Akamai: Botnetze verstopfen Log-in-Formulare – auch in der Schweiz

Botnetze werden in der Regel mit DDoS-Attacken assoziiert. Derartige Attacken können Websites regelrecht vom Netz fegen. Botnetze können aber auch anders, wie Akamai in seinem aktuellen State of the Internet Security Report zeigt. Die aktuelle Ausgabe der IT-Security-Studie widmet sich nämlich dem Thema Credential Stuffing Attacks.

Genau wie eine DDOS-Attacke nutzt auch Credential Stuffing die schiere Masse eines Botnetzes zu ihrem Vorteil aus. Während eine DDoS-Attacke versucht, mit möglichst vielen gleichzeitigen Seitenaufrufen die Infrastruktur des Betreibers zu überlasten, hat Credential Stuffing es auf Zugangsdaten abgesehen.

Manchmal laut, manchmal heimlich

Mit einer Credential-Stuffing-Attacke versuchen Cyberkriminelle herauszufinden, wer die gleichen Passwörter für verschiedene Onlinedienste nutzt. Dazu füttern sie Botnetze mit Datenbanken voller gestohlenen Zugangsdaten. Die Botnetze klappern anschliessend das Internet ab und versuchen, sich mit den Passwörtern und Benutzernamen irgendwo einzuloggen. Ziel solcher Attacken sind vor allem E-Banking- und Onlineshopping-Seiten.

Manchmal seien die Attacken laut und dreist und zielen mehr auf Volumen ab. In anderen Fällen würden die Kriminellen sich zurückhalten und klammheimlich langsame und leise Angriffe ausführen. Viele Botnetze würden versuchen, so lange wie möglich unter dem Radar zu fliegen. So können sie möglichst lange versuchen, ausnutzbare Zugangsdaten zu finden.

8,3 Milliarden Attacken in 8 Monaten

Wie Akamai in seinem Bericht schreibt, nehmen Credential-Stuffing-Attacken stark zu. Von Januar bis April 2018 registrierte das Unternehmen rund 3,2 Milliarden solcher betrügerischen Log-in-Versuche. In den Monaten Mai und Juni allein stieg die Anzahl bereits auf über 8,3 Milliarden. Der monatliche Durchschnittswert stieg gemäss Akamai um 30 Prozent.

Insgesamt gab es laut dem Bericht zwischen November 2017 und Juni 2018 mehr als 30 Milliarden Log-ins, die auf Credential Stuffing zurückzuführen sind. Wie Akamai in einer anderen Studie schrieb ((Ponemon Report, Oktober 2017), können durch solche Attacken Kosten von bis zu mehreren zehn Millionen US-Dollar pro Jahr entstehen für die betroffenen Unternehmen.

"Unsere Nachforschungen zeigen, dass die Drahtzieher solcher Credential-Stuffing-Attacken ihre Methoden und ihr Arsenal konstant weiterentwickeln", sagt Martin McKeay, Senior Security Advocate bei Akamai und Hauptautor des State of the Internet Security Report.

Die meisten Attacken – mit einem signifikanten Abstand – waren auf Ziele in den USA gerichtet. Die Studienautoren führen dies auf drei Gründe zurück:

• die hohe Anzahl an Unternehmen, deren Log-in-Seiten von US-amerikanischen Unternehmen betrieben werden,

• Akamais Kundenstamm (Das Unternehmen hat seinen Hauptsitz in Massachusetts, USA),

• und dass Datenabflüsse bis vor Kurzem noch primär US-amerikanische Unternehmen betrafen.

Abwehr auf Kosten der Benutzerfreundlichkeit

Die Basis jeder Credential-Stuffing-Attacke sind die gestohlenen Datensätze mit den Zugangsinformationen. Zwar wird der Diebstahl von Log-in-Daten zunehmend zu einem weltweiten Problem. Aber sogar noch im Jahr 2016 hatten 9 von 10 Hackerangriffe mit der Absicht, Zugangsdaten zu stehlen, Firmen in den USA im Visier, wie Akamai aus einer Symantec-Studie zitiert.

Akamai sieht noch eine weitere Auffälligkeit bei der geographischen Verteilung. Sie unterscheidet sich sehr stark von den anderen Angriffsmethoden. So sei es etwa unüblich, dass Länder wie die Schweiz, Kanada oder Schweden in den Top 10 auftauchen. Bei Credential Stuffing sei dies aber der Fall.

Es gibt zwar Wege, sich gegen derartige Attacken zu schützen. Wie Akamai schreibt, gingen solche Attacken allerdings auf Kosten der Benutzerfreundlichkeit.

Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/security tun. Der Blog wird laufend aktualisiert.

Trojaner, Ransomware und DDoS? Was war schon wieder was? Das kleine IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.