Kontoübernahmen und Identitätsdiebstahl: Neue Vertriebsstrategie im Dark Web

Combolists-as-a-Service (CaaS) ermöglicht Optimierung und Automatisierung von Kontoübernahmen und Identitätsdiebstahl.

Das Konto von Anwendern zu hacken ist wie der Einbruch in ein Haus: Entweder man verschafft sich gewaltsam Zutritt oder sucht nach dem Ersatzschlüssel unter der Fußmatte. In der Cyberwelt scheint letztere Vorgehensweise so einfach wie nie. Die Zahl der exponierten Zugangsdaten im Open, Deep und Dark Web hat einen neuen Höchststand erreicht. Allein auf der Website Haveibeenpwned können Betroffene in über 8 Milliarden Datensätzen nach geleakten Logindaten suchen. Das Repository von Digital Shadows umfasst über 16 Milliarden Anmeldeinformationen – ein Wachstumsende ist nicht in Sicht.

 

Cyberkriminelle gelangen auf unterschiedlichen Wegen zu Login/Passwort-Kombinationen. Dazu gehört neben Phishing, Malware und Harvesting Bots auch der Großeinkauf auf kriminellen Foren. Das Photon Research Team hat hier eine neue Masche beim Verkauf von sogenannten Combolisten aufgedeckt. Gewöhnlich handelt es sich dabei um lange Textdateien, die Millionen von Benutzernamen- und Passwortkombinationen enthalten. Bekanntestes Beispiel ist die 2017 entdeckte »The Anti Public Combo List«, die mehr als 562 Mio. Zugangsdaten enthielt und sich aus unterschiedlichen Datenleaks wie Adobe, Dropbox, LinkedIn und Yahoo zusammensetzte.

 

Neu im Portfolio des Dark Webs sind nun Combolists-as-a-Service (CaaS). Akteure können ein Abonnement für nur 50 US-Dollar abschließen und erhalten damit 30 Tage lang Zugriff auf eine Liste an Zugangsdaten. Der Anbieter DataSense wirbt dabei beispielsweise mit Daten von Amazon, Ubisofts uPlay und Netflix. Damit erhalten Cyberkriminelle einen One-Stop-Shop für die Optimierung und Automatisierung von Kontoübernahmen und Identitätsdiebstahl.

 

»Es ist schon eine bemerkenswerte Verschiebung was die Distributions-Strategie der kriminellen Händler angeht«, erklärt Stefan Bange, Country Manager Deutschland bei Digital Shadows. »Traditionell wurden Cracking-Foren verwendet, um komplette Combolisten anzubieten und zu verkaufen. Jetzt scheint es, dass Cyberkriminelle mehrere Dienste zusammenziehen und eine Art Partnernetzwerk innerhalb der Underground-Foren aufbauen. Ob sich dieses Servicemodell in der Community durchsetzen wird, bleibt abzuwarten.«

 

Für Unternehmen können geleakte Zugangsdaten und Kontoübernahmen teuer werden. Allein in den USA beliefen sich 2017 die Schäden von Account Takover Fraud (ATO) auf über 5,1 Milliarden Dollar. Zwei-Faktor-Authentifizierung bietet zwar einen gewissen Schutz vor Übergriffen, allerdings nur in Kombination mit anderen Sicherheitsmaßnahmen. Dazu gehören:

 

  1. Monitoring von Zugangsdaten von Mitarbeitern (z. B. über HaveIBeenPwned: https://haveibeenpwned.com) sowie das Einrichten von Alerts, die über aktuellen Daten-Hacks informieren.

 

  1. Monitoring des Unternehmens- und Markennamens in gängigen Foren. Google Alerts beispielsweise können richtig konfiguriert Indikatoren für drohende ATO-Versuche liefern.

 

  1. Monitoring von Zugangsdaten von Kunden.

 

  1. Implementierung einer Online-Firewall für Webanwendungen. Kommerzielle und Open-Source-Firewalls, wie ModSecurity, helfen, Angriffe auf Zugangsdaten zu identifizieren und zu blockieren.

 

  1. Sicherheitsbewusstsein bei Anwendern schärfen, um das Nutzen der unternehmenseigenen E-Mail für private Konten und die Wiederverwendung von Passwörtern zu unterbinden.

 

  1. Beobachten von Credential Stuffing Tools. Einige Lösungen sind mittlerweile in der Lage, CAPTCHAs zu umgehen.

 

  1. Implementierung von Multi-Faktor-Authentifizierung ohne SMS-Token. Dabei gilt es, zwischen der höheren Sicherheit durch 2FA und eventuellen Reibungen sowie Kosten abzuwägen.

 

Mehr zum Risikomanagement bei Account-Takeover finden Sie im neuen Report von Digital Shadows »Two-Factor in Review: A technical assessment of the most popular mitigation for account takeover attacks”: https://info.digitalshadows.com/2FA-report-blog.html

 

 

521 Artikel zu „Account“

Facebook löscht Milliarden Fake Accounts

  2,4 Milliarden monatlich aktive Nutzer hat Facebook im Geschäftsbericht für das erste Quartal 2019 gemeldet. Im selben Zeitraum löschte das Unternehmen 2,2 Milliarden Fake-Accounts. Das geht aus dem Community Standards Enforcement Report hervor. Und dabei erwischt Facebook längst nicht alle gegen die Regeln verstoßenden Profile, wie eine weitere Statista-Grafik zeigt. Die enormen Zahlen gehen…

Das Verschmelzen von privaten und geschäftlichen Accounts ruft Sicherheitsbedenken auf den Plan

90 Prozent aller IT-Entscheider glauben, dass Mitarbeiter ihre privaten Benutzerinformationen auch für Arbeitszwecke verwenden. Gemalto hat seinen jährlichen »Authentication and Identity Management Index« vorgestellt. Der Studie zufolge glauben 90 Prozent aller IT-Entscheider, dass Mitarbeiter ihre privaten Benutzerinformationen auch zu Arbeitszwecken verwenden, was ein Sicherheitsrisiko darstellt. 68 Prozent der Befragten sehen die Nutzung von Social Media-Anmeldedaten…

15 % der auf Olympia bezogenen Social-Media-Accounts sind kriminell

Sicherheitsexperten haben eine Vielzahl an potenziellen Risiken durch Social-Media-Accounts und Apps entdeckt, die Olympia zum Thema haben. Die Rede ist von über 4.500 gefährlichen Olympia-Apps für Android und iOS, wovon einige sogar die mobilen Geräte komplett hacken können. Ein kurzer Blick auf die Olympia bezogenen Social-Media-Accounts zeigt auch hier eine hohe Rate an gefälschten Konten sowie…

Privilegierte Accounts sind die größte Sicherheitsgefahr

Cyber-Angreifer, die Zugriff auf privilegierte und administrative Accounts haben, stellen die größte Sicherheitsbedrohung für Unternehmen dar. So lautet ein zentrales Ergebnis der aktuellen CyberArk-Untersuchung »Global Advanced Threat Landscape«, die bereits zum neunten Mal durchgeführt wurde [1]. Die Mehrheit der Befragten sieht die größte generelle Sicherheitsbedrohung in gestohlenen privilegierten oder administrativen Accounts (38 %). 27 %…

Datendiebstahl bei Apple-Accounts – Jailbreaking erleichtert Gaunern das Handwerk

Kommentar von Guillaume Ross [1]: »Die iOS-Malware KeyRaider, die von WeipTech entdeckt und in Zusammenarbeit mit Palo Alto Networks näher untersucht wurde, betrifft nur Jailbroken-iOS-Geräte. Die bösartige Software wurde auf einem bestimmten Repository für Jailbroken-OS-Geräte (Cydia Repositories von Weiphone) verteilt und missbrauchte Cydia Substrate (früher MobileSubstrate), ein Software-Paket, das nur auf Jailbroken-Geräten verwendet wird. KeyRaider…