Gastbeitrag von Yubico
5 überraschend einfache Wege, Zugangsdaten von Online-Konten zu stehlen
Diebstahl von Zugangsdaten
In einer digitalisierten Welt sollte dem Schutz der eigenen Daten höchste Priorität beigemessen werden. Fast überall lauert die Gefahr, sensible Daten zu verlieren und nicht selten dadurch finanzielle Schäden davonzutragen. Wenn es um Gefahren im Internet geht, weiß man manchmal gar nicht genau, wogegen man sich eigentlich verteidigen soll, weil die Ziele, Opfer und Methoden der Angreifer ganz unterschiedlich sind. Was wir allerdings wissen, ist, dass Diebstahl und Missbrauch von Internet-Zugangsdaten bei fast 81 % aller Sicherheitsverletzungen durch Hacker eine Rolle spielen. Da sich Passwörter oder andere Authentifizierungsdaten relativ leicht aus der Ferne entwenden lassen und das Risiko, gefasst zu werden, gering ist, haben sich solche Diebstähle weltweit zu einer der häufigsten Angriffsformen entwickelt.
1. Erraten schwacher Passwörter
Angreifer probieren gängige Passwörter in Verbindung mit bestimmten, häufig vorkommenden Benutzernamen auf zahlreichen Websites aus und können damit oft überraschend gute Erfolge erzielen. Leider fällt es den meisten Menschen schwer, starke Passwörter zu erstellen und sich später an diese zu erinnern. Also wählen sie häufig schwache Passwörter, weil es bequemer ist und ausreichend scheint. Ein regelmäßiges Ändern der Passwörter ist noch seltener.
2. Credential Stuffing – Missbrauch mehrfach genutzter Passwörter
Angreifer probieren Zugangsdaten, die sie auf einer Website gestohlen haben, häufig auch auf anderen Seiten aus, da Benutzer sehr oft auf mehreren Websites ein und dasselbe Passwort oder Varianten desselben Passworts verwenden. Noch verschärft wird das Problem durch die Vielzahl gestohlener Zugangsdaten, die im Dark Web gehandelt werden – Angreifern stehen dort Abermillionen von Datensätzen zur Verfügung. Berichten zufolge kommt es zudem vor, dass Angreifer schlechter geschützte Websites ins Visier nehmen, um sich dort die Zugangsdaten einer Person zu verschaffen. Wenn ihnen dies gelungen ist, setzen sie diese Zugangsdaten auf den Websites ein, an denen sie eigentlich interessiert sind.
3. Man-in-the-Middle- (MitM-) Angriffe
Manchmal haben Angreifer Zugriff auf den Netzwerkpfad zwischen dem Computer ihres Opfers und der Website, auf die das Opfer zugreift. Das kann den Angreifern die Möglichkeit geben zu sehen, welche Websites jemand besucht. Falls die Verbindung nicht verschlüsselt ist oder das Opfer das System des Angreifers für legitim hält, stiehlt der Angreifer im darauffolgenden Schritt die Daten seines Opfers. In dieser privilegierten Position kann der Angreifer entweder warten, bis Nutzer die Website besuchen, die für ihn von Interesse ist, oder zusätzlich andere Techniken wie etwa Phishing einsetzen, um Nutzer auf die betreffende Site zu locken.
4. Phishing
Phishing stellt für Internetnutzer eine große Bedrohung dar. Beim Credential Phishing wird in der Regel ein Vorwand benutzt, um eine Person dazu zu bringen, ihre Zugangsdaten entweder direkt preiszugeben oder auf einer scheinbar vertrauenswürdigen Website. Oft sind die Mails, mit denen das Phishing durchgeführt wird, genau auf das Opfer zurechtgeschnitten. Z. B. bittet das eigene Bankinstitut um „Validierung“ der Anmelde-Daten, da sonst das Konto gesperrt werden würde. Oft sind dabei extrem kurze Fristen für die Validierung gegeben, damit der Nutzer unter Zeitdruck gerät und keine Zeit hat, misstrauisch zu werden. Die Angreifer nutzen zu diesem Zweck SMS-Verifizierung, E-Mail, Telefon, Sofortnachrichten, soziale Netzwerke, Dating-Websites, Briefpost oder sonstige verfügbare Mittel.
5. Ausnutzen der Kontowiederherstellung
Da viele Dienste sehr hohe Nutzerzahlen haben und generell überall der Wunsch besteht, die Supportkosten niedrig zu halten, sind die Abläufe bei einer Kontowiederherstellung manchmal wesentlich anfälliger als das primäre Authentifizierungsverfahren. So ist es beispielsweise üblich, dass Unternehmen starke Lösungen für Zwei-Faktor-Authentifizierung (2FA) als primäre Methode implementieren und SMS als Backup nutzen. Oder sie gestatten den Helpdesk-Mitarbeitern, auf einen bloßen Telefonanruf hin Zugangsinformationen zurückzusetzen oder temporäre Umgehungscodes einzurichten, wobei nur geringe oder überhaupt keine Anforderungen an die Identitätsprüfung gestellt werden. Dienste, die 2FA implementieren, müssen sowohl das primäre Login-Verfahren als auch die Abläufe bei einer Wiederherstellung stärken, damit die Benutzer nicht über den schwächeren Pfad kompromittiert werden können.
Der Silberstreif am Horizont
Es existiert allerdings ein einfacher und günstiger Weg, Online-Konten vor all diesen Angriffen zu schützen. Dieser Weg heißt FIDO Universal 2nd Factor (U2F) – ein modernes Sicherheitsprotokoll, das von Yubico und Google speziell entwickelt wurde, um Online-Diensten und ihren Nutzern zu helfen, der oben geschilderten gängigen Angriffsmethoden Herr zu werden. Seit der Einführung von FIDO U2F im Jahr 2012 haben zahlreiche Dienste den Standard übernommen, darunter Gmail, Dropbox, Facebook, GitHub und Salesforce.com. Bei dieser Methode registriert der Nutzer beim gewünschten Dienst ein physisches Hardware-Gerät. Nach erfolgter Registrierung erscheint zukünftig die Aufforderung, bei der Anmeldung das Konto-Passwort einzugeben und den Security-Token vorzuweisen. Dies erfolgt durch Einstecken des Tokens in den USB-Anschluss und, je nach Modell und Hersteller, durch Betätigen eines Knopfes („Prüfung der Benutzeranwesenheit“). Daraufhin wird der Authentifizierungsprozess gestartet, der Nutzer muss nun nichts weiter tun.
Ein einziges U2F-Gerät kann für eine nahezu unbegrenzte Anzahl von Diensten und Konten verwendet werden und gewährleistet gleichbleibend hohen Datenschutz. Beim YubiKey beispielsweise wird für jeden Dienst ein neuer Schlüsselsatz erzeugt. Der entsprechende öffentliche Schlüssel wird nur von diesem Dienst gespeichert. Dank dieser Methode werden zwischen den einzelnen Dienstanbietern keine Geheimnisse geteilt. Somit ist es für die Dienstanbieter auch nicht möglich zu erfahren, ob und wo ihr Nutzer noch einen Token verwendet.
Wie aber stoppt ein Security-Token nun Hacker, selbst wenn diese Ihr Konto-Passwort gestohlen haben? Ohne auch Ihren Token (ein physisches Gerät) zu entwenden, können die Angreifer keinen Zugriff auf Ihr Konto erhalten. Und sobald U2F aktiviert ist, kann das Konto auch leichter gegen Versuche geschützt werden, schwache Verfahren zur Kontowiederstellung auszunutzen, indem weniger sichere 2FA-Methoden wie SMS deaktiviert werden, wo immer dies möglich ist.
Autor: Ronnie Manning, VP Communications Yubico