Was ist Credential Stuffing?

Beim Credential Stuffing nutzen Angreifer gestohlene oder geleakte Zugangsdaten und versuchen mit diesen Zugangsdaten meist automatisiert mit Hilfe eines Botnets auf verschiedene Websites und Dienste zuzugreifen. Diesem Angriff liegt die Annahme zugrunde, dass die meisten Personen, relativ faul sind und immer wieder die gleichen Zugangsdaten verwenden.

Warum ist Credential Stuffing gefährlich?

Erfolgreiche Credential-Stuffing-Angriffe können sowohl bei Privatpersonen als auch innerhalb von Unternehmen erhebliche Schäden verursachen. Privatpersonen haben oft mit finanziellen Schäden zu kämpfen - beispielsweise wenn ein Bankkonto leergeräumt wurde oder wenn für tausende von Euro auf Amazon etwas bestellt wurde. Unternehmen haben mit einer größeren Bandbreite von Problemen zu kämpfen. So kann es sein, dass Kundendaten gestohlen wurden, weil ein Mitarbeiter seine Zugangsdaten für das CRM-System mehrfach verwendet hat. Neben Reputationsschäden können auch rechtliche Konsequenzen drohen, wenn personenbezogene Daten gestohlen wurden. Im Allgemeinen ist dieser Angriff so verbreitet, weil er wahnsinnig einfach durchzuführen ist. Große Leak-Datenbanken versorgen Black Hat Hacker kontinuierlich mit neuen frischen und validen Zugangsdaten.

Welche Methoden verwenden Angreifer beim Credential Stuffing?

Die Zugangsdaten werden oft im Darknet gekauft. Auch öffentliche Leak-Datenbanken sind eine beliebte Quelle. Infostealer-Logdateien können mittlerweile ebenfalls kostenlos über Telegram heruntergeladen werden. Diese Daten werden von Angreifern aufbereitet und dann mit Hilfe von speziellen Tools gegen diverse Dienste - darunter PayPal, Amazon, GoogleMail und viele weitere - getestet. In der Regel wird der Traffic über Proxy-Server geleitet, so dass zum einen das Identifizieren des Angreifers sehr schwer ist. Der Hauptgrund hierfür ist meist aber das erschwerte Blockieren der Angriffe.

Wann treten Credential Stuffing-Angriffe vermehrt auf?

Global angelegte Credential Stuffing-Angriffe lassen sich vor allem dann gehäuft beobachten, wenn beispielsweise ein großer Dienst gehackt wurde und Zugangsdaten im Darknet verkauft werden. APT sind hier relativ schnell - speziell, wenn der Fokus des APT, der finanzielle Gewinn ist.

Wie schütze ich mich vor Credential Stuffing?

Wer für jeden Dienst ein einzigartiges Passwort verwendet, ist relativ sicher unterwegs. Passwort-Manager vereinfachen die Sache ungemein. Bei wichtigen Diensten ist die Nutzung von 2FA oder MFA absolute Pflicht - damit verhindert man erfolgreiche Logins obwohl eine dritte Partei die validen Zugangsdaten hat.

Wie verhindert man Credential Stuffing-Angriffe auf eigene Dienste?

Auch aus Entwickler-Sicht gibt es einige Maßnahmen, die man umsetzen kann, um die eigenen Kunden zu schützen. Die Implementierung von Captcha ist eine Möglichkeit - allerdings muss erwähnt werden, dass die meisten Captcha dank GenAI eigentlich keine Hürde mehr darstellen. Eine gute und sinnvolle Maßnahme wäre Rate Limiting - ein Account sollte gesperrt werden, wenn eine gewisse Anzahl fehlerhafter Logins detektiert wurde. Der beste Schutz ist und bleibt allerdings 2FA oder MFA - bei wichtigen Diensten sollte man darauf nicht verzichten bzw. es sogar verpflichtend machen. Penetrationstests können dabei helfen dies Maßnahmen zu prüfen.

Mehr Informationsmaterial

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema Credential Stuffing? Schreib uns!

Damian Strobel
Wir können Ihre Anwendungen auf Schwachstellen prüfen und Ihnen dabei helfen, sich vor Credential Stuffing zu schützen.