Anatomie eines Angriffs Credential Stuffing

Was ist "Credential Stuffing"?

Credential Stuffing ist eine Art von Cyberangriff, bei dem Angreifer mithilfe automatisierter Tools große Mengen an Kombinationen von Benutzernamen und Passwörtern ausprobieren - die oft aus einem früheren Datenschutzverstoß stammen -, um unbefugten Zugang zu Benutzerkonten zu erhalten. Obwohl es sich nicht um die raffinierteste Angriffsart handelt, stellt Credential Stuffing eine erhebliche Bedrohung dar, da es sich auf schwache Passwörter und die Wiederverwendung von Passwörtern stützt. Durch das Testen von Millionen von Benutzernamen-Passwort-Kombinationen in kurzer Zeit können Angreifer Anmeldedaten mit minimalem Aufwand kompromittieren. Auch wenn die Erfolgsquote in der Regel gering ist, lohnt sich diese Taktik aufgrund der schieren Menge an Benutzerdaten, die im Dark Web zum Handel angeboten werden. Sie wird oft in Kombination mit phishing -Angriffen eingesetzt, um Konten zu übernehmen und Schaden anzurichten.

Warum Angreifer Credential Stuffing verwenden

Ransomware Gruppen wie Akira, Medusa und Blacksuit nutzen Credential Stuffing als einfache Möglichkeit, sich Zugang zu verschaffen und sich seitlich im Unternehmensnetzwerk zu bewegen. Sie nehmen Anmeldedaten, die sie bei einer Datenverletzung erhalten haben, und verwenden dieselben Benutzernamen und Kennwörter, um sich bei einem VPN oder einer Unternehmensanwendung anzumelden. Der Angreifer rechnet damit, dass die Mitarbeiter dieselben Anmeldedaten für mehrere Dienste wiederverwenden, und verwendet Bots, um die Multi-Faktor-Authentifizierung (MFA) und andere Schutzmaßnahmen zu umgehen.

Wie funktioniert ein Angriff zum Ausfüllen von Anmeldeinformationen?

Credential Stuffing"-Angriffe sind relativ simpel. Sie beginnen in der Regel damit, dass der Angreifer Bots oder Skripte einsetzt, um den Anmeldeversuch mit gestohlenen Anmeldedaten zu automatisieren. Diese Tools können Tausende von Anmeldeversuchen pro Sekunde durchführen und ermöglichen es den Angreifern, Anmeldedaten auf mehreren Plattformen effizient zu testen.

Sobald eine Anmeldung erfolgreich war, kann der Angreifer das kompromittierte Konto übernehmen und sich im Unternehmensnetzwerk bewegen. Sie können sensible Daten stehlen, den Betrieb stören und weitere Angriffe starten - ohne jemals einen Exploit ausführen zu müssen.

Wie man Angriffe zum Ausfüllen von Anmeldeinformationen abwehrt

Im Fall von Credential Stuffing helfen Schulungen zum Sicherheitsbewusstsein und andere präventive Sicherheitsmaßnahmen nicht viel - Sie brauchen eine Möglichkeit, Stuffing-Versuche zu erkennen, wenn sie passieren. Aber oft ist die einzige verdächtige Aktivität ein plötzlicher Anstieg der Anmeldeversuche. Und selbst dann ist es schwierig, Angriffe zu stoppen, ohne die legitimen Benutzer zu beeinträchtigen.

Der beste Weg, um Credential Stuffing-Angriffe zu stoppen, ist eine 24/7-Überwachung, unterstützt durch KI-gesteuerte Erkennungen, wie sie Vectra AI bietet. Als beispielsweise ein realer Angreifer versuchte, sich in die Microsoft SaaS-Umgebung eines globalen Unternehmens einzuloggen, löste er mehrere Vectra AI Erkennungen aus, darunter eine verdächtige Anmeldung mit Entra ID und eine ungewöhnliche Nutzung der Scripting-Engine. Diese Erkennungen veranlassten das MXDR-Team von Vectra, den Vorfall zu eskalieren und den Angriff zu stoppen, bevor er begann. 

Sehen Sie, wie Vectra MXDR einen Angriff zum Ausfüllen von Anmeldeinformationen verhindert hat

Schauen Sie sich unsere Angriffsanatomie an, um zu sehen, was passierte, als ein realer Angreifer versuchte, die Umgebung eines Vectra AI -Kunden mit Hilfe von Credential Stuffing zu infiltrieren.