Account Takeover: 24 Milliarden Benutzernamen und Passwörter im Darknet

Report Account Takeover in 2022 zeigt Ausmaß weltweit geleakter Logindaten nach Kontoübernahmen

[datensicherheit.de, 16.06.2022] Schwache Passwörter wie „123456“ zählten nach wie vor zu den größten Sicherheitsrisiken für Kontoübernahmen durch Cyber-Kriminelle, warnt Digital Shadows im Zusammenhang mit dem neuen Cyber-Threat-Report „Account Takeover in 2022“ – dieser legt demnach das Ausmaß von weltweit geleakten Logindaten im Zusammenhang mit Kontoübernahmen (Account Take Over / ATO) offen. So seien im Darknet mehr als 24 Milliarden Benutzer-Passwort-Kombinationen im Umlauf. Bezogen auf die Weltbevölkerung entspreche dies „vier exponierten Accounts pro Internet-User“. Die Zahl der gestohlenen und offengelegten Zugangsdaten sei damit seit 2020 um rund 65 Prozent gestiegen.

Account Takeover: 6,7 Milliarden der aufgedeckten Logindaten als „unique“ eingestuft

Die Mehrzahl der exponierten Daten betreffe Privatpersonen sowie Verbraucher und umfasse Benutzernamen sowie Passwörter von diversen Accounts – angefangen bei Bankkonten und Onlinehändlern über Streamingdienste und „Social Media“ bis hin zu Unternehmensportalen. Insgesamt 6,7 Milliarden der aufgedeckten Logindaten seien als „unique“ eingestuft und damit erstmals und einmalig auf einem Marktplatz im Darknet zum Verkauf angeboten worden (2020: 5 Milliarden / +34%).

„Angeboten werden die kompromittierten Logindaten in erster Linie über einschlägige Marktplätze sowie Foren im Darknet. Hier hat das cyber-kriminelle Ökosystem in den letzten zwei Jahren deutlich an Umfang und Professionalität gewonnen.“ Neben geleakten Zugangsdaten, Malware und Cracking-Tools könnten interessierte Kunden auch Abo-Dienste und „Premium Services“ rund um Kontoübernahmen abschließen.

„Allein in den letzten 18 Monaten identifizierten die Analysten von Digital Shadows 6,7 Millionen Vorfälle, in denen Logindaten von Kunden auf diversen Plattformen beworben wurden.“ Dazu gehörten die Benutzernamen und Passwörter von Mitarbeitern, Partnern, Kunden sowie von diversen Servern und IoT-Geräten.

Account Takeover durch fehlende Passwort-Hygiene begünstigt

„Größtes Sicherheitsmanko ist laut Studie nach wie vor eine fehlende Passwort-Hygiene. So verwenden Internet-User weiterhin leicht zu erratende Passwörter (z.B. ,Passwort‘) und simple Zahlenfolgen.“

Fast jedes 200-ste Passwort (0,46%) laute „123456“. Beliebt seien außerdem Kombinationen von auf der Computertastatur nahe beieinander liegenden Buchstaben (z.B. „qwertz“, „1q2w3e“). Von den 50 am häufigsten genutzten Passwörtern ließen sich 49 in weniger als einer Sekunde knacken. Einige der dazu benötigten „Tools“ seien für bereits 50 US-Dollar im Darknet erhältlich.

Selbst durch das Hinzufügen von Sonderzeichen (z.B. „@“, „#“) lasse sich das Hacken von Logindaten nur verzögern, nicht aber unbedingt verhindern. Ein zehnteiliges Passwort mit nur einem Sonderzeichen koste Cyber-Kriminelle laut Digital Shadows durchschnittlich 90 Minuten mehr Zeit. Bei zwei Sonderzeichen benötigten Hacker immerhin zwei Tage und vier Stunden.

Problem kompromittierter Anmeldedaten gerät außer Kontrolle und lädt zum Account Takeover ein

„Die Branche bewegt sich zwar mit großen Schritten auf eine passwortlose Zukunft zu. Im Moment scheint das Problem der kompromittierten Anmeldedaten jedoch außer Kontrolle geraten“, so Chris Morgan, „Senior Cyber Threat Intelligence Analyst“ bei Digital Shadows.

Er führt aus: „Kriminelle verfügen über endlose Listen an geleakten oder gestohlenen Zugangsdaten und können sich über die fehlende Kreativität von Anwendern bei der Wahl ihrer Passwörter freuen. Dadurch lassen sich Konten mithilfe von automatisierten und leicht zu bedienenden Cracking-Tools in wenigen Sekunden übernehmen. Viele der Fälle, die wir im Rahmen unserer Studie untersucht haben, hätten durch die Vergabe eines einmaligen und starken Passworts vermieden werden können.“

Um das Risiko von „Account Takover Fraud“ (ATO) auf ein Minimum zu reduzieren, sollten Unternehmen bestimmte Sicherheitsmaßnahmen implementieren und eine umfassende „Threat Intelligence“ aufbauen.

Beispiele für Sicherheitsmaßnahmen gegen Account Takover Fraud

Passwort-Manager
Diese – verfügbar als App auf einem Telefon, Tablet oder Computer – generierten und speicherten komplizierte Passwörter automatisch und vereinfachten die Handhabung für Mitarbeiter.

Multifaktor-Authentifizierung (MFA)
MFA schaffe eine zusätzliche Sicherheitsebene durch das Hinzufügen eines weiteren Faktors zum Authentifizierungsprozess (z. B. PIN, biometrische Daten, USB-Token).

Authentifizierungs-App
Eine solche generiere alle 30 Sekunden einen neuen sechsstelligen Zufallscode, den der Nutzer zur Authentifizierung eingeben müsse.

Kontinuierliches Monitoring von Zugangsdaten
Das kontinuierliche Monitoring von Zugangsdaten von Mitarbeitern, Kunden und Partnern sowie des Unternehmens- und Markennamens helfe, digitale Bedrohungen frühzeitig zu erkennen.

Automatisierte Tools
Scannen des „Open, Deep und Dark Web“ nach geleakten Daten und Alarmmeldung, wenn diese zum Verkauf angeboten werden.

Sensibilisierung
Ein geschärftes Sicherheitsbewusstsein bei Mitarbeitern sowie klare Passwort-Richtlinien verhinderten, dass Passwörter mehrfach vergeben und unternehmenseigene E-Mails für private Konten genutzt werden.

Weitere Informationen zum Thema:

digital shadows
Account Takeover in 2022
https://resources.digitalshadows.com/whitepapers-and-reports/account-takeover-in-2022

datensicherheit.de, 14.06.2022
Betrug: Kontoübernahmen um 58 Prozent angestiegen / „Jetzt kaufen, später zahlen“ – Boom beflügelt Betrug