Ein Kennwortlistenangriff ist eine Art von Cyberangriff, bei dem Angreifer eine vorkompilierte Liste von IDs und Kennwörtern verwenden, die sie häufig über Sicherheitslücken auf anderen Websites erlangt haben, um unberechtigter Zugriff auf Unternehmens- oder Organisationswebsites zu versuchen. Diese Methode wird auch als „Account-List-Angriff“ oder „listenbasiertes Account-Hacking“ bezeichnet.
Angreifer erhalten diese ID-Passwort-Listen normalerweise von unsicheren Websites oder Systemen. Wenn sich ein Angreifer beispielsweise mit gestohlenen Anmeldeinformationen Zugriff auf ein E-Commerce-Konto verschafft, kann er persönliche Informationen stehlen oder gespeicherte Kreditkartendaten missbrauchen. Opfer von Angriffen auf Passwortlisten können durch unbefugte Abhebungen oder betrügerische Transaktionen finanzielle Verluste erleiden.
Ursachen für Passwortlistenangriffe
- Wiederverwendung von IDs und Passwörtern: Viele Benutzer verwenden dieselben Anmeldeinformationen für mehrere Dienste, wodurch es für Angreifer einfacher wird, mehrere Konten zu kompromittieren.
- Phishing-Angriffe: Angreifer können Anmeldelisten durch Phishing erhalten, indem sie Benutzer dazu verleiten, ihre Anmeldeinformationen auf gefälschten, aber überzeugenden Websites einzugeben.
Unterschiede zu anderen Cyberangriffen
Angriffe auf Kennwortlisten werden häufig mit den folgenden Angriffsarten verwechselt:
- Brute-Force-Angriffe: Systematisches Erraten von Passwörtern durch Ausprobieren aller möglichen Kombinationen.
- Wörterbuchangriffe: Verwenden einer vordefinierten Bibliothek gängiger Passwörter oder Wortkombinationen, beispielsweise Namen oder Ausdrücke.
- Password-Spraying-Angriffe: Verwenden Sie ein einziges Kennwort, um die Anmeldung bei mehreren Konten gleichzeitig zu versuchen und so Kontosperrungsmechanismen zu vermeiden.
Angriffe über Kennwortlisten sind besonders schwer zu erkennen, da sie im Vergleich zu Brute-Force-Angriffen weniger Anmeldeversuche pro Konto erfordern.
Beispiele für reale Vorfälle
- QR-Code-Zahlungssysteme: Im Juli 2019 erlitt der QR-Code-Zahlungsdienst „7pay“ in Japan durch einen unberechtigter Zugriff, bei dem es sich vermutlich um Angriffe auf Passwortlisten handelte, finanzielle Schäden, was zur Schließung des Dienstes führte.
- Bankeinlagen: Im September 2020 wurde NTT Docomo über seinen Dienst „Docomo Account“ mit betrügerischen Abhebungen von Bankkonten konfrontiert, bei denen gestohlene Anmeldedaten verwendet wurden.
Auswirkungen von Passwortlistenangriffen
- Nicht autorisierte Abhebungen und Zahlungsbetrug: Gestohlene Zugangsdaten können zu unberechtigter Zugriff auf Bankkonten oder Kreditkartenmissbrauch führen.
- Datenschutzverletzungen: Für die Opfer kann es zum Abfluss vertraulicher persönlicher oder geschäftlicher Informationen kommen.
- Identitätsdiebstahl in sozialen Medien: unberechtigter Zugriff auf Social-Media-Konten kann durch gefälschte Posts oder Nachrichten zu Reputationsschäden führen.
- Gesetzliche Haftung für Dienstleister: Aufgrund unzureichender Sicherheitsmaßnahmen drohen Unternehmen zivil- und strafrechtliche Konsequenzen, die eine kostspielige Schadensbegrenzung erforderlich machen.
- Verlust des öffentlichen Vertrauens: Verstöße können dem Ruf des Unternehmens schaden und das Vertrauen der Benutzer in seine Dienste verringern.
Verhindern von Angriffen über Kennwortlisten
Sowohl Einzelpersonen als auch Organisationen müssen Strategien implementieren, um diese Angriffe zu verhindern:
- Vermeiden Sie die Wiederverwendung von Anmeldeinformationen: Benutzer sollten für jeden Dienst eindeutige IDs und Passwörter verwenden, und Dienstanbieter sollten Benutzer über diese Vorgehensweise aufklären.
- Überwachen Sie Anmeldeversuche mit WAFs: Setzen Sie Web Application Firewalls (WAFs) ein, um verdächtige Anmeldeaktivitäten zu erkennen, z. B. mehrere Versuche von derselben IP oder von ungewöhnlichen Standorten.
- Implementieren Sie die Zwei-Faktor-Authentifizierung (2FA): Durch das Hinzufügen eines zusätzlichen Authentifizierungsschritts, beispielsweise durch das Senden eines Einmalkennworts per E-Mail, können Sie unberechtigter Zugriff verhindern, selbst wenn die Anmeldeinformationen kompromittiert wurden.