Trustwave SpiderLabs: Über den Benutzernamen zur kompletten Account Übernahme
Im vergangenen Jahr gab es viele größere Datensicherheitsverstöße, in denen Benutzernamen, eMail-Adressen und manchmal sogar Passwörter kompromittiert wurden. Einige dieser Vorfälle betrafen sehr große Unternehmen und Millionen von betroffenen Benutzernamen. Nach den Erkenntnissen des 2014er Trustwave Global Security Reports „hat das Volumen der Datenverstoß-Untersuchungen um 54 Prozent im Jahr 2012 zugenommen“ und „bei 45 Prozent der Datendiebstähle waren Nicht-Zahlungsmittel bezogene Kartendaten betroffen“.
Wenn die Rede von gestohlenen Benutzernamen ist, fragen die Leute gerne, wie wichtig denn eMail-Adressen und Benutzernamen wirklich sind. „Warum ist es so eine große Sache, wenn eMail-Adressen und Benutzernamen gestohlen werden?“ ist hier die Frage. Im den folgenden Ausführungen soll auf diesen Aspekt einmal näher eingegangen werden.
Benutzernamen, eMail-Adressen und Telefonnummern
Bei den meisten Applikationen, bei denen wir uns heute Anmelden, benötigen wir zwei Identifikationsmerkmale: Den Benutzernamen und das Passwort. Die Nutzung der eigenen eMail-Adresse oder der eigenen Telefonnummer als Benutzername ist bei vielen größeren Webseiten üblich – wie beispielsweise bei ALLEN Top 10 Webseite der Alexa Liste wie Google, Facebook, Yahoo, Microsoft Live und weiteren.
Die gängige Nutzung der eigenen eMail-Adresse als Benutzername (teilweise wird die eMail-Adresse gleich automatisch im „Benutzernamen“-Feld bei vielen Seiten aufgeführt) führt bei vielen Endanwendern zu der falschen Meinung, dass der Anmeldevorgang auf den meisten Webseiten eh nur ein „einmaliger Vorgang“ ist und entsprechend geben sie gleich das richtige Passwort für ihren echten eMail-Account als Passwort ein (um sich nicht so viele Passwörter merken zu müssen). Dies führt im Ergebnis zu einer Mehrfachverwendung der Zugangsdaten auf mehreren Webseiten. Wenn nun eine Webseite eines Drittanbieters gehackt wird, dann haben die Angreifer durch die Erlangung der Zugangsdaten der verschiedenen Nutzer nicht nur Zugriff auf deren Daten auf dieser Seite, sondern meist auch gleich auf die tatsächlichen eMail-Accounts der Nutzer, wenn sie die Accountdaten bei verschiedenen eMail Providern ausprobieren.
Zudem kann ein einfacher Benutzername auch dafür verwendet, um den Nutzer direkt per eMail oder Telefon zu kontaktieren. Hier könnten gefährliche Aktivitäten wie Phishing Attacken oder Spam Kampagnen das Ziel sein.
Der Verlust des Benutzernamens ist dauerhaft – der eines Passwortes nicht
„Um das Vertrauen der Kunden und die IT-Sicherheit auf (…Name eines eCommerce Portals) zu gewährleisten, bitten wir alle Nutzer Ihre Passwörter zu ändern“. Dieser Texthinweis stammt aus einer Email, die aufgrund eines Datensicherheitsproblems auf einer eCommerce Webseite an alle Kunden gesendet wurde.
An irgendeinem Zeitpunkt wird jeder Computernutzer irgendwann aufgefordert, das Passwort zu ändern. Könnten Sie sich vorstellen, einmal die folgende Nachricht zu erhalten, wenn beispielsweise die Benutzernamen korrumpiert wären: „Um das Vertrauen der Kunden und die IT-Sicherheit auf (…Name eines eCommerce Portals) zu gewährleisten, bitten wir alle Nutzer Ihre eMail-Adressen zu ändern“?
Könnte man überhaupt seine eMail-Adresse ändern, wenn nahezu jede Webseite im Internet einen in derselben Art und Weise identifiziert? Nehmen wir einmal an, ihre eMail Adresse würde korrumpiert werden – ändern Sie dann sofort in Google, Facebook und Windows Live ihre Benutzernamen?
Die Korrumpierung eines Benutzernamens betrifft meist mehrere Webseiten
Wie bereits zuvor erwähnt wird die eMail Adresse als Benutzername meist zur Anmeldung auf verschiedenen Webseiten verwendet. Wenn diese eMail-Adresse also korrumpiert wird, dann kann diese von den Angreifern genutzt werden, um ihren Google Account, Facebook Account oder sogar ihre Apple ID oder ihren Google Play Account Namen zu hacken.
Welche Schäden können durch die Massenkorrumpierung von Benutzernamen entstehen?
Es können die unterschiedlichsten Attackenvektoren angewendet werden – abhängig davon, ob der Benutzername auch als direkte Identifikation eines Nutzers (durch eine eMail-Adresse oder Telefonnummer) verwendet werden kann. Die nachfolgende Abbildung kann unabhängig von der Struktur des Benutzernamens angewendet werden, obwohl die die blauen Bereiche Fälle sind, in denen der Benutzername entweder eine eMail-Adresse oder eine Telefonnummer sein kann:
Attacken-Vektoren, die den Angreifern zur Verfügung stehen, wenn die Benutzernamen korrumpiert werden
Bruteforce und Wörterbuch (Dictionary) Attacken
Der Log-In Prozess ist abgeschlossen, wenn ein Benutzername und ein Passwort an eine Applikation gesendet werden. Wenn die Angreifer den Benutzernamen bereits wissen, dann können sie eine Bruteforce und/oder Wörterbuch (Dictionary) Attacke starten, um das Passwort herauszufinden:
- Bruteforce Attacke: Die Angreifer versuchen alle möglichen Passwort-Kombinationen aus
- Wörterbuch (Dictionary) Attacke: Die Angreifer verwenden eine lange Liste mit Tausenden möglicher Passwörter, die allgemein gerne als Passwörter verwendet werden
Eine Bruteforce oder Wörterbuch Attacke ist erfolgreich, wenn die Benutzername / Passwort-Kombination zu einem erfolgreichen Log-In führt. Dies ermöglicht die vollständige Übernahme eines Accounts.
Anzumerken ist hierbei, dass einige Webseiten bereits eine „Sicherheits-Abmeldung“ integriert haben. Wenn zu oft ein falsches Passwort zu einem richtigen Benutzernamen oder ein richtiges Passwort zu einem falschen Benutzernamen beim Log-In probiert wird, wird der Nutzer automatisch gesperrt und informiert.
Rückwärtsgerichtete Bruteforce-Attacken
Manchmal will ein Angreifer einfach nur so viele Accounts wie möglich ohne großen Zeit- und Arbeitsaufwand hacken. In solchen Fällen oder im Fall, das die oben beschriebene „Sicherheits-Abmeldung“ auf einer Seite implementiert ist, sind rückwärtsgerichtete Bruteforce-Attacken der bevorzugte Angriffsvektor.
Nehmen wir einmal an, dass auf einer Webseite maximal fünf Anmeldeversuche möglich sind, bevor der Account blockiert wird. Der Angreifer wählt dann die vier gängigsten Passwörter und testet diese aus – im Einklang mit dem Passwort Regelwerk der Webseite. Eine Trustwave SpiderLabs Analyse basierend auf 2.000.000 korrumpierten Passwörter zeigte, dass die gängigsten Passwörter „123456“, „123456789“, „1234“ und „password“ sind.
Nun – mit den obigen vier häufigsten Passwörtern testen wir jetzt jeden Benutzernamen, den wir ergattert haben. Je größer die Liste der korrumpierten Benutzernamen ist, desto größer ist die Chance, eine große Anzahl gehackter Accounts zu erhalten.
Denial-of-Service Attacken
In diesem Fall – wenn eine Seite bspw. nur fünf falsche Anmeldeversuche zulässt, bevor der Account gesperrt wird – kann der Angreifer auch fünf gänzlich unübliche Passwörter verwenden und diese für jeden korrumpierten Benutzernamen austesten.
Dies führt im Ergebnis dazu, dass (im Fall einer großen Benutzernamenliste) nahezu alle Accounts einer Webseite gesperrt sind und die Webseite somit nahezu nutzlos wird. Einige Webseiten haben aus diesem Grund bereits eine Aufhebung der Anmelde-/Accountsperre nach einer gewissen Zeit integriert. Entsprechend warten die Angreifer dann einfach ein paar Minuten / Stunden und starten die nächste Attacke mit den nächsten Passwörtern, die sie austesten wollen. Dann sind wieder alle Accounts gesperrt bis zur nächsten Rund.
Nicht Internet-bezogenen Angriffsvektoren
Das Erlangen von Benutzernamen kann auch dazu verwendet werden, einen Angriff auf nicht Internet-bezogene Systeme durchzuführen. Dies ist oft der Fall, wenn die „geklauten“ Benutzernamen auch für eine Anmeldung z.B. in einem Domänen- oder Firmennetzwerk verwendet werden.
Ein korrumpierter Benutzername kann also auch dazu verwendet werden, um einen VPN Gateway, einen FTP-Dienst, ein Remote Administrations-Interface wie SSH oder einen Remote Desktop anzugreifen.
Reputations-Schaden für den Markennamen (schlechte Presse)
Dieser Angriffsvektor ist eigentlich selbsterklärend. Die Angreifer können auch alle geraubten Informationen wie bspw. „pastebin (dot) com“ zur Verfügung stellen und die Medien übernehmen dann den Rest…
Entsprechend ist es mittlerweile gar nicht mehr so selten, dass gestohlene Benutzernamen zu effektvollen Schlagzeilen wie „Unternehmen XY wurde gehackt – 300.000 Accounts betroffen!“ führen – egal ob diese Accounts nur zum Teil oder gänzlich korrumpiert wurden. Die Kombination des Namens eines (vielleicht sogar börsennotierten) Unternehmens mit dem Wort „gehackt“ in einer Schlagzeile reicht aus, das der Aktienkurs ins Bodenlose fällt, viele besorgte Kunden bei der Hotline des Unternehmens anrufen oder einfach nur zu sehr unangenehmen behördlichen Untersuchungen führt.
Angriff auf weitere Applikationen
Wie bereits am Anfang des Artikels erwähnt werden dieselben Benutzernamen oft für verschiedene Webseiten und Applikationen verwendet. Wenn die korrumpierten Informationen zur Anmeldung bei verschiedensten Diensten verwendet werden, dann sind auch alle diese Dienste von den beschriebenen Angriffsvektoren betroffen.
Im Folgenden werden die möglichen Angriffsvektoren beschrieben, wenn der korrumpierte Benutzername aus einer eMail-Adresse oder einer Telefonnummer besteht.
Phishing oder Vishing (Voice Phishing)
Der Benutzername ist die Hälfte der Zugangsdaten, die notwendig sind, einen Account komplett zu hacken. Die andere Hälfte ist in der Regel das Passwort. Die Angreifer können die eMail Adressen oder Telefonnummern verwenden, um die Nutzer direkt zu kontaktieren und diese dazu verleiten, ihnen das Passwort direkt zu verraten.
Lassen Sie uns das folgende hypothetische Szenario betrachten:
- Ein Angreifer erbeutet eine Million eMailadressen von einer gehackten Webseite
- Der Angreifer deponiert die geraubten Informationen auf „pasebin(dot)com“ und informiert die Medien über den „Hack“
- Der Angreifer kontaktiert die Nutzer mit Hilfe der geklauten eMail-Adressen, einem raffinierten, seriösen Anschreiben und gibt vor, vom gehackten Webseitenbetreiber zu stammen.
- In der Phishing eMail werden die Nutzer über den Datenschutzvorfall informiert und dazu aufgefordert, ihr Passwort durch Anklicken des in der eMail enthaltenen Links sofort zu ändern
- Einige der Nutzer, die – intelligenter weise sogar den Datenschutzvorfall durch Verifikation in den Medien überprüft haben – klicken dann natürlich auch auf den in der eMail enthaltenen Link, der auf eine der echten Webseite täuschend echt nachempfundenen Phishing-Webseite führt.
- Die Nutzer werden dann auf der Phishing-Webseite dazu aufgefordert, erst ihr altes Passwort einzugeben, bevor sie ein neues Passwort eingeben
- Der Angreifer kann nun die vollständigen Account-Informationen des Nutzers verwenden, um den Account zu übernehmen
Spam-Listen und Spam-Kampagnen
Das Klauen einer ganzen aktuellen Liste von eMail-Adressen kann sehr profitabel für die Angreifer sein. Solche Listen können an Spammer für viel Geld verkauft werden. Oder die Angreifer bieten selbst Spam-Services an.
Bei einer Spam-Kampagne werden die geraubten eMail-Adressen / Telefonnummern genutzt, um die Eigentümer der eMail-Adressen / Telefonnummern über meist unnütze Produkte zu informieren oder ihnen Malware zuzusenden.
Spear-Phishing-Attacken
Manchmal wählen Angreifer ihre Angriffsmethode auch sehr sorgfältig aus. Eine zielgerichtete Attacke nur auf spezifischen Nutzer ist deutlich schwieriger zu erkennen und zu untersuchen. Und einige Ziele sind deutlich lohnender als andere.
Nehmen wir einmal an, die Angreifer finden die folgende Email-Adresse in der Liste der geraubten eMail-Adressen: „super.mega-admin @ example.com“
Nach der gängigen Logik ist es dem Angreifer sehr schnell klar, dass die Kompromittierung des Computers dieses speziellen Nutzers äußerst interessant sein könnte. Sie/Er wird dann versuchen, eine zielgerichtete Phishing Attacke nur gegen diesen spezifischen, ausgewählten Nutzer durchzuführen. Wenn sie/er erfolgreich ist, dann könnte der Angreifer plötzlich Zugriff auf deutlich interessantere Unternehmenswerte und Zugangsdaten erhalten.
„Haben Sie Ihr Passwort vergessen?“
Manchmal ist die einfachste Möglichkeit, den kompletten Account eines Benutzers zu hacken, den „Passwort vergessen?“ Prozess zu starten. Die „Passwort vergessen“ Hilfeseiten sind oft das schwächste Glied in der Authentisierungskette einer Webseite.
Man benötigt zum Zurücksetzen seines Passwortes in der Regel nur seinen Benutzernamen, eine eMail-Adresse oder Telefonnummer und die Antworten auf ein paar persönliche Fragen. Solche Fragen lauten meist „Wie ist der Mädchenname ihrer Mutter?“, der eindeutig aufgrund der vielfältigen sozialen Medien einfachen zu erraten ist wie das eigentliche Passwort.
Das erfolgreiche Durchlaufen des „Passwort vergessen?“ Prozesses resultiert in der vollständigen Übernahme eines Accounts.
Wie bereits erwähnt können solche Attacken auch auf anderen Webseiten als der korrumpierten Webseite, von der nur der Benutzername geklaut wurde, durchgeführt werden.
Andere Schwachstellen ausnutzen
Eine Internet-bezogenen Schwachstellen erfordern, dass ein Besucher auf einer Webseite einen ganz speziellen gefährlichen Link anklickt. Unter diese Attacken sind auch die OWASP TOP 10 Attacken wie Cross-Site-Scripting und Cross-Site-Request-Forgery.
Geklaute eMail-Adressen können dazu genutzt werden, zu Nutzern Kontakt aufzunehmen und diese zu bitten, eine bestimmte Webseite aufzurufen, die andere Attacken aktiviert und auszunutzen versucht.
Cyber-Kriegsführung
Einige öffentliche Parteien (wie manche Regierungsparteien) zielen darauf ab, eine möglichst umfangreiche Informationsbasis für ihre potentiellen Attacken zu haben. Das Hinzufügen von Benutzernamen und Kontaktinformationen zu ihrem Arsenal ist etwas, das einen ziemlich beunruhigen sollte.
Zusammenfassung
Benutzernamen, eMail-Adressen und Telefonnummern sind sehr wertvolle Informationen für die Angreifer. Diese Informationen können für verschiedenste Attacken verwendet werden, die im Ergebnis zu einer kompletten Übernahme eines Accounts führen können.
Wenn zu einem Diebstahl von Benutzernamen kommt, dann ist die Menge der korrumpierten Benutzernamen ausschlaggebend. Je größer die Anzahl der korrumpierten Benutzernamen ist, desto größer kann der Schaden durch einen einzigen Angreifer sein.
Quelle: Trustwave SpiderLabs Weblog – Autor: Oren Hafif
Über Trustwave
Trustwave hilft Unternehmen, sich vor den Cyberbedrohungen zu schützen, die eigenen Daten abzusichern und die Sicherheitsrisiken zu minimieren. Mit den eigenen Cloud- und Managed Security Services, den integrierten Technologien und einem globalen Team von IT-Sicherheitsexperten, ethischen Hackern und Forschern ermöglicht Trustwave Unternehmen, Organisationen und Behörden ihre Informationssicherheit und Compliance-Programme vor allem auch im Zuge geschäftlicher IT-Herausforderungen wie Big Data, BYOD und Social Media zu gewährleisten. Über zwei Millionen Geschäftskunden haben sich bereits der Trustwave TrustKeeper (R) Cloud Plattform angeschlossen, über die Trustwave automatisiert, effizient und kosteneffektiv den richtigen Datenschutz, ein umfassendes Risikomanagement und einen intelligenten Schutz vor Bedrohungen bereitstellt. Trustwave ist ein im Privatbesitz befindliches Unternehmen mit Hauptsitz in Chicago (USA). Das Unternehmen verfügt über Kunden in 96 Ländern auf der ganzen Welt. Weitere Informationen zu Trustwave finden Sie unter www.trustwave.com