Bei Credential-Stuffing-Angriffen werden automatisierte Prozesse eingesetzt, um Listen mit gestohlenen Nutzernamen- und Passwort-Kombinationen zu testen und sich so unbefugten Zugriff auf Websites und Apps zu verschaffen. Diese Angriffe können Schäden in Millionenhöhe verursachen. Diese Taktik ist unter anderem deshalb erfolgreich, weil Nutzer/innen zwar dazu aufgefordert werden, komplexere Passwörter zu verwenden, Richtlinien zur Passwortkomplexität jedoch nicht berücksichtigen können, dass Menschen dieselben Anmeldedaten auf verschiedenen Websites oder bei verschiedenen Diensten verwenden.
Im Folgenden erfahren Sie genauer, was Credential Stuffing ist, wie es sich von Brute-Force- und Password-Spraying-Angriffen unterscheidet, welche Arten von Betrug auf eine erfolgreiche Kontoübernahme folgen können und wie Sie Credential Stuffing durch eine mehrschichtige Verteidigung verhindern können.
Das Wichtigste auf einen Blick
Credential Stuffing nutzt die Wiederverwendung von Passwörtern über verschiedene Konten hinweg aus. Strenge Passwortrichtlinien sind als eigenständige Verteidigung gegen diese Art von Angriffen unwirksam.
Software-as-a-Service- (SaaS) und KI-Plattformen (Künstliche Intelligenz) sind dem Risiko von Credential-Stuffing-Angriffen ausgesetzt, darunter Kontoübernahmen, Missbrauch von Anwendungsprogrammierschnittstellen (APIs) und das Ausnutzen kostenloser Tarife.
Eine wirksame Verteidigung erfordert eine mehrschichtige Herangehensweise mit Bot-Erkennung, Überprüfung kompromittierter Anmeldedaten und gemeinsamen Signalen über Login-, Registrierungs- und API-Endpoints hinweg.
Was ist Credential Stuffing?
Credential Stuffing ist ein Cyberangriff, bei dem Kriminelle Kombinationen aus Nutzernamen und Passwörtern verwenden, die aus früheren Datenschutzverletzungen stammen, und diese automatisch bei anderen Diensten testen. Das funktioniert, weil die Wiederverwendung von Passwörtern weit verbreitet ist. Studien zeigen durchweg, dass viele Menschen dieselben Anmeldeinformationen für mehrere Konten verwenden, wobei 72 % der Generation Z angeben, Passwörter wiederzuverwenden.
Wie funktioniert Credential Stuffing?
Angreifer/innen, die Credential Stuffing einsetzen, beziehen Listen mit Anmeldedaten – manchmal auch als „Combo-Listen“ bezeichnet – aus Datenbanken zu Datenlecks, die in kriminellen Foren und auf Darknet-Marktplätzen zu finden sind. Einige dieser Listen enthalten Hunderte Millionen verifizierter Kombinationen aus Nutzernamen und Passwörtern. Sie laden diese Listen in eine Software, die Millionen von Anmeldeanfragen versenden, CAPTCHAs (Completely Automated Public Turing tests to tell Computers and Humans Apart) verarbeiten, zwischen Proxy-IP-Adressen wechseln und Erfolg- oder Fehlermeldungen auswerten kann.
Um einfache Regeln zur Begrenzung zu umgehen, senden Angreifer/innen diese Anmeldeanfragen von Tausenden verschiedener Adressen, oft von privaten Proxys, die legitimem Nutzerverkehr ähneln. Wenn eine Anmeldung erfolgreich ist, markiert das Tool diese. Der Angreifer bzw. die Angreiferin verfügt nun über ein verifiziertes, funktionierendes Konto und kann gespeicherte Zahlungsmethoden, persönliche Daten, API-Zugriff oder Kontoguthaben extrahieren.
Wie unterscheidet sich Credential Stuffing von Brute-Force-Angriffen und Password Spraying?
Credential Stuffing, Brute-Force-Angriffe und Password Spraying sind miteinander verwandt, unterscheiden sich jedoch strukturell. Die richtige Gegenmaßnahme für eine dieser Methoden stoppt nicht zwangsläufig die anderen.
Hier ein Überblick:
Brute-Force: Ein Brute-Force-Angriff probiert systematisch jede mögliche Passwortkombination für ein bestimmtes Konto aus. Er ist rechenintensiv, langsam und bei webbasierten Anmelde-Endpoints mit Kontosperrrichtlinien weitgehend unpraktisch.
Password Spraying: Ein Password-Spraying-Angriff probiert ein oder mehrere gängige Passwörter (z. B. „Password1!“, „Welcome2024“) bei einer großen Anzahl von Konten aus. Er ist darauf ausgelegt, die Sperrschwellen pro Konto nicht zu überschreiten und gleichzeitig schwache Passwortwahlen auszunutzen. Passwortrichtlinien können verhindern, dass Nutzer/innen diese gängigen Passwörter überhaupt verwenden, und sind eine hilfreiche Gegenmaßnahme.
Credential Stuffing: Manchmal als Unterkategorie von Brute-Force-Angriffen betrachtet, lassen Credential-Stuffing-Angriffe legitime Nutzernamen- und Passwortpaare durch ungesicherte Anmeldeseiten laufen und übernehmen die Kontrolle über alle Konten, auf die sie Zugriff erhalten. Standard-Passwortrichtlinien helfen gegen Credential Stuffing kaum, da sie Kundinnen und Kunden nicht daran hindern können, Passwörter für verschiedene Konten wiederzuverwenden.
Was sind die ersten Warnzeichen für einen Credential-Stuffing-Angriff?
Credential-Stuffing-Angriffe treten selten als einzelner dramatischer Anstieg auf. Häufiger sind sie als langsame Anhäufung von Anzeichen erkennbar.
Achten Sie auf Folgendes:
Erhöhte Anmeldefehlerraten über alle Konten hinweg: Ein Brute-Force-Angriff führt zu vielen Fehlversuchen bei einem einzelnen Konto. Credential Stuffing zeigt eine moderate Fehlerquote, die sich gleichzeitig auf Tausende von Konten verteilt. Wenn Ihre Basis-Fehlerquote bei Anmeldungen bei 2 %–5 % liegt und plötzlich auf 15 %–20 % ansteigt, rechtfertigt diese Veränderung eine sofortige Untersuchung.
Ein plötzlicher Zustrom neuer IP-Adressen: Proxy-Netzwerke für Privatanwender generieren Anfragen von Adressen, die auf Reputationslisten sauber erscheinen. Doch ein Anstieg von IP-Adressen, die zuvor noch nie auf Ihrer Plattform aufgetaucht sind, ist ein deutliches Signal, wenn er mit Anmeldeaktivitäten in Zusammenhang gebracht wird.
Ungewöhnliche geografische Verteilungen: Anmeldungen, die sich in Regionen häufen, die nicht mit den historischen Zugriffsmustern eines Kontos übereinstimmen, können auf automatisierten Zugriff hindeuten.
Einheitliche User-Agent-Strings über viele Anfragen hinweg: Bei legitimen Nutzergruppen gibt es enorme Unterschiede bei den Browser-Fingerabdrücken. Bei Credential-Stuffing-Angriffen wiederholt sich derselbe User-Agent-String oft über Tausende von Anfragen hinweg, was ein Muster ist, das es wert ist, markiert zu werden.
Ein hohes Verhältnis von Versuchen zu Erfolgen: Normale Nutzer/innen scheitern ein- oder zweimal, bevor sie entweder Erfolg haben oder es erneut versuchen. Credential-Stuffing-Tools sind selten erfolgreich, generieren jedoch viele Versuche pro Sitzung.
Unerklärliche Volumenspitzen am Anmelde-Endpoint: Selbst bei IP-Rotation verzeichnet der Endpoint selbst bei Credential-Stuffing-Angriffen insgesamt mehr Anfragen. Ein enormer Anstieg ohne ein entsprechendes Marketing-Event oder eine Produkteinführung ist ein Warnsignal.
Warum ist Credential Stuffing für SaaS- und KI-Plattformen gefährlich?
Angreifer/innen, die Credential Stuffing einsetzen, überprüfen funktionierende Anmeldedaten, um sich ein Portfolio an Zugriffsmöglichkeiten aufzubauen. Sobald sie sich Zugang verschafft haben, können sie noch größeren Schaden anrichten.
Wenn Sie eine SaaS- oder KI-Plattform betreiben, sollten Sie Folgendes wissen:
Kontoübernahme und Datendiebstahl: Sobald sie sich Zugang zu einem Kundenkonto verschafft haben, können Angreifer/innen persönliche Daten, Zahlungsdetails, private Dateien oder Korrespondenz abgreifen. Wenn Ihre Plattform sensible Geschäftsdaten verarbeitet, kann ein einziges kompromittiertes Konto zu einer Gefährdung führen, die über das ursprüngliche Ziel des Angreifers oder der Angreiferin hinausgeht.
Sofortige Monetarisierung des Kontos: Angreifer/innen könnten ein kompromittiertes Konto sofort ausbeuten. Das Konto könnte leergeräumt oder für betrügerische Käufe genutzt werden, oder die Zugangsdaten könnten in kriminellen Foren weiterverkauft werden.
Betrug über gespeicherte Zahlungsmethoden: Konten mit gespeicherten Zahlungsmethoden sind besonders attraktive Ziele. Angreifer können Käufe tätigen, Guthaben überweisen oder Auszahlungen umleiten, was sowohl für die Plattform als auch für ihre Nutzer/innen ein direktes finanzielles Risiko darstellt.
Betrug durch neue Konten: Nachdem sie bestätigt haben, dass Ihre Plattform über zugängliche Werte verfügt, beginnen Angreifer/innen oft damit, weitere betrügerische Konten zu erstellen. Kostenlose Testversionen, Anmeldeboni und API-Zugänge, die an neue Konten gebunden sind, sind allesamt Ziele.
Missbrauch von kostenlosen Testversionen und „Free Tier Farming“: Credential Stuffing kann zu anderen Arten von Betrug führen. Angreifer/innen könnten den Zugang zur kostenlosen Stufe über viele Konten hinweg abwechselnd nutzen, um Nutzungsbeschränkungen zu umgehen. Dies stellt für KI-Plattformen ein erhebliches finanzielles Problem dar, da das Verschenken von API-Aufrufen und Inferenzguthaben die Plattform direkt Geld kostet.
API-Missbrauch: Konten auf KI-Plattformen sind in der Regel mit API-Zugriff und Nutzungsquoten verbunden. Angreifer/innen, die Konten übernehmen, können diese Quoten ausschöpfen, den Zugriff weiterverkaufen oder die Rechenressourcen für ihre eigenen Zwecke nutzen. All dies verursacht Infrastrukturkosten für die Plattform.
Supportaufwand: Kundinnen und Kunden, deren Konten kompromittiert wurden, benötigen umfangreichen Support. Passwort-Zurücksetzungen, Anfechtungen aufgrund von Betrug und Workflows zur Kontowiederherstellung kosten Zeit, Geld und andere Ressourcen.
Reputationsschaden: Nutzer/innen, deren Konten auf Ihrer Plattform kompromittiert wurden, geben möglicherweise Ihrer Plattform die Schuld, unabhängig davon, wo ihre Anmeldedaten ursprünglich offengelegt wurden.
Wie können Plattformen Credential-Stuffing-Angriffe bekämpfen, ohne das Anmeldeerlebnis zu beeinträchtigen?
Die Prävention von Credential-Stuffing-Angriffen beruht auf der Kombination mehrerer Verteidigungsschichten, sodass jede einzelne die Kosten eines Angriffs erhöht. Folgende Optionen stehen Ihnen zur Verfügung.
Differenzierte Begrenzung
Wenn Sie eine pauschale Begrenzung nach IP-Adresse einrichten, könnten Angreifer/innen diese durch Proxy-Rotation umgehen. Wirksamere Ansätze begrenzen die Rate nach Konto (z. B. wie viele fehlgeschlagene Anmeldeversuche gab es bei diesem spezifischen Konto in den letzten 10 Minuten?), nach Geräte-Fingerabdruck oder nach Verhaltensmustern. Eine Kombination ist sogar noch besser.
Bot-Erkennung und Traffic-Analyse
Setzen Sie eine Bot-Management-Lösung ein, die Verhaltenssignale analysiert (z. B. Mausbewegungsmuster, Tastenanschlag-Timing, Anfragekadenz, JavaScript-Challenge-Antworten). Tools wie Cloudflare Bot Management oder Akamai Bot Manager bewerten den Traffic, noch bevor er Ihre Authentifizierungslogik erreicht.
Prüfung kompromittierte Anmeldedaten
Das k-Anonymitätsmodell ermöglicht es Nutzerinnen und Nutzern, zu überprüfen, ob ihr Passwort kompromittiert wurde, ohne das vollständige Passwort preiszugeben. Dienste wie das Pwned Passwords-Tool von Have I Been Pwned nutzen es, um zu prüfen, ob das Passwort eines Nutzers oder einer Nutzerin in bekannten Datensätzen zu Datenlecks aufgetaucht ist.
Bedingte Multi-Faktor-Authentifizierung (MFA)
Verlangen Sie MFA-Aufforderungen nicht bei jeder Anmeldung, sondern nur bei anomalen Signalen. Wenn ein Anmeldeversuch von einem neuen Gerät, aus einem neuen Land oder nach einer langen Zeit der Kontoinaktivität erfolgt, ist dies ein guter Zeitpunkt, einen zweiten Faktor zu verlangen. Dies sorgt für eine effiziente Nutzererfahrung für regelmäßige Nutzer/innen und deckt gleichzeitig mögliche Credential-Stuffing-Szenarien auf.
Obligatorische MFA für wichtige Aktionen
Auch wenn Sie keine MFA bei der Anmeldung verlangen, ist es ratsam, diese zu verlangen, bevor ein Nutzer bzw. eine Nutzerin seine E-Mail-Adresse ändern, eine neue Zahlungsmethode hinzufügen oder auf API-Schlüssel zugreifen kann. Dies begrenzt den Schaden, falls es doch zu einer Kontoübernahme kommt.
So kann Stripe Radar Sie unterstützen
Stripe Radar verwendet KI-Modelle, um Betrug zu erkennen und zu verhindern. Diese Modelle wurden mit Daten aus dem globalen Netzwerk von Stripe trainiert. Sie werden kontinuierlich auf der Grundlage neuester Betrugstrends aktualisiert und schützen Ihr Unternehmen vor aufkommenden betrügerischen Aktivitäten.
Stripe bietet außerdem Radar for Fraud Teams an, mit dem Nutzer/innen benutzerdefinierte Regeln für Betrugsszenarien hinzufügen können, die speziell auf ihr Unternehmen zugeschnitten sind. Außerdem erhalten sie Zugang zu neuesten Erkenntnissen über betrügerische Aktivitäten.
Mit Radar kann Ihr Unternehmen unter anderem Folgendes umsetzen:
Verlust aufgrund von Betrug vermeiden: Stripe wickelt jährlich Zahlungen in Höhe von über 1 Billion USD ab. Dadurch kann Radar auf einzigartige Weise Betrug genau erkennen und verhindern.
Umsatz steigern: Die KI-Modelle von Radar werden anhand tatsächlicher Anfechtungsdaten, Kundeninformationen, Daten zum Surfverhalten und mehr trainiert. Damit kann Radar riskante Transaktionen identifizieren und falsch positive Ergebnisse reduzieren und so Ihren Umsatz steigern.
Zeit sparen: Radar ist in Stripe integriert und lässt sich ohne Codierung einrichten. Sie können über eine einzige Plattform Ihre Performance mit Blick auf Betrug überwachen, Regeln schreiben und vieles mehr. Das erhöht die Effizienz.
Erfahren Sie mehr über Stripe Radar oder starten Sie noch heute.
Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.