Event Recording

Mathias Conradt: Anatomie von Credential-Stuffing-Angriffen


Log in and watch the full video!

In dem Maße, in dem Computerdienste kostengünstiger werden, sind böswillige Akteure in der Lage, Bot-basierte Angriffe auszuführen, um auf Benutzerkonten kostengünstiger und einfacher als je zuvor zuzugreifen. Dies bedeutet, dass die Bedrohungen nicht auf Banken oder "hochwertige" Ziele beschränkt sind. Vielmehr werden alltägliche Verbraucherdienste in großem Maßstab angegriffen, was Sicherheitsprobleme für Einzelhandels-, Reise-, Lebensmittel- und Medienunternehmen schafft. Wie sehen diese Angriffe aus? Wie lassen sie sich identifizieren? Wie schützen Sie Ihre Kunden und Ihr Unternehmen vor kompromittierten Konten und dem Verlust digitaler Vermögenswerte? In dieser Sitzung werden wir die Form und Verbreitung moderner Bot-Bedrohungen wie Brute-Force-Angriffe und Credential-Stuffing-Angriffe erörtern und diskutieren, was Sie dagegen tun können.

Log in and watch the full video!

Upgrade to the Professional or Specialist Subscription Packages to access the entire KuppingerCole video library.

I have an account
Log in  
Register your account to start 30 days of free trial access
Register  
Subscribe to become a client
Choose a package  
ja vielen Dank, also herzlich willkommen zu meinem Vortrag über die Anatomie von Christus darf in Der Text Mein Name ist Matthias Konrad Ich bin cineastisches Endturnier bei Ost Hero eine Alternative also Service Plattform 20 13 gegründet und täglich Wickel wir etwa um die 100 Millionen Logins ab von unserem knapp zehntausend Enter Kreis Kunden Osttirol generelle mögliche Software Entwickler die Aspekte Authentifizierung und Autorisierung einfach und sicher in ihrer Applikation zu implementieren. Und in unserem täglichen Geschäft kommen wir demnach zwangsläufig mit Crash. Da fing der Text in Berührung. Also ich werde heute eine Definition und Einführung in das Thema geben und erläutern, warum es heutzutage noch eine relevant ist, Thema überhaupt ist, und wir werden sehen, dass es bestimmte er Neville ergibt die kritischen Staffeln der Text sehr lukrativ machen und am Ende dann noch ein überblick über die Möglichkeiten der Risiko Minderung Größe ist, das in der Text ist und dessen Verwertung Laufen wie folgt ab Der Angreifer erlangt Millionen vollen gebrachten Cool n Schuss von verschiedene Webseite In diesem Bild sehen wir jetzt zeitnah und seit die beispielhaft diese Listen sind teilweise frei, teilweise käuflich zu erwerben und in Vor oder Marktplätzen im Dark Net oder auch im regulären Service Wert verfügte.
Unterhalten halten eine Hunderttausende oder sogar Millionen von Hühnern, Namen und Passwort Kombinationen, vielleicht sogar zusätzliche Infos wie Name, Adresse und so weiter. Anhand dieser Listen würde er all botnet und geeignete Automatisierungs Werkzeuge verwenden, um diese zu ihres Daten auf ihre Wiederverwendung hin zu testen. Das bedeutet, dass er die Anmeldedaten eines benutzt, das auf Zeit A gegen andere Ziel der Zeiten, also nicht die ursprüngliche testet da benutzt er eben oftmals dasselbe Passwort auf anderen Seiten wiederverwenden wenn er dann die Anmeldedaten für eine bestimmte Webseite war lädiert hat, kann er diese entsprechend als funktionsfähig oder eben nicht funktionsfähig marschieren wenn er fertig ist oder ein gewisses Z an gültigen Anmeldedaten zusammen hat, ist es dann eben an der Zeit, diese zu vermarkten und zu verkaufen. Er würde also im Dark NET oder im Surfers Web diese Eis Paket schnüren oder für das einzelne Stücke anbieten und ein guten Gewinner ziehen, das zum generellen Ablauf diese Art von Angriffen, also gestohlene Clashes, zu verwenden, ist die Arbei am weitesten verbreitet Methode, das heißt laut dem Verreisen St Tabris Report 2009 zehn kommt die Verwendung gestohlener Clashes Eva 70 % aller beobachteten Verstöße vor und um zu verstehen, warum diese Attacken so beliebt sind.
Staubig die Möglichkeiten von Kirche. Saftige Text jetzt genauer, an welches das in Der Text werden hauptsächlich durch die folgenden Faktoren ermöglicht Erst einmal gibt es immer noch die ein Faktor Authentifizierung über Benutzername und Passwort. Dann sind die Listen mit gebricht mmHg holländisches sehr leicht erhältlich. Weiter hält, ist es die Angewohnheit vieler Benutzte, ihre Passwörter auf mehreren Webseiten wieder zu verwenden. Und es gibt entsprechend viele Werkzeuge für automatisierte Angriffe und schließlich die Verfügbarkeit von Marktplätzen für den gestohlenen Content, der weiterhin sehr profitabel ist. Diese verschiedenen neben dadurch gehen werden wir sehen, dass es trotz der verschiedenen Abwehrmechanismen, in die Unternehmen heute nutzen können, immer noch lukrativ ist oder zu sein scheint, ob diese Art von Attacken durchzuführen, das heißt Scheibe übersteigt der erwartete Wert den mit dem Angriff verbundene Kosten aus der Verteidigung der Perspektive muss also das Ziel darin bestehen, ab für mich Abwehrmechanismen aufzubauen, die entsprechend ein starke noch sind, um solche Angriffe einfach und wirtschaftlich zu machen.
Zum ersten Nerven, da dieser sie den Artikel stammt aus dem Jahre 2004. Und er zitiert Bill Gates, der auf der damaligen erste Konferenz gesagt hat Es besteht kein Zweifel, dass sich die Menschen mit der Zeit immer weniger auf Passwörter verlassen werden. Jetzt ist es 2000, 20 Sätze Jahre später, und es sieht nicht so aus, als hätten sich Dinge eigentlich sehr geändert. Und auch wenn es inzwischen zwar zwei Faktor Authentifizierung auch im Consumer Bereich gibt oder angeboten wird es wird oftmals eben von der Mehrheit der Benutzer oder einen Konsumenten einfach gar nicht aktiviert. Das heißt, diese Passwort Wiederverwendung führt uns. Dann lässt sie zum zweiten in nobler hier zu sehen, die Webseite Herbie Pound, dort kaum sehr populär. Sie bietet die Möglichkeit zu überprüfen, ob die eigene im Adresse beispielsweise gebricht oder in britisches aufgetaucht ist. Und wenn ja, wird angezeigt. Also in diesem Beispiel ist zum Beispiel meine die Mail Adresse, die ganze Alte immer, dass die ich auch gar nicht mehr verwende.
Die wurde mal auf der Derby oder auf der Kälber Seite gebricht und man sieht dann entsprechend das Datum auch und die Webseite mit entsprechender Beschreibung Wenn Sie auf dieser Ersthelfer B Pound Webseite weiter runter scrollen. Sehen Sie eine Liste der größten Listen von British ist, das heißt die die entartet oder im Service angeboten werden und auch mit der Information, welche Daten diese Listen genau beinhalten sprich Passwort oder Benutzername oder eventuell noch der volle Name, und dieser Dienst durchsucht im Grunde das Web nach neuen durchgesickerten Daten und stellt sie dann über eine entsprechende Abfrage medial zur Verfügung hier ein Beispiel eines recht populäre Forums in dem Bereich, in dem beispielsweise sechs Milliarden Datensätze aus 43 verschiedenen Listen oder Datenbanken angeboten werden, gegen einen kleinen Obolus, das heißt, diese Listen oder Datenbanken tragen dann Namen wie Kompression, waren, Kompressen zu enthalten, Public Komponist und so weiter und neuere verstößt oder neue British Listen tauchen meistens erst im Internet zum Verkauf an, später für der Präsident, aber auch kostenfrei zum Download.
Irgendwo, weil es eben verbreitet wird. Es ist also offensichtlich, dass die Kostenfrei Listen vermutlich schon mehrmals durchlaufen wurden von Angreifern möglicherweise Anmeldedaten voll vor einigen Jahren beinhalten, was aber nicht unbedingt bedeuten muss, dass diese andere Daten nicht mehr gültig sind. Denn es kann sein, dass entsprechende benutzte sie doch gar nicht verändert haben oder geändert haben oder sie eventuell doch gar nicht in Angriffen berücksichtigt worden sind. Eine Statistik, die Google im Rahmen ihres Chrom erzählt. uns dem Google Passwort Manager mal aufgestellt haben, ist das Interessante. Die zeigt Als dieses Erbe und Kugel Passat Manager gelöscht wurde, wurden 21 Millionen locker bis geprüft, und man hat erkannt, dass es gab dabei 63.000 gebricht. Equal Mensch ist. Das bedeutet Wenn man so berechnet, gehen wir davon aus, dass wir im Internet eine Uhr für 1,5 % Anteil haben. An geprüften Partnern generell hier einige Zahlen, die eine andere Studie von Ship Security ergeben hat Hier sieht man Ein durchschnittlicher Internetbenutzer hat um die 26 verschiedene Online er kann uns und wenn wir das noch ein bisschen einschränken und nur die Altersgruppe von 24 bis 34 betrachten, sind sogar etwas mehr das sprechen wir von 40 verschiedene oder der Kauz zudem gegenübergestellt.
Verwenden die benutzte aber besteht nur fünf verschiedene passte. Das heißt, wir sehen das Missverhältnis von der Anzahl der Clowns zu unterschiedlichen Passwörtern. In diesem Sinne werden Angreifer diese britische letztes List, also Nebel Webseiten ausprobieren, für die jeweils dann eine gewisse Anzahl an Werkzeugen zur Verfügung steht. Und das ist auch zur Quasi der vierte in nobler, diese riesige Menge an Tools, die für automatisierte Angriffe zur Verfügung stehen, das heißt wir verschiedene populäre Webseiten gibt es bereits besteht fische tour ist diese normalerweise finden wenn sie nach dem Namen der Software sowie dann kraul checker zum Beispiel googeln, in diesem spiel studiert, ein beispiel für ein architekt tool auf spezielle Derby recounts man sieht hier auch die funktions liste. Es erlaubt also Attacken auszuführen also quasi die loggen zu testen, gegenüber einmal derby account das Tool kann erkennen, natürlich ist es ein Erfolg oder Misserfolg, ich kann das tue so konfiguriert, dass es dass sich die ist das Zeit Intervall eingestellt, das heißt ich möchte zum Beispiel nicht 1000 Login Versuche pro Minute ausführen, sondern vielleicht mit einem der Zeitverzögerung von vielleicht zehn Sekunden dazwischen.
Das kann ich alles konfigurieren um eben bestimmte Schutzmechanismen zu umgehen, wie zum Beispiel Brut force pro Tag schon so weiter, wenn es sich um Konten handelt, wo ein bestimmter zum Beispiel Geldbetrag aufgeladen werden, bei Dummen aber bei anderen Plattform zum Beispiel ist es möglich diese diese Wert diesen monetären Werte dahinter steht zum Beispiel ein bestimmtes Guthaben eines Kontos können Diese Tour ist teilweise auch diese wert abgreifen, auslesen und dann weiß ich okay, wie wertvoll ist eigentlich dieser einzelne R count Weiterhin ist es möglich, sogenannte Proxys zu konferieren. Bedeutet ich muss nicht alle Attacken als Angreifer jetzt über meine eigene IP Adresse ausführen, sondern ich kann verschiedene Proxy Listen verwenden um mich entsprechend zu ta nnen mal als Beispiel es gibt internet diese Praxis Postdiensten zu kaufen. Es sind freie Listen, es gibt auch käufliche Listen, die käuflichen Listen sind oftmals dann noch nicht auf den sogenannten Black List gelistet, also etwas etwas mehr Leibl und zum Beispiel 1000 alpine Ressourcen kann man erwerben, für knapp zehn US Dollar, also in jedem Fall sehr günstig, um seine Angriffe oder seine Halbjahres entsprechend zu verschleiern, schauen wir uns die Automatisierungs Werkzeuge etwas genauer an Es gibt auch diese Art von Werkzeuge, die im Grunde die Benutzer Interaktion im Browser oder einem der Stopp demoliert Das heißt, diese Wechsel sind manchmal eigentlich generische als als Weg Werkzeuge zum Beispiel beim Testen von Software eingesetzt wird.
Sie können aber auch von böswillige Akteure missbraucht werden, um eben Angriffe zu automatisieren. Und hier ein Beispiel des Browser automatische Studio, das heißt, mit diesem Tool kann ich über Sie per dreckigen Job als Glück zusammenstellen, das dann mit einem visuellen Logik Organizer doch ausgestattet ist, Dass sie im Prinzip die Abfolge konferieren kann In welches Textfeld wird geklebt, wo wird die Maus bewegt und so weiter. Das heißt, im Prinzip ist die Idee dahinter, ein echten Benutzer wirklich zu nachzuahmen, zu simulieren, das heißt, wie klickt er die Maus wie wieder die Maus und so weiter. Um eben nicht als dort erkannt zu werden ist natürlich auch entsprechende Abwehrmechanismen, zum Beispiel Keplers, aber auch diese Kölner sprechen dann umgangen werden, das heißt, mit dieser Art von Tours ist es aber möglich, im Prinzip ein Eingriff Szenario für jede beliebige Webseite zu auszuführen oder erstmal die, die den Weg dorthin zu automatisieren, weil es eben frei konfigurieren bar oder skript bar ist.
Wie gesagt Captchas stellen generell eigentlich schon eine gute gute, hörte da gegenüber klinisches, da fing der Text also ich kann erkennen oder ich kann den Boss ab werden. Aber auch hier ist dann zu beachten Es gibt Service ist die Cap, das im Vlies Arbeit Fließbandarbeit lösen, Das heißt entweder basieren diese sogenannten Keplers Halver dann auf drei, also automatisiert oder wirklich mit wirklichen Menschen der Hintern, die in Billiglohnländern entsprechend wirklich Catcher im Images oder Käppchen Rätsel lösen Gegen einen bestimmten Preis ist heiß. Ich kann zum Beispiel 1000 Keplers lösen lassen, für zwei dollar ungefähr also auch sehr geringe kosten hier ein Beispiel oder der der weiteren Nebel der fünfte ist die verfügbarkeit von marktplätzen, das heißt hier sehen wir jetzt zum Beispiel ein sehr ausgereiften markt hast. Der war auch in den in den hacker news zu sehen, der jenes marktpreis ist quasi wirklich so ein end to end marktpreis wo ich sowohl meine e tec tours einkaufen kann wie gezeigt dieser edo biotech, das er du biotech tours erst ist dieses spezifische, aber solche arten von tours kann ich dort erwerben, aber ich kann auch meine Beute meine gewünschten verletzt ist kann ich dort auch wiederum auf dem markt hast dann wieder zum Verkauf anbieten in diesem Spiel statt oder Beispiel jetzt zum Beispiel Hier wurden einige Desktop PCs gekapert, inklusive der Count wie von Job Box, Apple Store.
Diese werden dann als komplex komplett Pakete zum Beispiel angeboten, das heißt es ist nicht so ein End to end Markt hat vom Tool, dass auch das das Bewerben des Angebot Ich kann als Eingreife wirklich hier wie auf Ebay wie auf Amazon bei Shop gestalten, meine Artikel bewerben und verkaufen. das heißt das ist wirklich hier sehr professionalisiert, sehr ausgereift. Auch diese marktplätze haben interessanterweise wirklich professionellen kunden. Support auch dahinter natürlich anonymisiert auch war es oder in diesem fall ist im dark net arbeit rost und wirklich sehr professor. Sichergehen, dass eben voll regulieren e commerce shop system auch erwarten würde. Und hier sehen wir zum beispiel, dass diese account s haben wir hier in der stadt mehr count der wird verkauft für 41 dollar 30 um ein beispiel zu geben von welchen preisen widersprechen. Wie viel kann man heilig verdient also dieser sein? Was wird aber dass sie das ist?
Bericht von recorded fischer geht von einer erfolgsquote von 1 % aus. Und es hielt die es je nachdem welcher studie man vertraut ist auf jeden fall zu sehen, dass dir der ritual wärst. Sehr hoch ist es kann 20 fach sein. Das kann aber auch deutlich mehr sein, je nachdem von welcher ausgangslage mann aus sie das heißt in der rechten grafik sieht man zum beispiel was sind eigentlich meine kostenfaktoren? Das heißt ich brauche ein mein attac tool, das ist frei verfügbar oder ich bezahle eine gewisse Gebühren oder? In diesem Fall wurde erst nach Angelos kostet etwa 150 Dollar. Da muss ich an meine kritischen Listen herankommen, die gesagt diesen teilweise frei verfügbar neue Realisten vermutlich eher gegen ein gewissen Preis im dark Web oder einen bestimmten Foren gehen wir auch mal von hunderttausend reckers aus kosten mich auch 150 dollar und dann die, die erwähnt der proxy liste um meine alp ihres Adresse zu verschleiern.
Ein Sprechen kann man davon ausgehen nach dem welche erkauft wurde kapert durch Wert diese Clowns haben kann man diese Erkenntnis dann für entweder einige 1010 Dollar, teilweise auch in den 100 größten Orte eben wieder verkaufen. Auf jeden Fall sehr lukrativ. Die Frage ist also Wie kann ich mich gegen diese Angriffe, wer andert durchaus. Konsumenten sicht aber aus anders als auch aus der Sicht eines Diensteanbieters und als Konsument erst einmal natürlich die Passwörter nicht wieder verwenden, also optimalerweise verwendet bei entsprechende Passwort Manager zum Beispiel wann Passwort oder oder Kippas oder ähnliches oder auf jeden Fall eine abgewandelte abgewandeltes Passwort. Ansonsten hat das Problem, dass diese ist es sehr leicht, wieder verwendet werden können. Möglicherweise, wenn man als Konsument eben Google oder Facebook und so weiter. Verwendet, kann man eben Föderierten Das bedeutet Ich brauche nicht für jede Webseite einen neuen all neue Benutzername und Passwort Konstellationen, sondern ich kann über die Federation geht, das heißt blockieren bis Google, Facebook, und weil ich diesen Account eben entsprechend ab sicherer, sichere, optimalerweise in der zweiten Faktor ist.
Die ist schon sehr geholfen, Passt auf Malta, hatte ich erwähnt. Das ist viel von Art zu Art und endlich einmal frei ist. Einen zweiten Faktor gibt es verschiedene Möglichkeiten. Sehr populär ist eben Google aufs Handy. Kescher eine, die auf dem Ober die weiße Wände wird. Es gibt mittlerweile auch andere Faktoren Web auf Erden als neuer Standard oder relativ neuer Standard. Wo ich also auch mit meinem Fingerabdruck zum Beispiel nicht akzeptieren kann oder eben über ein Hart bedrucken, den ich dann am am Rechner habe. Als Diensteanbieter stehen wir auch entsprechende Möglichkeiten zur Abwehr zur Verfügung auf erst einmal oder in unserem Fall, was wir zum Beispiel anbieten. Als Standard ist die sogenannte Brute Force Protection, das heißt wir können sehen Aufgrund ist Chef X, den wir auf unsere Plattform haben können wir entsprechend gegen Blutfluss Protest, den Blutfluss Attacken schützen, das bedeutet, wenn ein eingreift über eine sexuell Perez Er versucht sich in ein bekannt zu hacken, können wir diesen Versuch entsprechend nach Ex Versuchen blocken, dann haben wir auch die britische Passwort Protection.
Das bedeutet Wenn ein n Konsument überhaupt versucht, sich einzuloggen oder ein neuen Account zu erstellen mit einem Passwort, von denen wir wissen, dass es schon in einigen Täter links vorhanden ist, dann wissen wir, dass wir fühlen, also selber eine ähnliche Liste wie die vorhin gezeigte Herr Fabian Pound hat kaum, und dort können wir eben entsprechend gegen überprüfen Wir sind diese Quellen sches und ist ein klassisches schon mal gebracht worden oder nicht? Und generell, weil wir eben so viel geschäftig auf unser Plattform haben, also auch über verschiedene Kunden hinweg über zehn verschiedene zehntausend verschiedene Kunden können wir analysieren und einschätzen, ob Gewisser beschäftigt eben suspekt ist oder nicht. Und dafür haben wir dann unsere sogenannte Wort, die Texten oder also Meditation, Das bedeutet wir wissen, oder Wir können sprechen, dann Captchas einbauen oder eine gewisse User riss Tor, wie wir es nennen, verfügbar machen, auf der basieren ich dann sagen kann ich möchte jetzt zum Beispiel den zweiten Faktor Trägern oder eben andere Mechanismen aktivieren.
Das war mein Vortrag zu dem Thema. Ich stehe gerne für weitere Fragen zur Verfügung aus auch gerne per E Mail oder auf Twitter. In dem Fall

Stay Connected

KuppingerCole on social media

How can we help you

Send an inquiry

Call Us +49 211 2370770

Mo – Fr 8:00 – 17:00