Startseite Themen Brennpunkt INNOVATIONSPREIS-IT IT-Bestenliste INDUSTRIEPREIS INDUSTRIE-Bestenliste TrafficGenerator
INNOVATIONSPREIS-IT 2017

Drucken
Mittelstandspresse

22.05.2020

Account-Übernahme durch Credential Stuffing

Sicherheitsproblem Bequemlichkeit

Titelblatt c't 12/20
Titelblatt c't 12/20

Hannover, 22.05.2020 (PresseBox) - Um einen Account bei einem Online-Dienst zu übernehmen, muss ein Cyber-Krimineller nicht zwangsläufig technische Schutzmechanismen aushebeln. Oft genügt es, anderswo erbeutete Zugangsdaten auszuprobieren. In Ausgabe 12/20 deckt Europas größtes IT- und Tech-Magazin c’t einen aktuellen Fall bei der Online-Plattform Kleiderkreisel auf. Dieser zeigt, wie gefährlich es sein kann, für verschiedene Dienste dieselben Passwörter zu nutzen.

Dieselben Zugangsdaten bei mehreren Diensten einzusetzen, geht nur so lange gut, wie keiner der Dienste einer Attacke zum Opfer fällt. Etliche bekannt gewordene Fälle scheinen darauf hinzudeuten, dass Credential Stuffing als Angriffsmaßnahme derzeit besonders beliebt ist. „Dabei wird die technische Infrastruktur eines Dienstes nicht angegriffen“, erklärt c’t-Redakteur Jo Bager. „Vielmehr setzen die Angreifer auf eine sehr menschliche Schwäche der Anwender und nutzen Zugangsdaten, die beim Hack auf andere Dienste erbeutet wurden.“

Ein Zufallsfund ermöglicht einen Blick darauf, wie die Angreifer vorgehen. Ein Leser hat das c’t-Magazin auf einen offen zugänglichen Webserver aufmerksam gemacht. Dort lagen Dateien mit Zugangsdaten von knapp einer Million deutscher und rund 38 Millionen französischer Kunden der Online-Handelsplattform Kleiderkreisel im Klartext. c’t hat die Dateien heruntergeladen und analysiert. „Zwei Dateien mit insgesamt 193 Datensätzen enthielten ein Feld credit_cards, das offenbar den Ablaufmonat der Kreditkarte enthält“, erläutert Bager. In diesem Fall scheint der Angreifer also nicht nur Zugangsdaten gehortet zu haben, sondern in die Accounts eingedrungen zu sein.

Nachdem c’t die Mutterfirma von Kleiderkreisel, vinted.com, auf das Problem hingewiesen hatte, konnte die IP-Adresse des von unserem Leser aufgefundenen Servers einem Spammer und Dictionary Attacker zugeordnet werden. Kleiderkreisel/Vinted und deren Kunden waren nach eigenen Angaben „in den letzten fünf Monaten des Jahres 2019“ einem Credential-Stuffing-Angriff ausgesetzt.

„Credential Stuffing ist aus der Sicht des Betreibers eines Online-Dienstes schwer auszumachen“, betont Bager. Jeder hat es selbst in der Hand, die eigenen Accounts zu schützen: „Man sollte für jeden Dienst ein anderes Passwort nutzen. Passwort Manager wie KeePass sind dabei hilfreich.“ Auch die Zwei-Faktor-Authentifizierung ist ein wirksamer zusätzlicher Schutz gegen den Fremd-Zugriff auf den eigenen Account.

Für die Redaktionen: Die neue c’t 12/20 liefert neben spannenden Artikeln auch die aktualisierte Version des seit über 15 Jahren bewährten Sicherheitstools der c’t-Redaktion: Desinfec‘t. Neben den vier Virenscannern ist neuerdings ein offener Threat-Scanner mit an Bord, der Emotet und andere Bedrohungen sehr effektiv aufspürt.

Ansprechpartner

Isabel Grünewald
+49 (511) 5352-344
Zuständigkeitsbereich: Presse- und Öffentlichkeitsarbeit

Über Heise Gruppe GmbH & Co KG:

Die Computerzeitschrift c't steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als meistabonnierte Computerzeitschrift Europas greift c't im vierzehntäglichen Rhythmus vielfältige Themen auf - praxisnah und stets auf Augenhöhe mit den Lesern.

Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software-und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung & Beruf.

Mehrmals im Jahr gibt c't Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c't Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c't Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.

Datei-Anlagen:


(716 kB)
1138574.attachment

Titelblatt c't 12/20