Ausgewählter Artikel

Vorfälle mit Zugangsdatenverlust verdoppeln sich, da Hacker immer raffinierter werden

Begleiten Sie Dan Woods (VP für das Shape Security Intelligence Center bei F5) und Sander Vinberg (F5 Labs Threat Evangelist), wenn sie sich zusammen mit John Wagnon und Jason Rahm von DevCentral mit dem neuen Credential Stuffing Report von F5 Labs befassen.

Weitere Informationen finden Sie im vollständigen Credential Stuffing Report 2021. Eine erweiterte Version der DevCentral Connects-Diskussion finden Sie hier . Nachfolgend finden Sie außerdem eine Zusammenfassung der wichtigsten Ergebnisse des Berichts.


Laut dem jüngsten Credential Stuffing Report von F5 Labs hat sich die Zahl der jährlichen Credential-Split-Vorfälle von 2016 bis 2020 fast verdoppelt .

Die umfassendste Forschungsinitiative ihrer Art meldete für denselben Zeitraum einen Rückgang der Anzahl weitergegebener Anmeldeinformationen um 46 %. Auch die durchschnittliche Größe der Leckagen ging zurück, und zwar von 63 Millionen Datensätzen im Jahr 2016 auf 17 Millionen im letzten Jahr. Unterdessen stellte die durchschnittliche Größe von Ölunfällen im Jahr 2020 (2 Millionen Aufzeichnungen) einen Anstieg von 234 % gegenüber 2019 dar und war die höchste seit 2016 (2,75 Millionen).

Credential Stuffing, bei dem große Mengen kompromittierter Benutzernamen und/oder E-Mail- und Passwortpaare ausgenutzt werden, ist ein wachsendes globales Problem. Ein typisches Beispiel hierfür ist eine im letzten Jahr vom FBI herausgegebene Private Industry Notification, in der es hieß, diese Bedrohung sei zwischen 2017 und 2020 für die meisten Sicherheitsvorfälle im US-Finanzsektor (41 %) verantwortlich gewesen. 

„Angreifer sammeln seit Jahren Milliarden von Anmeldeinformationen“, sagte Sara Boddy, Senior Director von F5 Communities (F5 Labs und DevCentral). „Wenn Anmeldeinformationen einmal ausgelaufen sind, sind sie wie Ölverschmutzungen. Sie sind nur schwer zu beseitigen, da ahnungslose Verbraucher die Anmeldeinformationen nicht ändern können und Lösungen zum Credential Stuffing in Unternehmen noch nicht weit verbreitet sind. Es überrascht nicht, dass wir während dieses Untersuchungszeitraums eine Verschiebung des häufigsten Angriffstyps von HTTP-Angriffen zu Credential Stuffing beobachteten. Diese Angriffsart hat langfristige Auswirkungen auf die Sicherheit von Anwendungen und daran wird sich in naher Zukunft nichts ändern. Wenn Sie Angst vor einem Hackerangriff haben, ist die Wahrscheinlichkeit am höchsten, dass es sich um einen Credential-Stuffing-Angriff handelt.“

Auf der Grundlage der Erkenntnisse forderte Sander Vinberg, Threat Research Evangelist bei F5 Labs und Co-Autor des Berichts, Organisationen dazu auf, wachsam zu bleiben.

„Auch wenn es interessant ist, dass das Gesamtvolumen und die Größe der weitergegebenen Anmeldeinformationen im Jahr 2020 zurückgegangen sind, sollten wir das definitiv noch nicht feiern“, warnte er. „Zugriffsangriffe – einschließlich Credential Stuffing und Phishing – sind mittlerweile die häufigste Ursache für Sicherheitsverletzungen. Es ist höchst unwahrscheinlich, dass die Sicherheitsteams den Kampf gegen Datenexfiltration und Betrug gewinnen. Es sieht also so aus, als würden wir erleben, wie sich ein zuvor chaotischer Markt stabilisiert, während er zunehmend reifer wird.“ 

Schlechte Speicherung von Passwörtern und immer raffiniertere Angreifer

Trotz eines wachsenden Konsenses über bewährte Verfahren in der Branche besteht eines der wichtigsten Ergebnisse des Berichts darin, dass die schlechte Passwortspeicherung weiterhin ein Dauerproblem darstellt.

Obwohl die meisten Organisationen ihre Passwort-Hashing-Algorithmen nicht offenlegen, konnte F5 90 konkrete Vorfälle untersuchen, um einen Eindruck von den wahrscheinlichsten Schuldigen für den Verlust von Anmeldeinformationen zu bekommen.

In den letzten drei Jahren gab es bei 42,6 % der Anmeldeinformationen keinen Schutz und die Passwörter waren im Klartext gespeichert. Darauf folgten 20 % der Anmeldeinformationen im Zusammenhang mit dem Passwort-Hashing-Algorithmus SHA-1, die „ungesalzt“ waren (d. h. ihnen fehlte ein eindeutiger Wert, der an das Ende des Passworts angehängt werden kann, um einen anderen Hash-Wert zu erstellen). Der „gesalzene“ Bcrypt-Algorithmus belegte mit 16,7 % den dritten Platz. Überraschenderweise war der weithin diskreditierte Hashing-Algorithmus MD5 für nur einen kleinen Anteil der verlorenen Anmeldeinformationen verantwortlich, selbst wenn die Hashes gesalzen waren (0,4 %). MD5 gilt seit Jahrzehnten als schwach und schlechte Praxis, ob gesalzen oder nicht.

Eine weitere bemerkenswerte Beobachtung in dem Bericht ist, dass Angreifer zunehmend „Fuzzing“-Techniken verwenden, um den Erfolg von Anmeldeinformations-Exploits zu optimieren. Beim Fuzzing werden Sicherheitslücken im Code zur Eingabeanalyse gefunden, indem der Parser wiederholt mit geänderten Eingaben getestet wird. F5 stellte fest, dass die meisten Fuzzing-Angriffe vor der öffentlichen Veröffentlichung der kompromittierten Anmeldeinformationen erfolgten. Dies lässt darauf schließen, dass diese Vorgehensweise unter versierten Angreifern weiter verbreitet ist.

Leckageerkennung

Im Credential Stuffing Report 2018 gab F5 an, dass es durchschnittlich 15 Monate dauerte, bis der Verlust von Anmeldeinformationen öffentlich bekannt wurde. Dies hat sich in den letzten drei Jahren verbessert. Die durchschnittliche Zeit bis zur Erkennung von Vorfällen beträgt, wenn sowohl das Vorfalldatum als auch das Entdeckungsdatum bekannt sind, mittlerweile etwa elf Monate. Allerdings wird diese Zahl durch eine Handvoll Vorfälle verfälscht, bei denen die Erkennungszeit drei Jahre oder länger betrug. Die durchschnittliche Zeit bis zur Erkennung von Vorfällen beträgt 120 Tage. Es ist wichtig zu beachten, dass Lecks im Dark Web häufig entdeckt werden, bevor Organisationen einen Verstoß offenlegen.

Das Dark Web im Rampenlicht

Die Bekanntgabe einer Ölpest geht normalerweise mit dem Auftauchen der Anmeldeinformationen in Darknet-Foren einher. Für den Credentials Stuffing Report 2020 analysierte F5 speziell den entscheidenden Zeitraum zwischen dem Diebstahl der Zugangsdaten und ihrer Veröffentlichung im Dark Web.  

Forscher führten eine historische Analyse anhand einer Stichprobe von fast 9 Milliarden Anmeldeinformationen aus Tausenden von einzelnen Datenschutzverletzungen durch, die als „Sammlung X“ bezeichnet wird. Die Anmeldeinformationen wurden Anfang Januar 2019 in Darknet-Foren veröffentlicht.

F5 verglich die Anmeldeinformationen der Collection X mit den Benutzernamen, die bei Credential-Stuffing-Angriffen gegen eine Gruppe von Kunden sechs Monate vor und nach dem Datum der Ankündigung (dem ersten Mal, dass ein Credential-Leak öffentlich bekannt wird) verwendet wurden. Untersucht wurden vier Fortune 500-Kunden – zwei Banken, ein Einzelhändler und ein Nahrungsmittel- und Getränkeunternehmen – die für 72 Milliarden Login-Transaktionen über 21 Monate verantwortlich waren. Mithilfe der Shape Security-Technologie konnten Forscher gestohlene Anmeldeinformationen während ihres Diebstahls, Verkaufs und ihrer Verwendung „verfolgen“.

Im Laufe von zwölf Monaten wurden 2,9 Milliarden unterschiedliche Anmeldeinformationen sowohl für legitime Transaktionen als auch für Angriffe auf den vier Websites verwendet. Fast ein Drittel (900 Millionen) der Anmeldeinformationen waren kompromittiert. Am häufigsten tauchten die gestohlenen Anmeldeinformationen bei legitimen menschlichen Transaktionen bei den Banken auf (in 35 % bzw. 25 % der Fälle). 10 % der Angriffe zielten auf den Einzelhandel, rund 5 % konzentrierten sich auf die Lebensmittel- und Getränkebranche.

Fünf Phasen des Missbrauchs von Anmeldeinformationen

Der Credential Stuffing-Bericht identifizierte auf Grundlage der Studie fünf verschiedene Phasen des Missbrauchs von Anmeldeinformationen:

  • Langsam und leise: Bis einen Monat vor einer öffentlichen Ankündigung wurden kompromittierte Anmeldeinformationen heimlich verwendet. Im Durchschnitt wurde jede Anmeldeinformation 15 bis 20 Mal pro Tag für Angriffe auf alle vier Websites verwendet. 
  • Der Ramp-Up: In den 30 Tagen vor der öffentlichen Ankündigung sah F5, dass die Anmeldeinformationen im Dark Web kursierten. Immer mehr Angreifer verschafften sich Zugriff auf die Anmeldeinformationen, weshalb die Zahl der Angriffe pro Tag stetig steigt.
  • Der Blitz: Als die Anmeldeinformationen öffentlich bekannt wurden, begannen „Script Kiddies“ und andere Amateure, sie auf den größten Websites zu verwenden. Die erste Woche war besonders aktiv: Jedes Konto wurde durchschnittlich über 130 Mal pro Tag angegriffen.
  • Der Abfall/Neues Gleichgewicht: Nach dem ersten Monat stellte F5 ein neues Gleichgewicht von etwa 28 Angriffen pro Benutzername und Tag fest. Interessanterweise ist das neue Gleichgewicht höher als der ursprüngliche Status quo von 15 Angriffen während der „langsamen und ruhigen“ Phase. Dies liegt daran, dass eine Untergruppe unerfahrener Angreifer immer noch mit veralteten Anmeldeinformationen auf wichtige Unternehmen abzielt.
  • Reinkarnation: Nachdem eine Gruppe von Kriminellen Credential-Stuffing-Angriffe auf verschiedene Web-Eigenschaften durchgeführt hatte, machte sie sich daran, gültige Anmeldeinformationen neu zu verpacken, um ihre nutzbare Haltbarkeitsdauer zu verlängern.

Minimieren der Bedrohung 

„Credential Stuffing wird eine Bedrohung sein, solange wir von Benutzern verlangen, sich online bei Konten anzumelden“, fügte Boddy hinzu. „Angreifer werden ihre Angriffe weiterhin an Techniken zum Schutz vor Betrug anpassen, wodurch ein starker Bedarf und große Chancen für adaptive, KI-gestützte Kontrollen im Zusammenhang mit Credential Stuffing und Betrug entstehen. Es ist unmöglich, 100 % der Angriffe sofort zu erkennen. Möglich ist es, die Angriffe so kostspielig zu gestalten, dass die Betrüger aufgeben. Wenn es eine Sache gibt, die sowohl in der Welt der Cyberkriminellen als auch der Geschäftsleute gleichermaßen gilt, dann ist es die Tatsache, dass Zeit Geld ist.“


Weitere Perspektiven zu Bedrohungsinformationen und Cybersicherheit finden Sie unter https://www.f5.com/labs .