Begleiten Sie Dan Woods (VP für das Shape Security Intelligence Center bei F5) und Sander Vinberg (F5 Labs Threat Evangelist), wenn sie sich zusammen mit John Wagnon und Jason Rahm von DevCentral mit dem neuen Credential Stuffing Report von F5 Labs befassen.
Weitere Informationen finden Sie im vollständigen Credential Stuffing Report 2021. Eine erweiterte Version der DevCentral Connects-Diskussion finden Sie hier . Nachfolgend finden Sie außerdem eine Zusammenfassung der wichtigsten Ergebnisse des Berichts.
Laut dem jüngsten Credential Stuffing Report von F5 Labs hat sich die Zahl der jährlichen Credential-Split-Vorfälle von 2016 bis 2020 fast verdoppelt .
Die umfassendste Forschungsinitiative ihrer Art meldete für denselben Zeitraum einen Rückgang der Anzahl weitergegebener Anmeldeinformationen um 46 %. Auch die durchschnittliche Größe der Leckagen ging zurück, und zwar von 63 Millionen Datensätzen im Jahr 2016 auf 17 Millionen im letzten Jahr. Unterdessen stellte die durchschnittliche Größe von Ölunfällen im Jahr 2020 (2 Millionen Aufzeichnungen) einen Anstieg von 234 % gegenüber 2019 dar und war die höchste seit 2016 (2,75 Millionen).
Credential Stuffing, bei dem große Mengen kompromittierter Benutzernamen und/oder E-Mail- und Passwortpaare ausgenutzt werden, ist ein wachsendes globales Problem. Ein typisches Beispiel hierfür ist eine im letzten Jahr vom FBI herausgegebene Private Industry Notification, in der es hieß, diese Bedrohung sei zwischen 2017 und 2020 für die meisten Sicherheitsvorfälle im US-Finanzsektor (41 %) verantwortlich gewesen.
„Angreifer sammeln seit Jahren Milliarden von Anmeldeinformationen“, sagte Sara Boddy, Senior Director von F5 Communities (F5 Labs und DevCentral). „Wenn Anmeldeinformationen einmal ausgelaufen sind, sind sie wie Ölverschmutzungen. Sie sind nur schwer zu beseitigen, da ahnungslose Verbraucher die Anmeldeinformationen nicht ändern können und Lösungen zum Credential Stuffing in Unternehmen noch nicht weit verbreitet sind. Es überrascht nicht, dass wir während dieses Untersuchungszeitraums eine Verschiebung des häufigsten Angriffstyps von HTTP-Angriffen zu Credential Stuffing beobachteten. Diese Angriffsart hat langfristige Auswirkungen auf die Sicherheit von Anwendungen und daran wird sich in naher Zukunft nichts ändern. Wenn Sie Angst vor einem Hackerangriff haben, ist die Wahrscheinlichkeit am höchsten, dass es sich um einen Credential-Stuffing-Angriff handelt.“
Auf der Grundlage der Erkenntnisse forderte Sander Vinberg, Threat Research Evangelist bei F5 Labs und Co-Autor des Berichts, Organisationen dazu auf, wachsam zu bleiben.
„Auch wenn es interessant ist, dass das Gesamtvolumen und die Größe der weitergegebenen Anmeldeinformationen im Jahr 2020 zurückgegangen sind, sollten wir das definitiv noch nicht feiern“, warnte er. „Zugriffsangriffe – einschließlich Credential Stuffing und Phishing – sind mittlerweile die häufigste Ursache für Sicherheitsverletzungen. Es ist höchst unwahrscheinlich, dass die Sicherheitsteams den Kampf gegen Datenexfiltration und Betrug gewinnen. Es sieht also so aus, als würden wir erleben, wie sich ein zuvor chaotischer Markt stabilisiert, während er zunehmend reifer wird.“
Trotz eines wachsenden Konsenses über bewährte Verfahren in der Branche besteht eines der wichtigsten Ergebnisse des Berichts darin, dass die schlechte Passwortspeicherung weiterhin ein Dauerproblem darstellt.
Obwohl die meisten Organisationen ihre Passwort-Hashing-Algorithmen nicht offenlegen, konnte F5 90 konkrete Vorfälle untersuchen, um einen Eindruck von den wahrscheinlichsten Schuldigen für den Verlust von Anmeldeinformationen zu bekommen.
In den letzten drei Jahren gab es bei 42,6 % der Anmeldeinformationen keinen Schutz und die Passwörter waren im Klartext gespeichert. Darauf folgten 20 % der Anmeldeinformationen im Zusammenhang mit dem Passwort-Hashing-Algorithmus SHA-1, die „ungesalzt“ waren (d. h. ihnen fehlte ein eindeutiger Wert, der an das Ende des Passworts angehängt werden kann, um einen anderen Hash-Wert zu erstellen). Der „gesalzene“ Bcrypt-Algorithmus belegte mit 16,7 % den dritten Platz. Überraschenderweise war der weithin diskreditierte Hashing-Algorithmus MD5 für nur einen kleinen Anteil der verlorenen Anmeldeinformationen verantwortlich, selbst wenn die Hashes gesalzen waren (0,4 %). MD5 gilt seit Jahrzehnten als schwach und schlechte Praxis, ob gesalzen oder nicht.
Eine weitere bemerkenswerte Beobachtung in dem Bericht ist, dass Angreifer zunehmend „Fuzzing“-Techniken verwenden, um den Erfolg von Anmeldeinformations-Exploits zu optimieren. Beim Fuzzing werden Sicherheitslücken im Code zur Eingabeanalyse gefunden, indem der Parser wiederholt mit geänderten Eingaben getestet wird. F5 stellte fest, dass die meisten Fuzzing-Angriffe vor der öffentlichen Veröffentlichung der kompromittierten Anmeldeinformationen erfolgten. Dies lässt darauf schließen, dass diese Vorgehensweise unter versierten Angreifern weiter verbreitet ist.
Im Credential Stuffing Report 2018 gab F5 an, dass es durchschnittlich 15 Monate dauerte, bis der Verlust von Anmeldeinformationen öffentlich bekannt wurde. Dies hat sich in den letzten drei Jahren verbessert. Die durchschnittliche Zeit bis zur Erkennung von Vorfällen beträgt, wenn sowohl das Vorfalldatum als auch das Entdeckungsdatum bekannt sind, mittlerweile etwa elf Monate. Allerdings wird diese Zahl durch eine Handvoll Vorfälle verfälscht, bei denen die Erkennungszeit drei Jahre oder länger betrug. Die durchschnittliche Zeit bis zur Erkennung von Vorfällen beträgt 120 Tage. Es ist wichtig zu beachten, dass Lecks im Dark Web häufig entdeckt werden, bevor Organisationen einen Verstoß offenlegen.
Die Bekanntgabe einer Ölpest geht normalerweise mit dem Auftauchen der Anmeldeinformationen in Darknet-Foren einher. Für den Credentials Stuffing Report 2020 analysierte F5 speziell den entscheidenden Zeitraum zwischen dem Diebstahl der Zugangsdaten und ihrer Veröffentlichung im Dark Web.
Forscher führten eine historische Analyse anhand einer Stichprobe von fast 9 Milliarden Anmeldeinformationen aus Tausenden von einzelnen Datenschutzverletzungen durch, die als „Sammlung X“ bezeichnet wird. Die Anmeldeinformationen wurden Anfang Januar 2019 in Darknet-Foren veröffentlicht.
F5 verglich die Anmeldeinformationen der Collection X mit den Benutzernamen, die bei Credential-Stuffing-Angriffen gegen eine Gruppe von Kunden sechs Monate vor und nach dem Datum der Ankündigung (dem ersten Mal, dass ein Credential-Leak öffentlich bekannt wird) verwendet wurden. Untersucht wurden vier Fortune 500-Kunden – zwei Banken, ein Einzelhändler und ein Nahrungsmittel- und Getränkeunternehmen – die für 72 Milliarden Login-Transaktionen über 21 Monate verantwortlich waren. Mithilfe der Shape Security-Technologie konnten Forscher gestohlene Anmeldeinformationen während ihres Diebstahls, Verkaufs und ihrer Verwendung „verfolgen“.
Im Laufe von zwölf Monaten wurden 2,9 Milliarden unterschiedliche Anmeldeinformationen sowohl für legitime Transaktionen als auch für Angriffe auf den vier Websites verwendet. Fast ein Drittel (900 Millionen) der Anmeldeinformationen waren kompromittiert. Am häufigsten tauchten die gestohlenen Anmeldeinformationen bei legitimen menschlichen Transaktionen bei den Banken auf (in 35 % bzw. 25 % der Fälle). 10 % der Angriffe zielten auf den Einzelhandel, rund 5 % konzentrierten sich auf die Lebensmittel- und Getränkebranche.
Der Credential Stuffing-Bericht identifizierte auf Grundlage der Studie fünf verschiedene Phasen des Missbrauchs von Anmeldeinformationen:
„Credential Stuffing wird eine Bedrohung sein, solange wir von Benutzern verlangen, sich online bei Konten anzumelden“, fügte Boddy hinzu. „Angreifer werden ihre Angriffe weiterhin an Techniken zum Schutz vor Betrug anpassen, wodurch ein starker Bedarf und große Chancen für adaptive, KI-gestützte Kontrollen im Zusammenhang mit Credential Stuffing und Betrug entstehen. Es ist unmöglich, 100 % der Angriffe sofort zu erkennen. Möglich ist es, die Angriffe so kostspielig zu gestalten, dass die Betrüger aufgeben. Wenn es eine Sache gibt, die sowohl in der Welt der Cyberkriminellen als auch der Geschäftsleute gleichermaßen gilt, dann ist es die Tatsache, dass Zeit Geld ist.“
Weitere Perspektiven zu Bedrohungsinformationen und Cybersicherheit finden Sie unter https://www.f5.com/labs .