Aktuelles, Branche - geschrieben von dp am Montag, Oktober 25, 2021 19:38 - noch keine Kommentare
Warnung der PSW GROUP: Soziale Netzwerke als Brutstätten für Attacken mittels Credential Stuffing
Für sämtliche Web-Dienste dieselben Login-Daten zu verwenden ermöglicht Credential Stuffing
[datensicherheit.de, 25.10.2021] Dieses Thema sei nicht neu: „Soziale Netzwerke wie ,facebook‘, ,Twitter‘ oder auch Berufsnetzwerke wie ,XING‘ und ,LinkedIn‘ haben massive Sicherheitsprobleme. Datenklau ist bei nahezu jedem dieser Netzwerke bereits Thema gewesen.“ Allein 2021 seien bereits eine halbe Milliarde „facebook“-Nutzer, mehr als eine Million „Clubhouse“-Daten sowie die „LinkedIn“-Daten von fast allen Nutzern betroffen gewesen. Patrycja Schrenk kommentiert und warnt: „Allerdings können Nutzende selbst die meist nicht sehr tiefgreifende Sicherheit Sozialer Netzwerke weiter kompromittieren, indem diese beispielsweise für sämtliche Dienste dieselben Login-Daten verwenden“, so die Geschäftsführerin der PSW GROUP.
Patrycja Schrenk: Soziale Netzwerke oder auch Berufsnetzwerke haben massive Sicherheitsprobleme!
Credential Stuffing: Angreifer probieren mit Login-Daten Anmeldungen bei anderen Online-Diensten aus
Schrenk betont: „Das kann fatale Folgen haben, die bis zum Identitätsdiebstahl reichen können. Denn wenn Nutzende dieselben Login-Daten für mehrere Dienste verwenden, reicht es, wenn Cyber-Kriminelle einmalig an diese Daten gelangen.“ Diese probierten dann aus, in welche Dienste man sich mit diesen Zugängen noch einloggen kann. Diese Angriffsmethode werde auch „Credential Stuffing“ genannt.
Tatsächlich gehöre „Credential Stuffing“ zu den Angriffsmethoden, welche im Internet sehr häufig aufträten. Angreifer nutzten dabei Anmeldedaten, „die entweder geleakt, gestohlen oder sonst wie in ihre Hände gelangt sind“.
Mit diesen Login-Daten probierten die Angreifer Anmeldungen mit Nutzernamen und Passwort bei anderen Online-Diensten aus. „Um dieses Ausprobieren bei anderen Diensten zu erleichtern, werden dafür in aller Regel gerne Bot-Netzwerke eingesetzt. Rotierende ,Proxys‘ können Hunderttausende Login-Informationen über verschiedene Online-Dienste hinweg ansteuern“, erläutert Schrenk.
Credential Stuffing nicht mit Brute Force verwechseln!
Das „Credential Stuffing“ könne demnach nur bei Nutzern Erfolg haben, welche dieselben Login-Daten („Credentials“) für verschiedene Dienste verwendeten. Nicht zu verwechseln seien „Credential Stuffing“-Angriffe mit „Brute Force“-Attacken: Für „Brute Force“-Angriffe würden unzählige Kombinationen möglicher Login-Daten computergestützt „erraten“.
„Es werden solange Login-Daten eingegeben, bis irgendwann zufällig eine Kombination passt.“ Die Erfolgsaussichten von „Brute Force“-Attacken verringerten sich mit starken Passwörtern – beim „Credential Stuffing“ hingegen sei die Stärke eines Passworts nicht maßgeblich.
„Damit ist der beste Schutz vor ,Credential Stuffing‘- Angriffen, tatsächlich für jeden Dienst unterschiedliche Login-Daten zu verwenden. Niemals sollte dasselbe Passwort für verschiedene Dienste genutzt werden. Um nicht den Überblick über viele Passwörter zu verlieren, hilft die Nutzung eines sicheren Passwort-Managers“, empfiehlt Schrenk. Unternehmen rät sie zudem zum Einsatz von Monitoring-Systemen, welche unautorisierte Anmeldeversuche von Botnetzen erkennen könnten und diese abwehrten.
Angriffe per Credential Stuffing erschweren: Immer mehr Dienste bieten Zwei-Faktor-Authentifizierung an
Auch mittels verschiedener Faktoren zur Authentifizierung könnten Accounts geschützt werden: Immer mehr Dienste böten mit der Zwei-Faktor-Authentifizierung (2FA) mindestens zwei Faktoren, über welche sich Nutzer anmelden könnten. „Als zweiten Faktor oder auch für den gängigen Login setzen bereits immer mehr Dienste auf biometrische Daten. Der Fingerabdruck- oder Augen-Scan existiert bei Notebooks, Smartphones, Tablets und Rechnern. Da biometrische Daten einmalig sind, sind Fälschungen schwer bis unmöglich“.
Allerdings sollten Anwender einen sicheren Anbieter zum Speichern ihrer biometrischen Daten nutzen. Darüber hinaus erfreue sich „TOTP-based Authenticator“ zur zusätzlichen Authentifizierung immer größerer Beliebtheit. Der „Time-based One-time“-Passwort-Algorithmus (TOTP) sei das Verfahren, mit welchem Session-Kennwörter erstellt würden. Entsprechende Anwendungen seien auch für Mobilgeräte verfügbar, so dass diese Login-Methode überall genutzt werden könne. Dabei werde dem Passwort ein einmaliger Code, das Session-Kennwort, angehängt.
„Jeder Internet-Nutzende sollte es sich außerdem zur Routine machen, Passwörter regelmäßig auf Diebstahl oder Kompromittierung zu checken“, so Schrenk. Entweder sei diese Funktion im Passwort-Manager enthalten oder alternativ böten sichere Online-Dienste wie „haveibeenpwned.com“ für E-Mail und Rufnummer oder „haveibeenpwned.com/passwords“ für Passwörter entsprechende Services an.
Weitere Informationen unter zum Thema:
PSW GROUP, Bianca Wellbrock, 31.08.2021
Credential Stuffing: Cyberangriffe durch unsichere Logins
datensicherheit.de, 01.07.2021
Linkedin-Datenleck: API als Schwachstelle / Bereits im April 2021 wurde über ein Datenleck bei Linkedin berichtet
datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt
datensicherheit.de, 23.02.2021
Clubhouse: Data Breach bei Social-Media-Plattform / Satnam Narang kommentiert Sicherheitslücken in boomender Clubhouse-App
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren