26.07.2022 - Auch in der vergangenen Woche der Sommerferien war der Meldeeingang beim NCSC auf einem tiefen Niveau. Das NCSC erhielt vermehrt Meldungen bei denen versucht wird, sich mit gestohlenen Anmeldedaten in Systeme zu hacken. Diese Form des Angriffs heisst «Credential Stuffing». Dabei können Ausfälle auftreten, weil bei vielen Fehlversuchen auch die legitimen Benutzer ausgesperrt werden.
In den letzten Wochen gingen beim NCSC vermehrt Meldungen ein, welche über verdächtige Einträge in Log-Daten und Service-Ausfällen berichten. Beobachtet wird dabei, dass zu unterschiedlichen Benutzernamen verschieden Passwörter durchprobiert werden. Diese Art des Angriffs, bei der gestohlene Anmeldedaten (Credentials) verwendet werden, heisst «Credential Stuffing». Durch das mehrmalige Eingeben verschiedener Passwörter (stuffing) und damit verbundenen Fehlversuchen, werden Benutzer häufig gesperrt. Dies kann wiederum zu einem Service-Ausfall führen.
Die Angreifer verschaffen sich vorgängig abgeflossene User-Namen und Passwörter. Solche Daten können sowohl gegen Bezahlung im Darknet als auch öffentlich zugänglich sein. Internetnutzende können auf der Website «haveibeenpwned.com» ihre E-Mail-Adresse eingeben und prüfen, ob ihre Daten bereits irgendwo abgeflossen sind. Der hilfreiche Service hat momentan 11,8 Milliarden Datensätze solcher abgeflossenen Daten gespeichert. Neuere Datenabflüsse sind dort jedoch noch nicht vorhanden, diese werden zumeist direkt zum Kauf im Darknet angeboten.
Mit den gestohlenen Datensätzen können Angreifer nun versuchen, sich bei verschiedenen Anwendungen im Internet einzuloggen. Dies ist damit zu vergleichen, als hätten die Hacker einen riesigen Schlüsselbund in der Hand, ohne zu wissen, zu welcher Tür welcher Schlüssel gehört. Und so müssen sie bei jeder Türe – oder im Internet bei allen Anmeldeseiten – jeden Schlüssel durchprobieren. Anmeldeseiten finden sich überall dort, wo Inhalte geschützt werden sollen, zum Beispiel für die Accounts in Webshops, für Kleinanzeigeplattformen, für Bezahldienste und Vieles mehr. Login-Daten werden aber auch für industrielle Steuerungsgeräte, die aus der Ferne per Internet bedient werden können, wie auch für administrative Zugänge zu Routern, Firewalls und anderen Geräten eingesetzt.
Die Hacker verwenden alle verfügbaren Quellen, um herauszufinden, wo die erbeuteten Zugangsdaten funktionieren könnten. Dabei hoffen sie darauf, dass die User für verschiedene Anwendungen dieselben Login-Daten verwenden. Falls beispielsweise dieselben E-Mail-Adressen in Social-Media-Kanälen auftauchen, für Produktebeurteilungen in Onlineshops verwendet werden oder gar zu einer Firma gehören, sind das Indikatoren, dass die Anmeldedaten bei all diesen Anwendungen gleich sein und auch funktionieren könnten.
Je nach Absicht der Hacker werden dann unterschiedliche Ziele angegriffen. Die einen versuchen, sich bei Online-Marktplätzen einzuloggen, um einen Kleinanzeigebetrug zu begehen und andere versuchen, mit den Zugangsdaten Waren bei Amazon, Zalando oder anderen Onlineshops zu bestellen.
Hacker suchen sich aber gerne auch ans Internet angeschlossene Geräte aus, welche Firmennetzte absichern. Momentan sind beispielsweise vom Router-Hersteller Netgear 1,3 Millionen Webkonsolen zum Administrieren der Geräte aus dem Internet über die Suchmaschine «shodan.io» indexiert und für solche Angriffe erreichbar.
Etwas anders aber mit dem gleichen Ziel laufen sogenannte «Brute-Force»-Angriffe ab: Dabei suchen sich die Hacker einen bestimmten Account aus, z. B. «admin», und probieren alle gefundenen und möglichen Passwörter durch.
Um sich vor solchen Angriffen zu schützen, gilt es sowohl bei der Infrastruktur wie auch als Nutzerin oder Nutzer von Login-Daten Verschiedenes zu beachten.
Schutz der Infrastruktur:
- Sperren Sie Anmeldeseiten, so dass diese aus dem Internet nicht erreichbar sind;
- Anmeldeseiten für Firewalls und Netzwerkgeräte sollten nur von intern oder über bekannte IP-Adressen (z. B. das eigene VPN-Netz) erreichbar sein;
- Mit der Technik «GeoIP-Fencing» können unerwünschte IP-Ranges (z. B. einzelne Länder) ausgeschlossen werden;
- Nach einem Anmeldefehler sollte die IP des Angreifers für einige Zeit gesperrt oder der Anmeldeversuch verlangsamt werden;
- Öffentlich zugängliche Webseiten mit einer Anmeldung sollten mit einer sogenannten «Captcha»-Technik geschützt werden. Bei einem Captcha muss eine kleine Aufgabe gelöst werden, so dass sich Menschen von Robotern/Bots unterscheiden lassen.
Und für die eigenen Anmeldedaten gilt immer:
- Verwenden Sie grundsätzlich für alle Online-Dienste ein separates Passwort;
- Falls möglich, verwenden Sie eine Multi-Faktor-Authentisierung.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 26.07.2022
