Hot Topics
Security Bloggers Network 
SBN

Credential Stuffing-Attacken mit Verhaltensbiometrie vereiteln

by Chris Ralis on November 19, 2021

Stellen Sie sich vor, sie schließen einen günstigen Mobilfunkvertrag ab und überlegen bereits, was sie mit dem gesparten Geld alles anfangen können. Doch dann erfahren Sie aus den Nachrichten, dass ihr gerade neu eröffneter Account beim Mobilfunkanbieter gehackt wurde, weil dieser bei der IT-Sicherheit gespart hat. Anstatt Urlaubspläne zu schmieden müssen Sie sich jetzt damit auseinandersetzen, dass ein Cyberkrimineller mit Ihrem Account auf Ihre Rechnung die teuersten Smartphones kauft, die im Shop des Mobilfunkanbieters feilgeboten werden. So ähnlich ist es einigen Nutzern von Verizon Visible, dem Billigangebot von Verizon gegangen. Sie sind Opfer von Credential Stuffing-Angriffen geworden.

Bei dieser Art von Cyberangriff werden zuvor im Darknet bekannt gewordene Credentials, also der Benutzername oder die E-Mailadresse sowie das Passwort eines Accounts zur Anmeldung bei anderen Anbietern wie Mobilfunkprovidern, Online-Shops etc. pp. eingegeben. Die Angreifer gehen davon aus, dass die Nutzer die gleichen Credentials bei mehreren Anbietern nutzen und lösen mit den dort hinterlegten Kreditkarten- und Bankinformationen Bestellungen aus. In der Regel handelt es sich dabei um physische Geräte wie eben Smartphones oder andere nicht elektronische Waren, die sich an einen dritten Ort liefern lassen, um sie dort abzuholen oder in Empfang zu nehmen.

Doch nicht nur Privatpersonen trifft diese Art von Attacken. Ein Viertel der Unternehmen war bereits von einem solchen Angriff betroffen. 95 Prozent der Unternehmen, die bereits Opfer waren, sahen sich zwischen 637 und 3,3 Milliarden Angriffen ausgesetzt, so das Fazit des aktuellen Data Breach Investigations Reports von Verizon. Es handelt sich also nicht um ein Einzelphänomen von gezielten Attacken, sondern um Massenangriffe, die jeden treffen können und der Verlust der Unternehmen durch die gestohlenen Waren und Beschwerden von Geschädigten ist so groß, dass sie reagieren müssen.

Credential Stuffing hat sich daher zu einem wichtigen Thema für Chief Information Security Officers (CISOs) entwickelt, weil die Nutzer es den Bösewichten offen gesagt zu leicht machen: Zwei Drittel der Erwachsenen verwenden entweder dasselbe Passwort für alle ihre Accounts oder zumindest für mehrere Accounts. Diese Sicherheitsmängel haben sich insbesondere auf den Finanzsektor ausgewirkt. Hier macht Credential Stuffing mit 41 Prozent den größten Anteil an den Cybersicherheitsvorfällen der Branche aus. Die Folge sind Ausfallzeiten von Online-Services, abwandernde Kunden und Imageschäden – im Durchschnitt verlieren die Unternehmen durch die Angriffe sechs Millionen US-Dollar pro Jahr.

Für Cyberkriminelle ist Credential Stuffing ein lukratives Geschäft und die bessere Variante der sogenannten Brute-Force-Angriffe. Brute-Force-Angriffe sind bis zu einem gewissen Grad effektiv, da die Hacker immer wieder verschiedene Benutzernamen und Kennwörter „erraten“, die in umfangreichen „Hacker-Wörterbüchern“ mit beliebten Buchstaben-, Zahlen- und Symbolkombinationen aufgeführt sind. Credential Stuffing ist jedoch so etwas wie der „klügere Bruder“ der Brute-Force-Angriffe, da es das Raten überflüssig macht und nach Anmeldenamen und Kennwörtern sucht, die bereits in Gebrauch sind. Solche Informationen sind im Darknet und in einschlägig bekannten Foren dank der bereits erwähnten häufigen Wiederverwendung von Anmeldedaten leicht erhältlich.

Dies bringt CISOs in eine schwierige Situation, vor allem, da die zunehmende Arbeit von zu Hause aus, die Grenzen zwischen dem Arbeits- und dem Privatleben der Mitarbeiter immer mehr verwischt. Dies führt dazu, dass Geräte, die mit dem Unternehmensnetzwerk verbunden sind, routinemäßig für Aktivitäten wie Online-Shopping und Bankgeschäfte genutzt werden. Dadurch wird es für Cyberkriminelle immer leichter sich nicht nur Zugriff auf die Credentials der Benutzer bei privatgenutzten Online-Services zu erlangen, sondern auch über diesen Weg in die Firmennetzwerke einzudringen.

Aus diesem Grund sollten CISOs und ihre Teams verhaltensbiometrische Daten als wichtige Komponente ihrer Sicherheitsstrategie und ihres Lösungsportfolios in Betracht ziehen. Verhaltensbiometrische Verfahren bieten eine zusätzliche Schutzschicht gegen Credential Stuffing. Sie beruhen nicht auf statischen oder kopierbaren Daten, sondern authentifizieren die Zugriffsversuche mit höchster Genauigkeit. Dies geschieht, indem sie Benutzerprofile anhand der Information erstellen, wie Mitarbeiter oder Kunden physisch mit Geräten interagieren. Genau wie bei Fingerabdrücken ist auch jedes Nutzerprofil individuell und kann nicht immitiert werden. Die Art wie ein Smartphone gehalten und bedient wird, wie über einen Bildschirm gewischt wird, auf einer Tastatur getippt wird, eine Maus bewegt wird, ist bei jedem Menschen einzigartig.

Mithilfe dieser Informationen entsteht eine eindeutige, physische Signatur des Profils, die Hacker und ihre Bots nicht wie bei einem Benutzernamen und Passwort imitieren können, weder per Credential Stuffing noch per Brute Force. Darüber hinaus verbessert die Verhaltensbiometrie Nutzererfahrung erheblich, da sie lästige Schritte wie den Versuch, sich Passwörter und PIN-Codes zu merken und sie dann unzählige Male einzugeben, überflüssig macht. Diese Schritte verursachen digitale Reibungsverluste, die Kunden und Mitarbeiter gerne vermeiden würden.

Mit unserer verhaltensbiometrischen Lösung wird die Erkennung von Bots und die Automatisierung der Authentifizierung zum Kinderspiel. Es ist nicht nur möglich, Bots sofort von Menschen zu unterscheiden, sondern mit maschinellem Lernen kategorisiert BehavioSense diese auch und gruppiert Bots automatisch nach ihrem Verhalten. Auf diese Weise erhalten Sie einen vollständigen Überblick über alle Arten von Automatisierungen, die für den Zugriff auf Ihr System verwendet werden, und über deren Häufigkeit – von gutartigen Fintech-Apps bis hin zu bösartigem Credential Stuffing. Eine vereinfachte Aufschlüsselung von Bots, wie Credential Stuffing, im Vergleich zum durchschnittlichen Benutzerverkehr durch verhaltensbiometrische Daten sehen Sie in Abbildung 1 unten.

Abbildung 1: Kategorisierung automatischer Botverkehr (links) gegenüber normalem Datenverkehr (rechts)

Letztendlich bestätigen verhaltensbiometrische Lösungen, dass Sie wirklich Sie sind – mit absoluter Sicherheit. Sie minimieren die Bedrohung, dass unberechtigte Dritte durch das Bot-unterstützte Ausfüllen von Anmeldedaten an Ihre Kreditkarten- und Bankinformationen gelangen und wie eingangs beschrieben, damit auf Ihre Kosten einkaufen gehen.

Wenn Sie wissen möchten, wie wir Ihr Unternehmen dabei unterstützen können, einen optimalen und benutzerfreundlichen Schutz vor Credential Stuffing und Brute Force zu erreichen, dann nehmen Sie bitte Kontakt mit uns auf.

The post Credential Stuffing-Attacken mit Verhaltensbiometrie vereiteln appeared first on BehavioSec.

*** This is a Security Bloggers Network syndicated blog from BehavioSec authored by Chris Ralis. Read the original post at: https://www.behaviosec.com/credential-stuffing-attacken-mit-verhaltensbiometrie-vereiteln/

Chris Ralis