Frei im Netz zugreifbar: 15 Milliarden Zugangsdaten

Anzahl exponierter Benutzername-Passwort-Kombinationen in letzten zwei Jahren verdreifacht

[datensicherheit.de, 08.07.2020] Laut einem aktuellen Report von Digital Shadows über Zugangsdaten haben sich bedenkliche Ausmaße geleakter Login-Daten im Zusammenhang mit Kontoübernahmen (ATO) gezeigt: Die „Threat Intelligence-Experten“ haben demnach mehr als 15 Milliarden Benutzername-Passwort-Kombinationen gefunden, welche auf cyber-kriminellen Marktplätzen gehandelt werden – viele davon im DarkWeb. Damit sei die Zahl der gestohlenen und offengelegten Zugangsdaten seit 2018 um rund 300 Prozent gestiegen. Die kompromittierten Daten stammten aus mehr als 100.000 unterschiedlichen Verstößen gegen Datenschutzbestimmungen, Cyber-Hacks und anderen Datenleaks. Insgesamt fünf Milliarden der aufgedeckten Login-Daten seien als „unique“ eingestuft und würden damit erstmals und einmalig auf einem Marktplatz zum Verkauf angeboten.

Abbildung: Digital Shadows

Durchschnittspreise für Zugangsdaten Januar-Juni 2020

Untergrund-Markt für Zugansdaten: Von Bankkonten bis hin zu Streaming-Diensten

Die Mehrzahl der exponierten Daten betreffe Privatpersonen sowie Verbraucher und umfasse Benutzernamen und Passwörter von diversen Kundenaccounts – angefangen bei Bankkonten bis hin zu Streamingdiensten wie „Netflix“ oder „Spotify“. Viele der Kontodaten seien kostenlos auf einschlägigen Foren erhältlich oder würden zu Spottpreisen verkauft – durchschnittlich koste der Zugang zu einem Konto 13,68 Euro.
Bei Konten von Banken, Bezahldiensten und anderen Finanzdienstleistern, die bei einem erfolgreichen Zugriff mit einem höheren Gewinn winkten, liege der Preis mit 62,86 Euro deutlich höher. Über dem Durchschnittspreis lägen auch Zugangsdaten für Antivirenprogramme mit 19,21 Euro. Für unter zehn Euro könnten Cyber-Kriminelle auf fremde Konten bei Streaming-Diensten, Social-Media-Profilen, virtuellen privaten Netzwerke (VPNs) und Webseiten mit pornographischen Inhalten zugreifen.

Missbrauch von Zugangsdaten für Phishing, Social Engineering, Extortion oder Infiltrieren von Netzwerken

„Allein in den letzten 18 Monaten hat das ,Photon Research Team‘ von Digital Shadows etwa 27,3 Millionen Benutzer-Passwort-Kombinationen bei unseren Kunden identifiziert“, berichtet Stefan Bange, „Country Manager DACH“ bei Digital Shadows. Natürlich folge nicht auf jedes geleakte Login auch ein erfolgreicher Cyber-Angriff.
Trotzdem enthielten viele dieser Konten personenbezogene und sehr sensible Informationen, welche von Cyber-Kriminellen ausgenutzt werden könnten – sei es für Phishing, Social Engineering, Extortion oder das Infiltrieren des Netzwerks. Das Risiko für den Einzelnen sei groß, aber auch Organisationen und Unternehmen seien direkt und indirekt über ihre Mitarbeiter und Kunden betroffen, warnt Bange.

2 Millionen Sätze von Zugangsdaten im Kontext von Schlüsselabteilungen in Unternehmen gefunden

Die Analysten hätten insgesamt zwei Millionen E-Mail-Adressen und Benutzernamen gefunden, welche mit Schlüsselabteilungen von Unternehmen (z.B. „Buchhaltung“, „Controlling“) in Verbindung stünden. Darüber hinaus entdeckte Digital Shadows nach eigenen Angaben zum Verkauf stehende „Domain Admins“, welche je nach Unternehmensgröße und Branche einen Preis zwischen 500 und 120.000 Euro erzielten.
Inwiefern diese sicherheitskritischen Zugangsdaten aktuell und valide sind, lasse sich schwer beurteilen. Auf der Liste der „Domain Admins“ fänden sich jedoch sowohl große Konzerne und sogenannte Global Player als auch unterschiedliche staatliche Behörden und Regierungsstellen.

As-a-Service: Mieten von Zugangsdaten als Dienstleistung

„Die Wahrheit ist, dass es für Cyber-Kriminelle noch nie so einfach war, das Konto von Anwendern zu hacken. Brute-Force-Cracking-Tools und ,Account Checker‘ sind im DarkWeb schon ab vier Euro erhältlich. Zudem beobachten wir seit geraumer Zeit eine Zunahme von sogenannten ,as-a-Service‘-Angeboten, bei denen Kriminelle gar nicht mehr selbst tätig werden müssen, sondern sich den Zugang zu einem Konto und damit die Identität des Anwenders für weniger als zehn Euro einfach mieten können“, führt Bange aus.
Multi-Faktor-Authentifizierung (MFA) mache ATO-Angriffe zwar schwieriger, aber nicht unmöglich. Bange: „Hier sehen wir immer wieder neue Methoden, die 2FA umgehen und auf cyberkriminellen Foren diskutiert und gehandelt werden.“

Sicherheitsmaßnahmen und „Threat Intelligence“ zum Schutz der Zugansdaten

Um das Risiko von „Account Takover Fraud“ (ATO) auf ein Minimum zu reduzieren, sollten Unternehmen bestimmte Sicherheitsmaßnahmen implementieren und eine umfassende „Threat Intelligence“ aufbauen. Dazu gehört laut Digital Shadows:

• Monitoring von Zugangsdaten von Mitarbeitern (z.B. über „HaveIBeenPwned“) sowie das Einrichten von Alerts, die über aktuellen Daten-Hacks informieren.
• Monitoring des Unternehmens- und Markennamens in gängigen Foren: „Google Alerts“ beispielsweise könnten – richtig konfiguriert – Indikatoren für drohende ATO-Versuche liefern.
• Monitoring von Zugangsdaten von Kunden.
• Umfassende Abdeckung von Quellen im OpenWeb, DeepWeb und DarkWeb: In Code-Repositories wie „GitHub“ beispielsweise fänden sich öffentlich zugängliche technische Daten, die von Cyber-Kriminellen ausgenutzt werden könnten – darunter Authentifizierungsschlüssel, hartcodierte Passwörter, „Code Snippets“ oder API-Schlüssel.
• Implementierung einer Online-Firewall für Web-Anwendungen. Kommerzielle und Open-Source-Firewalls (wie z.B. „ModSecurity“), könnten helfen, Angriffe auf Zugangsdaten zu identifizieren und zu blockieren.
• Sicherheitsbewusstsein bei Anwendern schärfen, um das Nutzen der unternehmenseigenen E-Mail für private Konten und die Wiederverwendung von Passwörtern zu unterbinden.
• Beobachten von „Credential Stuffing Tools“: Einige Lösungen seien mittlerweile in der Lage, sogenannte CAPTCHAs zu umgehen.
• Implementierung von Multi-Faktor-Authentifizierung ohne SMS-Token: Dabei gelte es, zwischen der höheren Sicherheit durch „2FA“ und eventuellen Reibungen sowie Kosten abzuwägen.

Weitere Informationen zum Thema:

digital shadows_
From Exposure to Takeover: The 15 billion stolen credentials allowing account takeovers

digital shadows_
Two-Factor in Review: A technical assessment of the most popular mitigation for ATO attacks

datensicherheit.de, 29.04.2019
Zum Welt-Passwort-Tag: In drei Schritten zu sicheren Zugangsdaten

datensicherheit.de, 05.10.2018
12,5 Millionen E-Mail-Archivdateien frei zugänglich im Netz