Credential-Stuffing-Angriffe – eine Kategorie von Cyberangriffen, bei denen gestohlene Benutzernamen und Passwörter verwendet werden, um unbefugten Zugriff auf Websites zu erlangen – sind eine Untergruppe der Brute-Force-Angriffe. Bei Brute-Force-Angriffen handelt es sich um eine Klassifizierung von Angriffen, die darauf abzielen, systemische Schwachstellen zu instrumentalisieren, um finanzielle, informationelle und strategische Vorteile zu erlangen, und zwar mit wenig bis gar keinem Kontext.
Bei Credential Stuffing werden offengelegte Daten verwendet, während bei Brute-Force-Angriffen gängige Passwörter und zufällige Versuche zum Einsatz kommen. Brute-Force-Angriffe sind eher mit einem Vorschlaghammer zu vergleichen, während Credential Stuffing präziser ist (zielgerichtet und strategisch).
Credential Stuffing
Was sind Credential-Stuffing-Angriffe?
Credential Stuffing ist eine Art von Cyberangriff, bei dem gestohlene Benutzernamen und Passwörter verwendet werden, um unbefugten Zugang zu mehreren Websites zu erhalten, wobei die gängige Praxis der Passwortwiederverwendung für betrügerische Aktivitäten instrumentalisiert wird. Denken Sie über Ihre eigenen Passwörter nach – Sie haben sehr wahrscheinlich eine kleine Anzahl oder sogar ein Kernpasswort mit leichten Abweichungen; genau aus diesem Grund sind Credential-Stuffing-Angriffe erfolgreich.
Wie funktioniert Credential Stuffing?
Bei einem Credential-Stuffing-Angriff verwenden Hacker gestohlene Anmeldedaten, um sich Zugang zu verschiedenen Websites zu verschaffen. Dabei setzen sie Tools wie Botnets und IP-Rotation ein, um der Erkennung zu entgehen. Sobald der Angreifer angemeldet ist, kann er eine Account-Übernahme veranlassen, wodurch ein einzelner gestohlener Satz von Anmeldedaten zu einer viel größeren Bedrohung wird.
So sieht ein Credential Stuffing-Angriff aus:
Erste Datenaggregation: Hacker sammeln Listen mit Benutzernamen und Passwörtern, die bei Datenschutzverletzungen gestohlen wurden, oder kaufen sie von kriminellen Websites im Darknet. Gestohlene Passwortlisten können Hunderte Millionen von Benutzernamen und Passwörtern enthalten und sind für Kriminelle oft für eine relativ geringe Summe erhältlich.
Infrastruktur zur Validierung von Anmeldeinformationen:: In diesem Stadium verwenden die Cyberkriminellen spezielle Computerprogramme, so genannte Bots, um zu versuchen, sich bei vielen Websites gleichzeitig anzumelden. Diese automatischen Programme können jede Minute Tausende von Passwörtern testen. Um Angriffe effektiver zu gestalten, können Betrüger mehrere kompromittierte Computer anweisen, in einem Botnet zusammenzuarbeiten.
Proxy- und IP-Rotationsmechanismen: Angreifer verwenden spezielle Tools, um zu verbergen, woher die Angriffe stammen, indem sie die Netzwerkadressen ändern. Mehrere gefälschte Standorte helfen dabei, die wahre Quelle des Angriffs noch effektiver zu verschleiern und zu vermeiden, von Sicherheitssystemen entdeckt zu werden.
Fortschrittliche Bot-Technologien: KI-Bots sind neue Hacking-Tools, die sehr gut darin sind, echte Menschen online nachzuahmen. Diese Programme fügen sogar zufällige Verzögerungen und Mausbewegungen hinzu, um Sicherheitssysteme zum Narren zu halten.
Strategien der geografischen Verteilung: Hacker starten Angriffe aus verschiedenen Ländern weltweit, um keinen Verdacht zu erregen. Anmeldeversuche kommen gleichzeitig aus Regionen wie Europa, Asien und Amerika. Die Ausbreitung der Angriffe über den gesamten Globus macht es schwieriger, sie zu stoppen.
Protokollausnutzung: Angreifer suchen nach Schwachstellen in der Art und Weise, wie Websites Logins und Passwörter verwalten. Probleme mit den Optionen zum Zurücksetzen des Passworts geben Hackern mehr Möglichkeiten, einzudringen. Alte oder schlecht eingerichtete Sicherheitsmaßnahmen erhöhen die Wahrscheinlichkeit eines erfolgreichen Angriffs.
Wie können Sie Credential Stuffing-Angriffe verhindern?
Um Credential-Stuffing-Angriffe zu verhindern, ist eine mehrgleisige Sicherheitsstrategie erforderlich. Zu den Best Practices gehören:
1. Fortgeschrittene Multifaktor-Authentifizierung. Das Hinzufügen eines zweiten Login-Schritts, wie eines OTP-Codes, der an ein Telefon gesendet wird, kann unbefugten Zugriff blockieren, selbst wenn ein Angreifer ein gestohlenes Passwort erhalten hat.
2. Verhaltensbiometrische Integration. Kontextbewusste Authentifizierungssoftware kann den Schutz weiter verbessern, indem sie Nutzerverhalten und Interaktionsmuster analysiert, wie etwa das Wischen über Bildschirme oder das Tippen. Durch die Überprüfung dieser einzigartigen Muster werden gefälschte Anmeldeversuche verhindert, selbst bei Verwendung des richtigen Passworts.
3. Implementierung einer Zero-Trust-Architektur. Implementieren Sie Sicherheitssysteme, bei denen Nutzer ihre Identität bei jedem Anmeldeversuch nachweisen müssen. Die Annahme, dass kein inhärentes Vertrauen besteht, verhindert Sicherheitsverletzungen, bevor sie überhaupt entstehen, und stellt sicher, dass nur verifizierte Benutzer Zugriff auf sensible Daten erhalten.
4. Adaptives Rate Limiting. Verwenden Sie intelligente Software, die zu schnelle Anmeldeversuche von Bot-Netzwerken erkennt. Durch die Verlangsamung der Anmeldeversuche in solchen Fällen bleibt Zeit für die Untersuchung und Abwehr der Angriffe. Diese Art von Rate Limiting hält Credential-Stuffing-Bots fern, beeinträchtigt aber keine echten Nutzer.
5. Fortschrittliche Bot-Detection-Technologien. Deployen Sie Tools für maschinelles Lernen, um zwischen menschlichen Anmeldeversuchen und automatisierten Bot-Aktivitätsmustern zu unterscheiden. Das Blockieren simulierter Anmeldeversuche hilft dabei, groß angelegte Stuffing-Kampagnen von Anfang an zu verhindern.
6. Strategien zur passwortlosen Authentifizierung. Verwenden Sie passwortlose Authentifizierungsmethoden wie WebAuthn, die auf kryptografischen Schlüsseln basieren, die an bestimmte Geräte gebunden sind. Diese Strategien eliminieren die Risiken, die mit herkömmlichen Passwörtern verbunden sind, und machen gestohlene Zugangsdaten nutzlos.
7. Automatisierte Rotation der Anmeldeinformationen. Stellen Sie sicher, dass die Login-Daten regelmäßig aktualisiert werden, indem Sie automatisierte Systeme verwenden, die das Zurücksetzen erzwingen, wenn potenzielle Kompromittierungen erkannt werden. Das verhindert, dass Angreifer Passwörter wiederverwenden, und reduziert das Risiko von Sicherheitsverletzungen, die durch menschliches Versagen verursacht werden.
8. Integration von Bedrohungsinformationen. Indem Sie sich über neu auftretende Sicherheitslücken auf dem Laufenden halten, stellen Sie sicher, dass Ihre Sicherheitsmaßnahmen auch angesichts neuer Bedrohungen weiterhin wirksam sind. Wichtige Ressourcen sind CERT/CC, SecurityFocus und die National Vulnerability Database, die durchsuchbare und sortierbare Informationen bereitstellen. Für ausführliche Sicherheitsnachrichten und Bedrohungsinformationen folgen Sie Quellen wie dem SANS Internet Storm Center und CERT-EU.
9. Honeypot- und Täuschungstechnologie. Richten Sie Ködersysteme ein, um Angreifer von echten Assets abzulenken. Honeypots schützen nicht nur Ihre Systeme, sie helfen Ihnen auch, Ihre Sicherheitsstrategien zu verfeinern, indem sie wertvolle Daten über Hacking-Techniken sammeln.
10. Kontinuierliche Penetrationstests. Beauftragen Sie ethische Hacker mit der Durchführung regelmäßiger Penetrationstests, um die Abwehrkräfte Ihres Systems gründlich zu testen. Sie können Schwachstellen identifizieren und analysieren und Ratschläge zur Verbesserung Ihrer Sicherheitsmaßnahmen geben.
Brute-Force-Angriffe
Was ist ein Brute-Force-Angriff?
Ein Brute-Force-Angriff ist ein Cyberangriff, bei dem ein Hacker mithilfe von Software systematisch verschiedene Passwortkombinationen testet, um sich unbefugt Zugang zu einem Konto zu verschaffen.
Es nennt sich „Brute-Force“, weil Angreifer sich auf die Rechenleistung verlassen, um Passwörter wiederholt zu erraten, anstatt fortgeschrittene Methoden oder Fähigkeiten einzusetzen.
Wozu werden Brute-Force-Angriffe eingesetzt?
Brute-Force-Angriffe sind darauf ausgerichtet, systemische Schwachstellen für finanzielle, informationelle und strategische Zwecke auszunutzen. Nach Angaben von Google ist dieser Ansatz nach wie vor die am häufigsten verwendete Methode für gezielte Angriffe auf Cloud-Plattformen. Eine Studie des AhnLab Security Emergency Response Center (ASEC) zeigt beispielsweise, dass Brute-Force-Angriffe auf Server abzielen und Botnets und Malware wie Mirai und P2Pinfect nutzen, um in Systeme einzudringen.
Welche verschiedenen Arten von Brute-Force-Angriffen gibt es?
Es gibt mehrere verschiedene Arten von Brute-Force-Angriffen, eine davon ist Credential Stuffing:
Credential Stuffing: Hacker nutzen große Listen mit gestohlenen Nutzernamen, E-Mails und Kennwörtern, die sie aus früheren Datenschutzverletzungen erhalten haben. Dies ist eine gängige Taktik, die als Credential Stuffing bekannt ist.
Wörterbuchangriffe: Cyberkriminelle verwenden häufig Software, die endlose Kombinationen gängiger allgemeiner Wörter in mehreren Sprachen ausprobieren kann, um Passwörter zu knacken.
Hybridangriffe: Dabei handelt es sich um ausgefeilte Methoden, die verschiedene Typen kombinieren. So können Hacker zum Beispiel einen Entwurf für einen Wörterbuch-Angriff mit Zahlen- und Sonderzeichen-Permutationen und echten geleakten Passwörtern kombinieren, um die Genauigkeit zu erhöhen.
Rainbow-Table-Angriffe: Hier verwenden die Angreifer vorab berechnete Passwort-Hashes, um die Erkennung von Passwörtern zu beschleunigen. Sie vergleichen die Kopien der angegriffenen Datenbanken mit Ihrem System und suchen nach Übereinstimmungen, um den Zugriff freizugeben. Dadurch werden Angriffe schneller und schwieriger zu verfolgen.
Maskenangriffe: Diese Arten von Angriffen konzentrieren sich auf die Ausnutzung bekannter Passwortstrukturmuster und Komplexitätsanforderungen sowie partieller Informationen. Wenn beispielsweise die ersten paar Zeichen eines Passworts bekannt sind, verwenden Hacker Algorithmen, um die restlichen Zeichen vorherzusagen.
Verteilte Angriffe: Große Rechenknoten koordinieren sich über Tausende von Geräten, um die Brute-Force-Kapazität und die Geschwindigkeit zu erhöhen.
Wie verhindert man Credential Stuffing und Brute-Force-Angriffe?
Wie verhindert man Brute-Force-Angriffe?
Die Verhinderung von Brute-Force-Angriffen erfordert die Einrichtung mehrschichtiger Verteidigungssysteme, um unbefugte Zugriffsversuche zu erkennen und zu stoppen. Denken Sie daran, dass Credential-Stuffing-Angriffe eine Art Brute-Force-Angriff sind. Daher sind diese Strategien auf beide anwendbar.
Die folgenden Best Practices können dazu beitragen, das Risiko eines Brute-Force-Angriffs zu minimieren:
1. Implementierung fortschrittlicher Authentifizierungsprotokolle. Upgraden Sie von einfachen Passwörtern auf Multifaktor-Authentifizierung mit adaptiven Risikobewertungsfunktionen. Bei diesem Ansatz müssen Ihre Kunden und Amgestellten zusätzliche Schritte zur Validierung durchführen, z. B. die Eingabe von Einmalcodes, die an Mobiltelefone gesendet werden, oder biometrische Authentifizierung. Zusätzliche Maßnahmen wie diese erschweren das Einbrechen in Konten mit Brute-Force erheblich.
2. Erstellen intelligenter Kennwortrichtlinien. Erzwingen Sie starke Passwortprotokolle, die höhere Komplexitätsanforderungen mit Richtlinien zum Ablauf und zur Rotation von Passwörtern kombinieren. Verwenden Sie zentralisierte Identitätsmanagement-Plattformen, um häufig angegriffene Passwörter auf schwarze Listen zu setzen und Mindeststandards für Länge und Zeichentypen festzulegen. Setzen Sie KI-gestützte Tools ein, um schwache oder wiederverwendete Passwörter zu identifizieren und zu beheben.
3. Entwickeln ausgeklügelter Rate Limiting-Mechanismen. Erstellen Sie Zugangskontrollen, um wiederholte fehlgeschlagene Anmeldeversuche von derselben IP-Adresse oder demselben IP-Bereich zu blockieren. Dies schützt vor anhaltenden Versuchen, Passwörter zu erraten, während die Zugänglichkeit für legitime Nutzer erhalten bleibt. Sorgen Sie für eine ordnungsgemäße Konfiguration, um zu vermeiden, dass unbeabsichtigt gültige Konten gesperrt werden.
4. Implementieren von Bedrohungsinformationen in Echtzeit. Verbinden Sie die Sicherheitsinfrastruktur mit globalen Überwachungsplattformen für Bedrohungen, um über bösartige IP-Adressen, kompromittierte Anmeldeinformationen und Angriffsmethoden auf dem Laufenden zu bleiben. Automatisieren Sie außerdem Analysesysteme, um Netzwerke und Konten auf frühe Anzeichen von Brute-Force-Angriffen zu überwachen.
5. Optimieren der Netzwerksegmentierung. Trennen Sie die Systeme und den Datenzugriff strategisch voneinander, um den Schaden zu begrenzen, falls die Zugangsdaten kompromittiert werden. Schränken Sie VPN- und externe Zugangspunkte ein und gewähren Sie Angestellten nur minimale Zugriffsrechte. Wenn Sie Kunden an einem bestimmten Standort bedienen, können Sie mit Geoblocking verhindern, dass Angreifer aus anderen Ländern auf Ihre Websites oder Anwendungen zugreifen.
6. Regelmäßige Penetrationstests. Autorisieren Sie ethische Hacker, mithilfe von Simulationen von Brute-Force-Angriffen und anderen Cyber-Bedrohungen zu versuchen, Ihre Schutzmaßnahmen zu verletzen. Ein solches Pentesting deckt Schwachstellen auf und ermöglicht es Ihnen, Ihre Cybersicherheit kontinuierlich zu verbessern.
7. Investieren in Verhaltensanalytik. Erstellen Sie ein Profil typischer Nutzermuster in Bezug auf Datenzugriff, Anwendungen und geografische Bewegungen. Algorithmen für maschinelles Lernen können automatisch
anomale Verhalten erkennen, die auf einen Missbrauch von Zugangsdaten hindeuten, und verdächtige Sitzungen präventiv beenden.
Wie kann Fastly helfen, Brute-Force-Angriffe zu verhindern?
Fastly bietet starken Schutz gegen Brute-Force-Angriffe mit einer integrierten Sicherheits-Tool-Suite, die entwickelt wurde, um schnell mehrschichtige Verteidigungsmaßnahmen für Ihre Website und Anwendungen zu implementieren.
Next-Gen Web Application Firewall (WAF): Die Next-Gen WAF von Fastly überwacht und filtert eingehenden Webverkehr und blockiert automatisch verdächtige Aktivitäten im Zusammenhang mit Brute-Force-Angriffen. Sie bietet sofortige Transparenz bei aufkommenden Bedrohungen.
DDoS-Schutz: Die Lösung schützt vor verteilten Brute-Force-Angriffsversuchen, indem sie bösartigen Traffic absorbiert und filtert, bevor er Ihre Server erreicht.
Rate Limiting: Diese Funktion schränkt die Anfragen, die ein einzelner Kunde oder eine IP-Adresse innerhalb eines bestimmten Zeitrahmens senden kann, schnell ein und verhindert so automatisierte Brute-Force-Angriffsversuche.
Edge-Sicherheit: Die Plattform setzt die Abwehrmaßnahmen näher an der Angriffsquelle ein, wodurch die Latenz minimiert und gleichzeitig Bedrohungen wirksam abgewehrt werden.
TLS/HTTPS-Erzwingung: Fastly sorgt für verschlüsselte Kommunikationskanäle und schützt so vor dem Abhören und Ausspähen von Anmeldeinformationen bei Brute-Force-Angriffsversuchen.
Fastly bietet einen Bot-Management-Service an, der darauf ausgelegt ist, schädlichen Bot-Traffic zu erkennen und zu blockieren, der bei Cyberangriffen wie Credential Stuffing verwendet wird.
Automatische Bot-Erkennung: Fastly unterscheidet schnell echte Nutzer von Bots. Vor dem Blockieren führt das System eine doppelte Überprüfung durch, um Fehler zu vermeiden, die echte Nutzer verärgern könnten.
Bedrohungsklassifizierung in Echtzeit: Da Fastly Bedrohungen genau dann erkennt, wenn sie auftreten, können Sie sofort Maßnahmen ergreifen, um Angriffe zu stoppen.