Quantifizierung der Identitätsbedrohung: Ein Fünftel der Authentifizierungsanfragen sind bösartig

Untersuchungen von F5 Labs haben ergeben, dass 19,4 % der Authentifizierungsanfragen wahrscheinlich auf Angriffe zum Ausfüllen von Anmeldeinformationen zurückzuführen sind;

Abhilfemaßnahmen verringern die Prävalenz um mehr als zwei Drittel, erhöhen aber die Raffinesse der nachfolgenden Angriffe;

75 % der gestohlenen Zugangsdaten stammen aus unbekannten Quellen.

SEATTLE - Digitale Identitäten sind zu einem Schlachtfeld der Cybersicherheit geworden. Ein Fünftel der Authentifizierungsanfragen stammt von bösartigen automatisierten Systemen, so eine neue Studie von F5 Labs.

Die Bericht zur Identitätsbedrohung 2023: Die Unpatchables analysierte 320 Milliarden Datentransaktionen, die zwischen März 2022 und April 2023 in den Systemen von 159 Unternehmen stattfinden. 

Ohne Abhilfemaßnahmen lag die durchschnittliche Automatisierungsrate - ein deutlicher Indikator für Credential Stuffing - bei 19,4 %. Diese Zahl verringerte sich um mehr als zwei Drittel auf 6 %, als der bösartige Datenverkehr proaktiv eingedämmt wurde.  

Bei Credential Stuffing-Angriffen nutzen böswillige Akteure gestohlene Benutzernamen und Kennwörter aus einem System, um in andere einzudringen. Automatisierte Tools stehen dabei im Mittelpunkt, da sie es den Angreifern ermöglichen, die Anzahl ihrer Versuche zu maximieren.

"Digitale Identitäten sind seit langem eine Priorität für Angreifer, und die Bedrohung wächst mit der zunehmenden Verbreitung nicht-menschlicher Identitäten", sagt Sander Vinberg, Threat Research Evangelist bei F5 Labs. "Unsere Untersuchung zeigt, in welchem Ausmaß digitale Identitäten angegriffen werden und wie wichtig es ist, sich wirksam dagegen zu wehren. Bezeichnenderweise haben wir ein konsistentes Muster gefunden, bei dem der Einsatz von bösartiger Automatisierung sofort auf ein niedrigeres Niveau sinkt, wenn Schutzmaßnahmen vorhanden sind, wobei die Angreifer dazu neigen, auf der Suche nach einfacheren Zielen aufzugeben.

Schadensbegrenzung: vorher und nachher

Ein wichtiger Teil der Studie untersuchte die Auswirkungen von Abhilfemaßnahmen auf Angriffe zum Ausfüllen von Anmeldeinformationen. Diese veränderten das Verhalten der Angreifer und führten zu einem Rückgang des Einsatzes bösartiger Automatisierung. 

F5 Labs fand heraus, dass Angriffe auf mobile Endgeräte ohne Abhilfemaßnahmen häufiger vorkommen als auf das Internet. Nach der Einführung von Abhilfemaßnahmen war der Rückgang der mobilen Angriffe größer, und mehr der nachfolgenden Angriffe erfolgten über Web-Endpunkte.

Die Abhilfemaßnahmen hatten auch Auswirkungen auf die Raffinesse der Angriffe.

64,5 % des bösartigen Datenverkehrs gegen ungeschützte Authentifizierungsendpunkte bestand aus Angriffen, die als "einfach" eingestuft wurden, d. h. es wurde nicht versucht, menschliches Verhalten nachzuahmen oder den Bot-Schutz zu umgehen. Der Anteil dieser Angriffe sank deutlich auf 44 %, nachdem Abhilfemaßnahmen getroffen worden waren.

Im Gegensatz dazu stiegen die "Zwischenangriffe", bei denen versucht wird, die Anti-Bot-Lösungen zu manipulieren, nach der Einführung der Schutzmaßnahmen von 12 % auf 27 %. Fortgeschrittene Angriffe, bei denen Tools zum Einsatz kommen, die das Surfen eines menschlichen Benutzers (einschließlich Mausbewegungen, Tastatureingaben und Bildschirmgröße) genau nachahmen können, stiegen von 20 % auf 23 %. 

"Unsere Analyse zeigt, dass viele Angreifer einfach weiterziehen, wenn Schutzmaßnahmen eingeführt werden", so Vinberg. "Angreifer, die weiterhin ein System angreifen, für das es bereits Schutzmaßnahmen gibt, sind eindeutig entschlossener und raffinierter und nutzen Tools, die es ihnen ermöglichen, menschliches Verhalten genau nachzuahmen oder ihre Aktivitäten zu verschleiern. 

"Wir haben beispielsweise einen Angriff beobachtet, bei dem 513.000 einzelne Benutzerinteraktionen in 516.000 Anfragen nachgeahmt wurden, wobei in weniger als 1 % der Fälle identifizierbare Merkmale wiedergegeben wurden. Bei den raffiniertesten Angriffen ist manchmal eine manuelle Beobachtung erforderlich, um bösartiges Verhalten zu erkennen und eine neue Signatur zu erstellen."

Die Herausforderungen für Verteidiger steigen

F5 Labs untersuchte auch die Lieferkette der kompromittierten Anmeldedaten. Besorgniserregend ist, dass die Verteidiger anscheinend viel weniger Sichtbarkeit haben, als sie dachten. Bis zu 75 % der bei Angriffen übermittelten Anmeldedaten waren zuvor nicht als kompromittiert bekannt.

Darüber hinaus müssen die Verteidiger auf Identitätsbedrohungen reagieren , die darauf abzielen, die Schutzmaßnahmen zu überwinden. Unternehmen können zum Beispiel versuchen, Credential Stuffing-Angriffe zu überwachen, indem sie auf eine ungewöhnlich niedrige Erfolgsrate von Authentifizierungsanfragen achten. Die Studie ergab, dass sich die Angreifer mit "Kanarienvogelkonten" darauf eingestellt haben. Diese können kontinuierlich abgerufen werden, um die Gesamterfolgsquote künstlich zu erhöhen. In einem Beispiel meldete sich eine Kampagne zum Ausfüllen von Anmeldeinformationen zu diesem Zweck in derselben Woche 37 Millionen Mal bei demselben Canary-Konto an.

Bei Phishing-Angriffen, einem weiteren Schwerpunkt der Analyse von F5 Labs, gab es erneut deutliche Hinweise auf verstärkte Anstrengungen zur Bekämpfung von Gegenmaßnahmen. Vor allem die zunehmende Verwendung der Multi-Faktor-Authentifizierung fördert den Anstieg des Reverse-Proxy-Phishings, bei dem Angreifer gefälschte Anmeldeseiten einrichten, die die Benutzer zur Eingabe ihrer Anmeldedaten auffordern. 

Darüber hinaus nutzen Angreifer zunehmend Funktionen zur Umgehung der Erkennung, wie z. B. AntiRed. Dabei handelt es sich um ein JavaScript-Tool, das entwickelt wurde, um browserbasierte Phishing-Analysen wie Google Safe Browsing zu überwinden (das dem Benutzer eine rote Flagge anzeigt, wenn er auf eine potenziell unsichere Website stößt).

Neue Bedrohungen am Horizont

Vor dem Hintergrund der sich ständig weiterentwickelnden Umgebungen beobachtete F5 Labs auch, wie eine neue Generation von Bedrohungen entsteht. 

So wurde im August 2022 im Dark Web eine Werbung für ein Voice-Phishing-System entdeckt, das künstliche Intelligenz zur Automatisierung von Phishing-Anrufen einsetzt. Die zunehmende Komplexität und die sinkenden Kosten der KI bedeuten, dass solche Ansätze im Laufe der Zeit immer alltäglicher und effektiver werden.

"Mit Blick auf die Zukunft sollten Identitätsanbieter eine Anti-Bot-Lösung einsetzen, um bösartige Automatisierungen wie das Ausfüllen von Anmeldeinformationen zu verhindern. Selbst einfache Anti-Bot-Lösungen können den Großteil des einfachen Credential Stuffing abschwächen", so Vinberg weiter.

"Organisationen können ihren Schutz durch den Einsatz von kryptographiebasierten MFA-Lösungen, die beispielsweise auf den Protokollen WebAuthn oder FIDO2 basieren, weiter stärken. Letztendlich gibt es kein Patentrezept für die Bekämpfung von identitätsbasierten Angriffen. Die Verteidiger müssen Angriffe überwachen und erkennen, die Fehlerquote ihrer Erkennung quantifizieren und sich entsprechend anpassen. Je mehr wir diese Angriffe und ihre sich ständig verändernde Natur studieren, desto besser können wir das Risiko von Schwachstellen in den Griff bekommen, die jedem System innewohnen, zu dem die Benutzer ihre Identität nachweisen müssen, um Zugang zu erhalten.