Account Takeover – Angriff auf Benutzerkonten

Account Takeover – Angriff auf Benutzerkonten
Photon Research Team
Mehr Von Photon Research Team
September 16, 2020 | Lesedauer 11 Min

UM was geht Es

Im Durchschnitt nutzt jeder von uns 191 Online-Dienste, für die ein Passwort oder eine andere Authentifizierungen nötig ist. Das ist eine ganze Menge. Kein Wunder also, dass viele Nutzer ein und dieselben Logindaten gleich für mehrere Plattformen verwenden. In den vergangenen zweieinhalb Jahren hat das Photon Research Team von Digital Shadows genau beobachtet, mit welchen Tricks und Techniken Cyberkriminelle versuchen, an diese Logindaten zu kommen. Ihr Ziel ist es die Konten zu übernehmen – vom Online-Banking über Musik- und Streaming-Portale bis zum Email-Account am Arbeitsplatz.

Dabei hat uns vor allem interessiert, wie die Kontoübernahmen (Account Takeovers, ATO) genau funktionieren. Für die Analyse nutzten wir unser Monitoring-Tool SearchLight™, das unterschiedliche Quellen im Open und Deep Web sowie im Darknet scannt und über eine umfangreiche Sammlung an bereits veröffentlichten bzw. kompromittierten Logindaten verfügt. Hier die wichtigsten Ergebnisse im Überblick:  

  • 15 Milliarden Zugangsdaten sind frei im Netz zugänglich. Die Zahl der exponierten Benutzer-Passwort-Kombinationen hat sich in den letzten zwei Jahren verdreifacht. Die Daten stammen aus über 100.000 unterschiedlichen Verstößen.
  • Die Mehrzahl der exponierten Daten betrifft Privatpersonen und Verbraucher. Viele sind kostenlos auf einschlägigen Foren erhältlich, der durchschnittliche Preis liegt bei 13,68 Euro / 15,43 US-Dollar.
  • Bei Konten von Banken, Bezahldiensten und anderen Finanzdienstleistern liegt der Preis mit 62,86 Euro / 70,91 US-Dollar deutlich höher. Sie machen 25% der Angebote aus.
  • Zugangsdaten für Antivirenprogramme folgen mit 19,21 Euro / 21,67 US-Dollar an zweiter Stelle auf der Preisliste. Für unter 10 Euro können Cyberkriminelle auf fremde Konten bei Streamingdiensten, Social Media-Profilen und virtuelle private Netzwerke (VPNs) zugreifen.
  • Der Zugang zu Domain Admins gilt als Premium-Angebot und wird oft bei einer Auktion verkauft – mit Preisen von bis zu 120.000 Euro / 140.000 US-Dollar.
  • Cyberkriminelle folgen der Spur des Geldes: Unsere Analysten fanden insgesamt zwei Millionen E-Mail-Adressen und Benutzernamen, die mit Schlüsselabteilungen von Unternehmen (z. B. „Buchhaltung“, „Controlling“) in Verbindung stehen.
  • Für Cyberkriminelle war es noch nie so einfach, das Konto von Anwendern zu hacken. Brute-Force-Cracking-Tools und Account Checker sind im Darknet schon ab 4 Euro erhältlich. Darüber hinaus gibt es sogenannte „as-a-Service“-Angebote, bei denen Kriminelle sich den Kontozugang und damit die Identität des Anwenders für weniger als 10 Euro mieten können
  • Sentry MBA ist das beliebteste Credential-Stuffing-Tool. Relativ neu ist das Tool OpenBullet, das 2020 in 35% der Fälle in kriminellen Foren erwähnt wird.
  • 5 Milliarden der Logindaten sind als „unique“ eingestuft und wurden damit erstmals auf einem Marktplatz zum Verkauf angeboten.
  • Multi-Faktor-Authentifizierung (MFA) stellt nach wie vor die beste Möglichkeit dar, ATO-Angriffe zu entschärfen. Neuere Methoden können jedoch 2FA umgehen – und das gilt nicht nur für SMS-Token.
  • Einmal kompromittierte Konten entwickeln sich häufig zum Dreh- und Angelpunkt weiterer Angriffe. Der Zugang zu privaten GitHub-Repositorien kann so zusätzliche API-Schlüssel und Geheimnisse liefern.

Den ausführlichen Report „From Exposure to Takeover gibt es hier zu lesen.

ACCOUNT GEHACKT: SO KOMMEN KRIMINELLE AN PRIVATE LOGINDATEN

Die meisten von uns vertrauen auf Passwörter, wenn es darum geht unsere Accounts im Internet zu schützen. Ob Finanzdaten, persönliche Infos oder sensible Dokumente – alles wird in der Cloud gespeichert und hinter einer Kombination aus Zahlen und Zeichen sicher verriegelt. Damit sind Logindaten DAS Hauptangriffsziel für Cyberkriminelle schlechthin.

Nach einem Bericht von Verizon (2020 Data Breach Investigations Report) gehen über 80% der Hacker-Angriffe entweder auf Brute-Force-Cracking oder auf die Verwendung geleakte Zugangsdaten zurück. Umfangreiche Listen solcher Logindaten gehören zum Standardportfolio eines jeden kriminellen Marktplatzes und kosten nur wenige Euro.

Woher aber stammen diese Logindaten? Das Bild vom Angreifer, der sich in ein Unternehmen einhackt und dort Zugangsdaten stiehlt, ist nicht unbedingt falsch. Es gibt jedoch deutlich einfachere Wege für Kriminelle:

  1. Credential Harvesting
  2. Logindaten kaufen
  3. Logindaten mieten
  4. Kostenlose Logindaten

Credential Harvesting: PHISHING, EXPLOITS UND MALWARE

Malware und Phishing-Kampagnen, die darauf ausgelegt sind, Passwörter zu stehlen, gibt es zur Genüge und neue Trojaner-Varianten und Keyloggers tauchen in regelmäßigen Abständen im Netz auf. Wer auf diese Weise an Logindaten gelangt, betreibt Credential Harvesting.

Credential Harvester-Tools kombinieren oft unterschiedliche Techniken, beispielsweise Man-in-the-Browser-Angriffe ((MitB). Dabei infiziert ein Trojaner den Browser des Nutzers und verändert beim Aufrufen einer Seite deren Darstellung. Über Code-Injection-Techniken kann zum Beispiel das Formularfeld beim OnlineBanking so manipuliert werden, dass eingegebene Anmeldedaten direkt an den Angreifer weitergegeben werden. Dieser kann die gestohlenen Zugangsdaten selbst für Transaktionen nutzen, oder, was häufiger der Fall ist, weiterverkaufen. Daten von Bankkonten versprechen dabei eine besonders gute „Ernte“ und werden für entsprechend viel Geld auf Marktplätzen verkauft.

Das Abgreifen von Daten eines Accounts mag für den einzelnen schlimm genug sein. Eine andere Dimension erreichen diese Angriffe, wenn der Zugang eines Domain-Administrators zum Verkauf steht – vor allem, wenn darüber Systeme mehrerer Personen oder ganze Netzwerke eines Unternehmens gehackt werden können. Natürlich sind nicht alle Daten, die sich in Foren und Marktplätzen finden, auch immer gültig. Trotzdem dürfte die Idee, dass die Zugangsdaten zur IT-Infrastruktur eines Unternehmens oder einer staatlichen Behörde im Netz zum Verkauf angeboten werden, nicht nur CIOs und IT-Abteilungen beunruhigen.

Angebot von Unternehmensnetzwerkdaten auf dem Marktplatz Exploit

Privilegierte Konten, wie bei Administratoren, gelten in der kriminellen Unterwelt als äußerst wertvoll. Sie ermöglichen nicht nur den Zugang zu einem Netzwerk, sondern schaffen auch ein Höchstmaß an Kontrolle und Sicherheit. Im Grund erhalten Angreifer damit unbegrenzte Berechtigungen, können Einstellungen der Systemkonfiguration ändern, vertrauliche Daten lesen und modifizieren oder anderen Benutzern Zugriff auf kritische Ressourcen gewähren.

Zugangsdaten eines Domain-Administrators einer Cybersecurity-Firma auf dem Marktplatz Exploit
Zugangsdaten eines Domain-Administrators einer Cybersecurity-Firma auf dem Marktplatz Exploit

Das Photon Research Team entdeckte eine Reihe an Zugangsdaten von Administratoren, darunter Unternehmen aus der chemischen Industrie, dem Maschinenbau, der Sicherheitsbranche aber auch staatliche Behörden und Universitäten. Um ihren Kunden die Ware schmackhaft zu machen, werben einige Anbieter auch mit Zusatzinformationen über das anvisierte Unternehmen. Dazu gehört die Anzahl der Mitarbeiter, Alexa Ranking der Website, vorhandenes Intellectual Property, Vermögen oder sensible interne Dokumente, die es zu erbeuten gibt.

Zugangsdaten zum verkauf

SChNäppchenpreise: Logindaten kaufen

Wer genügend Kapital hat, spart sich das Harvesting, und kauft sich seine Logindaten auf einem der Marktplätze im Darknet. Mit unserem Tool Shadow Search™ konnten wir in den letzten zweieinhalb Jahren Hunderte solcher Angebote auf den derzeit neun aktiven sowie aufgegebenen Marktplätzen identifizieren.

Wie oben bereits gezeigt, können sich die Preise für Logindaten je nach Branche und Art des Accounts stark voneinander unterscheiden. Durchschnittlich kostet ein Account 13,68 Euro / 15,43 US-Dollar. Zugangsdaten für Filesharing-Plattformen oder Videospielkonsolen sind jedoch schon für unter zwei Euro zu bekommen.

Average Costs

Ganz an der Spitze der Preisklasse stehen nicht ganz überraschend die Konten zu Banken, Bezahldiensten und anderen Finanzdienstleistern. Sie machen 25% der von Digital Shadows untersuchten Angebote aus. Der höhere Preis macht Sinn, denn der Zugang zu Bankkonten verspricht nicht nur direkten Zugriff auf die dort hinterlegten Gelder, sondern auch auf die persönlichen Daten des Kontoinhabers. Viele der Angebote beinhalten so die Sozialversicherungsnummer, die gerade in den USA extrem wichtig ist. Aber auch Postadressen, Geburtstage und Antworten auf Sicherheitsfragen sind im Paket eingeschlossen.

Durchschnittlich liegt der Preis für Bankkonten bei 62,86 Euro / 70,91 US-Dollar. Es gibt aber auch Angebote für bis zu 425 Euro / 500 US-Dollar. Das hängt von mehreren Faktoren ab: Ist dem Käufer die Beute sicher? Wie hoch ist der Geldbetrag? Lassen sich persönlich identifizierbare Informationen (PII) abgreifen? Wie aktuell sind die Logindaten? Höherpreisige Anzeigen werben mit sogenannten „Drop“-Konten. Sie können dazu benutzt werden, Geldwäsche oder Auszahlungspläne zu erleichtern.

Was die geografische Verteilung betrifft, so stammen die meisten zum Verkauf angebotenen Daten aus den USA. Die dortigen Account-Inhaber gelten wohl als besonders profitable Zielscheibe. Dicht dahinter folgen Logindaten aus Kanada, Australien, Großbritannien und Deutschland. Nicht nur die Zugangsdaten von Bankkonten und Finanzdienstleistern scheinen auf große Nachfrage zu treffen. Konten von Streamingdiensten machen 13% der Angebote aus, Proxys und VPN decken 12% ab.    

Angebote nach Haufigkeit

Insgesamt lassen sich die von Digital Shadows entdeckten Angebote in elf Kategorien unterteilen. Viele davon beziehen sich auf Dienstleistungen, die beim Kauf eines regulären Abos deutlich teurer sind als bei der Mit-Nutzung eines kompromittierten Kontos. Warum rund 95 Euro im Jahr für Netflix ausgeben, wenn es den Premium-Account schon für 5 Euro im Darknet gibt? Zudem bleibt der Mitnutzer anonym und muss beispielsweise bei Streamingdienste von pornographischen Inhalten keine persönlichen Daten hinterlegen.

Grundsätzlich lässt sich sagen, dass Logindaten im Darknet recht günstig zu erwerben sind. Der niedrige Preis hat zwei Gründe:

1. Käufer haben keine Garantie, dass sie mit den erworbenen Zugangsdaten jederzeit und langfristig auf die Konten zugreifen können.

2. Passwörter werden geändert, Abonnements gekündigt und Konten stillgelegt. 2. Für die meisten Anbieter ist es ein Leichtes an Logindaten zu gelangen. Oft kommen dazu automatisierte Tools zum Einsatz, die in kurzer Zeit eine große Menge an Daten erbeuten: Das Angebot ist groß und drückt den Preis. Tatsächlich sind viele Logindaten auch nur ein „Nebenprodukt“, das im Zusammenhang mit anderen Angriffen anfällt und oft sogar kostenlos an Dritte weitergegeben wird.

Bank account access advertised on Empire
Bank account access advertised on Empire
Zugangsdaten zu VPN auf Empire Marktplatz
Angebot für VPN-Account auf dem Marktplatz Empire
Günstiger als im Abo: Netflix-Zugang auf Empire
Günstiger als im Abo: Netflix-Zugang auf Empire

Abomodell im Darknet: LogINDATEN MIETEN

Wer keine Lust hat, selbst Daten zu stehlen oder zu kaufen, kann sich den Zugang zu Konten neuerdings auch mieten. Auf dieses Geschäftsmodell stießen unsere Analysten erstmals im April 2018. Seitdem ist der Markt für diese Art von „Abonnements“ deutlich gewachsen. Als Marktführer gilt nach wie vor Genesis Market.

In der Regel nutzen diese Marktplätze ihre eigenen Inject-Tools und Botnets für das Credential Harvesting. Statt die dabei erbeuteten Daten jedoch zu verkaufen, wird der Zugang der kompromittierten Konten für einen festen Zeitraum vermietet – oft für weniger als 10 Euro. Die Preise hängen dabei von der Art des Kontos ab. Neben Benutzer-Passwort-Kombinationen werden auch Browser-Fingerprints (z. B. Cookies, IP-Adresse, Zeitzonen) der Kontoinhaber gesammelt, um es Angreifern zu erleichtern, Konten unbemerkt zu übernehmen.   

Angebote auf dem Genesis Market

Genesis Market gilt als erfolgreichster und beliebtester Marktplatz dieser Art, obwohl sich der Wettbewerb mit dem Auftauchen von UnderWorld Market (früher RichLogs) und Tenebris verschärft hat. Die Marktdominanz von Genesis spiegelt sich auch in der Anzahl der Erwähnungen in Foren und anderen Marktplätzen wider.

Erwähnungen in Foren und anderen Marktplätzen

Sharing is Caring: Logindaten geschenkt

Bislang war von Zugangsdaten die Rede, die von Anbietern mehr oder weniger verwaltet werden und einen gewissen USP besitzen. Dabei sollte man jedoch nicht vergessen, dass im Netz eine enorme Menge an Logindaten kostenlos und frei zugänglich zur Verfügung stehen. Um diese Daten aufzuspüren und die damit verbundenen Risiken zu entschärfen, scannt und überwacht Digital Shadows eine Vielzahl an Quellen. Zugangsdaten aus Datenleaks werden in Foren beispielsweise als komplette Sammlung und kostenlos bereitgestellt. Andere Hacker teilen einen gehashten Datensatz, damit anderen Forumsmitglieder sich an das „Dehashen“ bzw. das Entschlüsseln machen. Die Klartext-Passwörter werden dann als Teamprojekt wieder veröffentlicht.

Auf russischsprachigen Foren wie Exploit und XSS teilen Cyberkriminelle immer wieder ihre Zugangsdaten für Unterhaltungsdienste mitanderen Mitgliedern. Dabei kann es sich um ein einzelnes Konto oder um ganze Pakete mit Tausenden von gültigen Logindaten handeln.

XSS-Benutzer gibt kostenlos die Zugangsdaten für einen beliebten Streamingdienst frei

In der Mehrheit handelt es sich dabei um Musik- und Videostreaming-Plattformen. Zum einen scheinen Cyberkriminelle grundsätzlich nicht für diese Dienste Geld ausgeben zu wollen. Zum anderen versprechen Zugangsdaten zu Bankkonten, Antiviren-Programme und Domain Admins deutlich mehr Gewinn. Was dann noch übrig bleibt, kann auch großzügig an andere verschenkt werden.

Streaming-Account-Zugangsdaten
Streaming-Account-Zugangsdaten werden kostenlos in RaidForums zur Verfügung gestellt

Logindaten werden nicht aus reiner Herzensgüte geteilt. Cyberkriminelle bauen bewusst ihr Netzwerk auf Foren aus und pflegen Kontakte und Beziehungen. Je größer das Gemeinschaftsgefühl desto erfolgreicher und schlagkräftiger kann das Forum auftreten. Das Gefühl gemeinsame Sache zu machen hilft zudem Mitglieder zu halten und damit im (kriminellen) Markt wettbewerbsfähig zu bleiben. Wer sich für die internen Mechanismen krimineller Foren interessiert, sollte einen Blick in unseren Report „The Modern Cybercriminal Forumwerfen.

Exploit Marktplatz
Exploit Marktplatz: Kostenlose Zugangsdaten für einen beliebten Streamingdienst

Sammeln, kaufen, mieten, teilen – es gibt viele  Wege im Netz an Logindaten zu gelangen. Natürlich folgt nicht auf jedes geleakte Login auch ein erfolgreicher Cyberangriff. Trotzdem gilt: Für Cyberkriminelle war es noch nie so einfach, das Konto von Anwendern zu hacken. Das Risiko für den Einzelnen ist groß, aber auch Organisationen und Unternehmen sind direkt und indirekt über ihre Mitarbeiter und Kunden betroffen.

Um das Risiko von Account Takover Fraud (ATO) auf ein Minimum zu reduzieren, braucht es Sicherheitsmaßnahmen und eine umfassende Threat Intelligence. Welche Tools und Techniken bei Hackern derzeit im Trend liegen und wie sich Unternehmen dagegen wappnen können, beschreibt der ausführliche Report „When Exposure Becomes Takeover“.

Mehr über die Analyse der Marktplätze und Foren im Darknet erfahren Sie außerdem im On-Demand Webinar von Digital Shadows „Account Takeover: Data Findings, Popular Tools, and Prevalent Actors”.  

Threat Intelligence mit Test Drive

SearchLight 7 Tage kostenlos testen
Jetzt ausprobieren

Folgen Sie uns

Weitere Blogbeiträge

DER VOLLSTÄNDIGE LEITFADEN FÜR ONLINE-MARKENSCHUTZ

DER VOLLSTÄNDIGE LEITFADEN FÜR ONLINE-MARKENSCHUTZ

05/12/2020 | Lesedauer 18 Min

Ich halte wenig von Business-Weisheiten und...
Das Phishing Ökosystem

Das Phishing Ökosystem

04/03/2020 | Lesedauer 4 Min

Was tun gegen 1 Billion Phishing Emails...
Dark Web-Monitoring: Die vielen Gesichter der Unterwelt

Dark Web-Monitoring: Die vielen Gesichter der Unterwelt

02/12/2020 | Lesedauer 22 Min

Dark Web Monitoring - Auf einen Blick Im Kampf...