Was ist Cre­den­ti­al Stuffing?

Wir alle nutzen Dutzende oder sogar Hunderte ver­schie­de­ner Online-Services: E-Mail Provider, Anwender-Software, Streaming-Dienste, Zeitungs-Abos und vieles mehr. Jeder dieser Services verlangt von uns Login-Daten – min­des­tens einen Be­nut­zer­na­men und ein Passwort. Häufig werden solche Login-Daten jedoch auf die ein oder andere Weise gestohlen und dann in großen Pass­wort­samm­lun­gen von Cy­ber­kri­mi­nel­len zum Verkauf angeboten. Solche Login-Daten nutzen Hacker dann bei­spiels­wei­se beim so­ge­nann­ten Cre­den­ti­al Stuffing, um Profit aus den ge­stoh­le­nen Daten zu schlagen.

Immer wieder gelingt es Hackern, in die Da­ten­ban­ken großer Online-Services ein­zu­drin­gen und dort die Login-Daten zahl­rei­cher Nutzer zu stehlen. Die er­beu­te­ten Daten werden im Darknet in Form von Listen zum Verkauf angeboten. Die derzeit be­kann­tes­te und größte Liste heißt „Coll­ec­tion #1-5“ und enthält über 2,2 Mil­li­ar­den Kom­bi­na­tio­nen von Be­nut­zer­na­men und Pass­wör­tern – ein Da­ten­vo­lu­men von rund 900 Gigabyte!

Was kann man mit dieser Liste anfangen? Auf den ersten Blick nicht sehr viel. Wenn ein Service-Anbieter den Da­ten­dieb­stahl bemerkt, warnt er seine Kunden und fordert sie auf, ihr Passwort zu ändern.

Das Ändern des Pass­wor­tes schützt zwar davor, dass Hacker auf das ent­spre­chen­de Be­nut­zer­kon­to zugreifen können. Nur: Viele Anwender sind bequem. Sie verwenden dieselbe Kom­bi­na­ti­on von E-Mail-Adresse und Passwort für ver­schie­de­ne Online-Services. Hier kommt das Cre­den­ti­al Stuffing ins Spiel, das Hacker nutzen, um die ent­wen­de­ten Login-Daten doch noch zu ihrem Vorteil einsetzen zu können.

Beim Cre­den­ti­al Stuffing versuchen Angreifer, mit ge­stoh­le­nen Login-Daten (engl. „Cre­den­ti­als“) in ein System ein­zu­drin­gen. Dabei probieren sie eine hohe Zahl ver­schie­de­ner Cre­den­ti­als aus, die sie bei anderen Online-Services erbeutet haben. Ziel des Angriffs ist es, an weitere wertvolle Daten im gehackten Account zu gelangen, zum Beispiel an die Kre­dit­kar­ten-Nummer oder die Adresse des Anwenders, an ge­spei­cher­te Dokumente, an Kon­takt­da­ten – kurz: an weitere Daten, aus denen sich Profit schlagen lässt.

Sta­tis­ti­ken zufolge ist ungefähr jeder tau­sends­te Login-Versuch er­folg­reich. Mit anderen Worten: Ein Angreifer muss im Schnitt 1.000 ver­schie­de­ne Login-Daten aus­pro­bie­ren, um in ein System ein­zu­drin­gen.

Für einen er­folg­ver­spre­chen­den „Cre­den­ti­al Stuffing“-Angriff benötigt der Hacker vier Dinge:

• Eine Liste mit Login-Daten
• Eine Liste mit beliebten Online-Services, die er angreifen will (Beispiele: Dropbox, Adobe Cloud, Canva, etc.)
• Eine Technik, um eine hohe Zahl un­ter­schied­li­cher IP-Adressen als Absender zu benutzen (IP-Rotation)
• Einen „Bot“ (Com­pu­ter­pro­gramm), der voll­au­to­ma­tisch Login-Versuche bei den diversen Online-Services vornimmt.

Über solche Bots probiert der Hacker bei einem Online-Service ein Login nach dem anderen aus, wobei sys­te­ma­tisch die Absender-IP-Adresse verändert wird, damit der Ziel­ser­ver die Login-Versuche nicht blockiert. Denn jeder gut kon­fi­gu­rier­te Server wird eine IP-Adresse sperren, wenn die Anzahl fehl­ge­schla­ge­ner Login-Versuche eine bestimmte Schwelle über­schrei­tet.

Gelingt das Login, greift der Bot die oben erwähnten, wert­vol­len In­for­ma­tio­nen ab. Zu­sätz­lich werden die er­folg­rei­chen Login-Daten zur spätere Ver­wen­dun­gen – bei­spiels­wei­se für Phishing-Attacken und der­glei­chen – ge­spei­chert.

Ver­gli­chen mit folgenden Hacker-Methoden ist Cre­den­ti­al Stuffing oft deutlich ef­fi­zi­en­ter:

• Brute-Force-Attacken erfordern eine viel höhere Anzahl Versuche, weil rein zufällige Passwort-Kom­bi­na­tio­nen aus­pro­biert werden und nicht – wie beim Cre­den­ti­al Stuffing – tat­säch­lich exis­tie­ren­de Pass­wör­ter.
• Social En­gi­nee­ring be­schränkt den Angriff meist auf eine einzige Plattform (Beispiel: Amazon), während Cre­den­ti­al Stuffing Hunderte ver­schie­de­ner Online Services gleich­zei­tig angreifen kann.

Die ein­fachs­te und sicherste Schutz­maß­nah­me ist die Ver­wen­dung un­ter­schied­li­cher Pass­wör­ter für Ihre ver­schie­de­nen Logins. Dies ist zwar unbequem, aber es ist trotzdem weniger mühsam, sich eine Methode zum Merken un­ter­schied­li­cher Pass­wör­ter zu­recht­zu­le­gen, als im Falle eines Si­cher­heits-Lecks das Passwort für sämtliche Logins einzeln ändern zu müssen.

Bewährte Methoden im Umgang mit un­ter­schied­li­chen Pass­wör­tern sind:

• ein geheimes Passwort-Schema, das für alle Pass­wör­ter glei­cher­ma­ßen angewandt wird. Ein bewährtes Schema ist die Ver­mi­schung von Plattform-Name mit einer festen Zah­len­kom­bi­na­ti­on. Das Passwort für Dropbox wäre dann zum Beispiel dro33pbox22 und dasjenige für Amazon ama33zon22.
• die Ver­wen­dung eines Passwort-Managers; hier hat man die Wahl zwischen einer App und einem Browser-Add-on.
• die Ver­wen­dung mehrerer E-Mail-Adressen bzw. Be­nut­zer­na­men für die ver­schie­de­nen Platt­for­men, jeweils mit einem anderen Passwort.

Für die Betreiber von Websites, Webshops und Online-Services existiert eine ganze Reihe ver­schie­de­ner Mög­lich­kei­ten, die Anwender vor Cre­den­ti­al Stuffing zu schützen:

• TOTP-based Au­then­ti­ca­tor, d.h. Ver­wen­dung eines ein­ma­li­gen tem­po­rä­ren Pass­wor­tes (time-based one-time password) für die Anmeldung
• Multi-Faktor-Au­then­ti­sie­rung, zum Beispiel Zusendung eines SMS-Codes auf das Smart­phone
• Blo­ckie­ren von Headless Browsern, wie sie bei Bots zum Einsatz kommen
• Da­ten­ver­kehr aus Da­ten­cen­tern wie z.B. Amazon Web Services oder IBM Watson blo­ckie­ren. Denn Bots werden häufig von solchen Da­ten­cen­tern aus betrieben.
• Ver­wen­dung spe­zia­li­sier­ter Ver­tei­di­gungs-Software. Für WordPress bietet sich bei­spiels­wei­se das Plugin Wordfence Login Security an.
• Device Fin­ger­prin­ting. Dabei werden ver­schie­de­ne Merkmale des Anwender-Computers wie zum Beispiel die MAC-Adresse, die Fest­plat­ten-Größe, usw. aus­ge­le­sen und zu einem Hash-Wert ver­rech­net, sodass ein Login-Versuch von einem fremden Computer sofort entlarvt werden kann.