Anatomie eines Angriffs Credential Stuffing

Was ist "Credential Stuffing"?

Credential Stuffing ist eine Art von Cyberangriff, bei dem Angreifer mithilfe automatisierter Tools große Mengen an Kombinationen von Benutzernamen und Passwörtern ausprobieren - die oft aus einem früheren Datenschutzverstoß stammen -, um unbefugten Zugang zu Benutzerkonten zu erhalten. Obwohl es sich nicht um die raffinierteste Angriffsart handelt, stellt Credential Stuffing eine erhebliche Bedrohung dar, da es sich auf schwache Passwörter und die Wiederverwendung von Passwörtern stützt. Durch das Testen von Millionen von Benutzernamen-Passwort-Kombinationen in kurzer Zeit können Angreifer Anmeldedaten mit minimalem Aufwand kompromittieren. Auch wenn die Erfolgsquote in der Regel gering ist, lohnt sich diese Taktik aufgrund der schieren Menge an Benutzerdaten, die im Dark Web zum Handel angeboten werden. Sie wird oft in Kombination mit phishing -Angriffen eingesetzt, um Konten zu übernehmen und Schaden anzurichten.

Warum Angreifer Credential Stuffing verwenden

Ransomware Gruppen wie Akira , Medusa und Blacksuit nutzen Credential Stuffing als einfache Möglichkeit, sich Zugang zu verschaffen und sich seitlich im Unternehmensnetzwerk zu bewegen. Sie verwenden Anmeldeinformationen aus einem Datenleck und melden sich mit denselben Benutzernamen und Passwörtern bei einem VPN oder einer Unternehmens-App an. Der Angreifer verlässt sich darauf, dass Mitarbeiter dieselben Anmeldeinformationen für mehrere Dienste wiederverwenden, und verwendet Bots, um die Multi-Faktor-Authentifizierung (MFA) und andere Präventionstools zu umgehen.

Wie funktioniert ein Angriff zum Ausfüllen von Anmeldeinformationen?

Credential Stuffing"-Angriffe sind relativ simpel. Sie beginnen in der Regel damit, dass der Angreifer Bots oder Skripte einsetzt, um den Anmeldeversuch mit gestohlenen Anmeldedaten zu automatisieren. Diese Tools können Tausende von Anmeldeversuchen pro Sekunde durchführen und ermöglichen es den Angreifern, Anmeldedaten auf mehreren Plattformen effizient zu testen.

Sobald eine Anmeldung erfolgreich war, kann der Angreifer das kompromittierte Konto übernehmen und sich im Unternehmensnetzwerk bewegen. Sie können sensible Daten stehlen, den Betrieb stören und weitere Angriffe starten - ohne jemals einen Exploit ausführen zu müssen.

Wie man Angriffe zum Ausfüllen von Anmeldeinformationen abwehrt

Im Fall von Credential Stuffing helfen Schulungen zum Sicherheitsbewusstsein und andere präventive Sicherheitsmaßnahmen nicht viel - Sie brauchen eine Möglichkeit, Stuffing-Versuche zu erkennen, wenn sie passieren. Aber oft ist die einzige verdächtige Aktivität ein plötzlicher Anstieg der Anmeldeversuche. Und selbst dann ist es schwierig, Angriffe zu stoppen, ohne die legitimen Benutzer zu beeinträchtigen.

Der beste Weg, um Credential Stuffing-Angriffe zu stoppen, ist eine 24/7-Überwachung, unterstützt durch KI-gesteuerte Erkennungen, wie sie Vectra AI bietet. Als beispielsweise ein realer Angreifer versuchte, sich in die Microsoft SaaS-Umgebung eines globalen Unternehmens einzuloggen, löste er mehrere Vectra AI Erkennungen aus, darunter eine verdächtige Anmeldung mit Entra ID und eine ungewöhnliche Nutzung der Scripting-Engine. Diese Erkennungen veranlassten das MXDR-Team von Vectra, den Vorfall zu eskalieren und den Angriff zu stoppen, bevor er begann. 

Sehen Sie, wie Vectra MXDR einen Angriff zum Ausfüllen von Anmeldeinformationen verhindert hat

Schauen Sie sich unsere Angriffsanatomie an, um zu sehen, was passierte, als ein realer Angreifer versuchte, die Umgebung eines Vectra AI -Kunden mit Hilfe von Credential Stuffing zu infiltrieren.