angriff auf ein bestimmtes Unternehmen hinweisen. Da auch das Darknet sich gewissen ökonomischen Gesetzmäßigkeiten beugen muss, um mit gestohlenen Credentials Geld zu verdienen (Sprich: die Daten müssen angeboten und einigermaßen gut beschrieben werden), lassen sich die Daten in der Regel auch aufstöbern, wenn man die „üblichen Verdächtigen“ überwacht.

Damit lässt sich dann rechtzeitig reagieren – im besten Fall, bevor es wirklich zu spät ist.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer