Was ist Credential Harvesting?
Bei den meisten Cyberangriffen werden gestohlene Benutzernamen und Kennwörter verwendet - und Cyberkriminelle sammeln diese Anmeldedaten massenhaft an. Hier erfahren Sie, wie Sie Ihr Unternehmen vor dem Abgreifen von Anmeldedaten schützen können.
Wichtige Punkte
- Bedrohungsakteure führen Credential Harvesting-Angriffe durch, um Datenbanken mit Benutzernamen und Passwörtern anzuhäufen.
- Dann verwenden sie die kompromittierten Zugangsdaten, um in die Netzwerke von Unternehmen einzudringen - oder verkaufen sie für den gleichen Zweck an andere Cyberangreifer.
- Da Mitarbeiter ihre Passwörter oft über mehrere Plattformen, Websites und Systeme hinweg wiederverwenden, können Cyberkriminelle die an anderer Stelle erlangten Anmeldedaten nutzen, um in Ihr Netzwerk einzudringen.
- Wenn sie erst einmal drin sind, können Angreifer dasselbe Kennwort verwenden, um von E-Mails über Plattformen für die Zusammenarbeit bis hin zu sensiblen Datenbanken und darüber hinaus zu springen.
Der erste Schritt eines jeden Cyberangriffs besteht darin, sich einen ersten Zugang zu verschaffen. Und eine der gängigsten und effektivsten Methoden, um den Schutz eines Unternehmens zu durchbrechen, ist die Verwendung gestohlener Zugangsdaten - die Kombination aus Benutzernamen und Passwort, die autorisierte Benutzer für den Zugriff auf geschützte Systeme und Daten verwenden.
Cyberkriminelle sind zunehmend in der Lage, massenhaft Benutzernamen und Passwörter in sogenannten Credential Harvesting-Angriffen, über E-Mail-Phishing und andere Exploits zu sammeln. Ein Angreifer kann die Anmeldedaten für seine eigenen Exploits nutzen, sie im Dark Web handeln - oder beides. Da Einzelpersonen häufig dieselben Passwörter für verschiedene Plattformen, Websites und Systeme verwenden, können die Bösewichte diese erbeuteten Anmeldeinformationen nutzen, um mehrere Organisationen zu infiltrieren und sich in deren Netzwerken auszubreiten.
E-Mail-Sicherheitsvorkehrungen und Mitarbeiterschulungen sind zwei der besten Möglichkeiten, das Sammeln von Zugangsdaten zu verhindern. Sicherheitsanbieter wie Mimecast bieten die Möglichkeit, Angreifer und ihre bösartigen E-Mails zu blockieren, bevor sie Anmeldedaten abgreifen und Schaden anrichten können.
Das Aufkommen von Credential Harvesting
Zugangsdaten werden bei einer Vielzahl von Cybervorfällen missbraucht, von Angriffen auf Webanwendungen über Advanced Persistent Threats (APTs) bis hin zu Denial of Service (DOS)-Exploits, so der 2022 Data Breach Investigations Report (DBIR) von Verizon.[1] Früher waren Zahlungskartendaten die am häufigsten exfiltrierten Daten bei Sicherheitsverletzungen, doch inzwischen haben sie von Anmeldedaten überholt worden.
"Credentials sind der bevorzugte Datentyp von kriminellen Akteuren, weil sie so nützlich sind, um sich als legitime Benutzer des Systems auszugeben", heißt es im DBIR. "Ähnlich wie der sprichwörtliche Wolf im Schafspelz erscheinen ihre Aktionen harmlos, bis sie angreifen.
Laut IBMs Cost of a Data Breach Report 2022 sind gestohlene oder kompromittierte Zugangsdaten die häufigste Ursache für eine Datenschutzverletzung. Einbrüche, die auf die unbefugte Nutzung von Zugangsdaten zurückzuführen sind, kosten die Unternehmen im Durchschnitt 4,5 Millionen Dollar und haben die längste Lebensdauer, so der Bericht, wobei die Unternehmen im Durchschnitt etwa acht Monate benötigen, um das Eindringen zu erkennen und weitere 12 Wochen, um es einzudämmen.[2]
Wie Credential Harvesting funktioniert
Ein Angriff zum Sammeln von Zugangsdaten kann verschiedene Formen annehmen. Denken Sie an einen beliebigen Cyberangriffsvektor, und die Wahrscheinlichkeit ist groß, dass er für den Zugriff auf wertvolle Benutzernamen und Kennwörter verwendet wurde. Angreifer können einen Phishing-Angriff verwenden, bei dem sie ihren Opfern eine E-Mail mit Links zu gefälschten Websites schicken, auf denen die Benutzer zur Eingabe ihres Benutzernamens oder Passworts verleitet werden. Alternativ können sie den Nutzern per E-Mail einen bösartigen Anhang schicken, um eine Malware zu starten, die Anmeldedaten stiehlt und auf dem Schwarzmarkt weit verbreitet ist (eine Überprüfung von zwei cyberkriminellen Websites im Januar 2022 ergab, dass mit einer solchen Malware 1,5 Millionen kompromittierte Anmeldedaten gestohlen wurden[3]). Andere Erntetechniken sind:
- Man-in-the-middle-Angriffe.
- Zero-Day-Angriffe und andere Ausnutzung von Software-Schwachstellen.
- Böswilliges Fehlverhalten von Insidern.
- Angriffe über das Remote-Desktop-Protokoll (RDP).
- DNS-Spoofing.
- Social Engineering.
Sobald sie in ein Unternehmen eingedrungen sind, können Bedrohungsakteure ihren verdeckten Zugang nutzen, um nach Anmeldedaten zu suchen und diese zu sammeln. Sie können in privaten Schlüsseldateien, Registern, Notizen und Dateien von Systemadministratoren herumwühlen oder nach Anmeldeinformationen suchen, die in Skripten oder Anwendungen fest einkodiert sind.[4]
Einige Cyberkriminelle platzieren auch eine so genannte Web-Shell in der Umgebung eines Unternehmens. Diese webbasierten Anwendungen bieten ihnen die Möglichkeit, längerfristig mit einem System zu interagieren und zusätzliche Informationen zu sammeln.
Die weitreichenden Auswirkungen der Angriffe von Credential Harvestern
Experten empfehlen die Multifaktor-Authentifizierung als beste Praxis für die Unternehmenssicherheit, was den Nutzen des Auslesens von Anmeldedaten einschränken würde. Die Realität sieht jedoch so aus, dass viele Konten nur durch eine einzige Kombination aus Benutzername und Kennwort geschützt sind, was den finanziellen Wert der Anmeldedaten für Cyberkriminelle erhöht.
Ein noch größeres Problem ist die Tatsache, dass viele Personen dieselben Anmeldedaten für den Zugang zu mehreren Systemen und Websites verwenden, sowohl beruflich als auch privat. Dieses hartnäckige Problem wirkt sich sowohl auf den Erstzugang zu Unternehmensnetzwerken als auch auf die interne Verbreitung eines Angriffs innerhalb eines Netzwerks aus.
- Erstzugang: Cyberangriffe können die erbeuteten Zugangsdaten nutzen, um nicht nur die Organisation zu infiltrieren, von der sie sie gestohlen haben, sondern auch viele andere. Bei diesen so genannten Credential Stuffing-Angriffen handelt es sich um automatisierte, groß angelegte Initiativen, bei denen gestohlene Anmeldedaten verwendet werden, um auf Benutzerkonten auf nicht verbundenen Websites und Systemen zuzugreifen.[5]
- Interne Verbreitung: Da die Mitarbeiter eines Unternehmens möglicherweise dasselbe Kennwort für E-Mails, Kollaborationsplattformen und andere Anwendungen verwenden, die sie bei ihrer täglichen Arbeit nutzen, können Angreifer mit gestohlenen Anmeldedaten von einer Anwendung zur nächsten wechseln, sich erweiterte Systemprivilegien verschaffen, die Kommunikation überwachen und weiter sondieren, bis sie eine reiche Datenader zum Stehlen oder eine Schwachstelle zum Ausnutzen finden.
Episoden zum Sammeln von Anmeldeinformationen
Angriffe zum Auslesen von Anmeldedaten machen für sich genommen keine Schlagzeilen. Wenn sie entdeckt werden, ist meist schon viel Zeit vergangen. Sie sind jedoch häufig an der einen oder anderen Stelle in viele aufsehenerregende Cyberkriminalität verwickelt. Zum Beispiel:
- Ein APT-Akteur mit Verbindungen zu Nordkorea wurde mit einer Flut von Kampagnen zum Diebstahl von Zugangsdaten in Verbindung gebracht, die auf Forschung, Bildung, Regierung, Medien und andere Organisationen in Nordamerika, Russland, China und Südkorea abzielten. Ende 2021 begann der Bedrohungsakteur damit, wöchentlich E-Mails unter dem Namen tatsächlicher Politikexperten zu verschicken, um die Opfer zur Eingabe ihrer Kennwörter und Benutzernamen auf Webseiten zum Abfangen von Anmeldeinformationen zu verleiten. Ziel war es, in ihre Netzwerke einzudringen und Informationen zu sammeln.[6]
- Eine führende Kollaborationsplattform berichtete kürzlich über eine Phishing-Kampagne, die seit September 2021 mehr als 10.000 Unternehmen zum Ziel hatte. Durch den Diebstahl von Passwörtern, die Entführung von Anmeldesitzungen und die Umgehung der mehrstufigen Authentifizierung starteten die Angreifer dann Kampagnen zur Kompromittierung von Geschäfts-E-Mails mit gefälschten Rechnungen.[7]
Wie man Angriffe zum Sammeln von Anmeldeinformationen verhindert
Unternehmen können sich gegen diese vielschichtige Bedrohung mit einem mehrschichtigen Ansatz schützen:
- Das menschliche Element ist eine Schwachstelle, die von Angreifern ausgenutzt wird, die Zugangsdaten abgreifen. Mitarbeiter könnten auf einen Link klicken und versehentlich ihren Benutzernamen und ihr Passwort auf einer dubiosen Website eingeben, oder vertrauenswürdige Partner könnten unwissentlich Malware zum Diebstahl von Zugangsdaten in Ihrem Netzwerk installieren. Daher sind Initiativen zur Sensibilisierung und Schulungen zum Nutzerverhalten von entscheidender Bedeutung. Führende Programme ermöglichen es Unternehmen, die Bereitschaft ihrer Mitarbeiter anhand von entschärften Versionen realer Angriffe zu testen.
- Da Angriffe zum Abfangen von Anmeldeinformationen häufig per E-Mail initiiert werden (z. B. mit bösartigen Links und Anhängen oder unter Verwendung einer VIP-Identität), ist die Absicherung dieses digitalen Kommunikationskanals von größter Bedeutung.
- Insider können auch ein Weg für Bedrohungsakteure sein, um Zugang zu Datenbanken mit Anmeldeinformationen zu erhalten. Ein Insider-Bedrohungsprogramm kann den Schutz vor böswilligen, kompromittierten oder sogar unvorsichtigen Insidern automatisieren.
Die Quintessenz
Obwohl die Bedrohung durch das Sammeln von Anmeldedaten groß ist, kann jedes Unternehmen Maßnahmen ergreifen, um die damit verbundenen Risiken zu minimieren. Mit den richtigen Tools und Schulungen können Unternehmen ihre eigenen Anmeldedaten besser schützen und ihre Netzwerke gegen Angriffe mit fremden Benutzernamen und Kennwörtern wappnen. Lesen Sie, wie die E-Mail-Sicherheitslösungen von Mimecast vor Credential Harvestern schützen.
[1] "2022 Data Breach Investigations Report," Verizon
[2] "Cost of a Data Breach Report 2022," IBM
[3] "RedLine Stealer als Hauptquelle für gestohlene Zugangsdaten auf zwei Dark Web Markets identifiziert," The Record
[4] "Credential Harvesting und Erstzugang: Was sind sie und wie kann ich zurückschlagen?", Infosecurity Magazin
[5] "Credential Stuffing Guidelines," International Enforcement Cooperation Working Group
[6] "North Korean Hackers Found Behind a Range of Credential Theft Campaigns," The Hacker News
[7] " Vom Cookie-Diebstahl zum BEC ," Microsoft
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!