Account-Übernahme durch Credential Stuffing
Dieselben Zugangsdaten bei mehreren Diensten einzusetzen, geht nur so lange gut, wie keiner der Dienste einer Attacke zum Opfer fällt. Etliche bekannt gewordene Fälle scheinen darauf hinzudeuten, dass Credential Stuffing als Angriffsmaßnahme derzeit besonders beliebt ist. „Dabei wird die technische Infrastruktur eines Dienstes nicht angegriffen“, erklärt c’t-Redakteur Jo Bager. „Vielmehr setzen die Angreifer auf eine sehr menschliche Schwäche der Anwender und nutzen Zugangsdaten, die beim Hack auf andere Dienste erbeutet wurden.“
Ein Zufallsfund ermöglicht einen Blick darauf, wie die Angreifer vorgehen. Ein Leser hat das c’t-Magazin auf einen offen zugänglichen Webserver aufmerksam gemacht. Dort lagen Dateien mit Zugangsdaten von knapp einer Million deutscher und rund 38 Millionen französischer Kunden der Online-Handelsplattform Kleiderkreisel im Klartext. c’t hat die Dateien heruntergeladen und analysiert. „Zwei Dateien mit insgesamt 193 Datensätzen enthielten ein Feld credit_cards, das offenbar den Ablaufmonat der Kreditkarte enthält“, erläutert Bager. In diesem Fall scheint der Angreifer also nicht nur Zugangsdaten gehortet zu haben, sondern in die Accounts eingedrungen zu sein.
Nachdem c’t die Mutterfirma von Kleiderkreisel, vinted.com, auf das Problem hingewiesen hatte, konnte die IP-Adresse des von unserem Leser aufgefundenen Servers einem Spammer und Dictionary Attacker zugeordnet werden. Kleiderkreisel/Vinted und deren Kunden waren nach eigenen Angaben „in den letzten fünf Monaten des Jahres 2019“ einem Credential-Stuffing-Angriff ausgesetzt.
„Credential Stuffing ist aus der Sicht des Betreibers eines Online-Dienstes schwer auszumachen“, betont Bager. Jeder hat es selbst in der Hand, die eigenen Accounts zu schützen: „Man sollte für jeden Dienst ein anderes Passwort nutzen. Passwort Manager wie KeePass sind dabei hilfreich.“ Auch die Zwei-Faktor-Authentifizierung ist ein wirksamer zusätzlicher Schutz gegen den Fremd-Zugriff auf den eigenen Account.
Für die Redaktionen: Die neue c’t 12/20 liefert neben spannenden Artikeln auch die aktualisierte Version des seit über 15 Jahren bewährten Sicherheitstools der c’t-Redaktion: Desinfec‘t. Neben den vier Virenscannern ist neuerdings ein offener Threat-Scanner mit an Bord, der Emotet und andere Bedrohungen sehr effektiv aufspürt.
Die Computerzeitschrift c’t steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als meistabonnierte Computerzeitschrift Europas greift c’t im vierzehntäglichen Rhythmus vielfältige Themen auf – praxisnah und stets auf Augenhöhe mit den Lesern.
Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software-und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung & Beruf.
Mehrmals im Jahr gibt c’t Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c’t Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c’t Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.
Heise Gruppe GmbH & Co KG
Karl-Wiechert-Allee 10
30625 Hannover
Telefon: +49 (511) 5352-0
Telefax: +49 (511) 5352-129
http://www.heise-gruppe.de
Presse- und Öffentlichkeitsarbeit
Telefon: +49 (511) 5352-344
E-Mail: igr@heise.de