Eine von Nevis Security beim Researchunternehmen Aberdeen in Auftrag gegebene Studie zeigt, dass Account-Takeover-Attacken (ATO) eine sehr effektive Methode sind, um Online-Unternehmen mit Kundenkontakt anzugreifen. Diese Angriffsformen sind skalierbar und versprechen den Kriminellen einen hohen finanziellen Gewinn. Die Folgen erfolgreicher Kontoübernahmen haben erschreckende Ausmaße angenommen, denn die finanziellen Schäden können weit über die reinen Geschäftskosten hinaus gehen und so zu einem existenziellen Risiko für betroffene Unternehmen werden.
Hauptursachen sind unzählige Onlinekonten und die Art, wie die dafür erforderlichen Credentials verwalten werden. Durchschnittliche Nutzer haben bis zu 130 digitale Benutzerkonten, die jeweils ein Passwort erfordern. Die Nutzer wollen es sich so einfach wie möglich machen und nutzen Zugangsdaten, die die empfohlenen Sicherheitsvoraussetzungen nicht erfüllen. Neben zu einfachen Kombinationen, haben die meisten Passwörter weniger als die empfohlene Mindestlänge von zehn Zeichen und mehr als die Hälfte der Nutzer verwendet das gleiche Passwort für mehrere Accounts. Cyberkriminelle profitieren von diesem laxen Umgang mit Passwörtern.
Nevis hat die fünf erfolgreichsten Angriffsmethoden identifiziert, die im schlimmsten Fall zu einem Account Takeover führen können:
Phishing und Social Engineering: Mit über 17 Prozent ist dies die vierthäufigste Angriffsart. Die Hacker nutzen dabei das Vertrauen der User in die vermeintlichen Absender aus. Dabei setzen sie längst nicht mehr nur auf E-Mails und SMS, um an die Kontodaten zu gelangen, sondern manipulieren die Nutzer zunehmend auch über Telefonanrufe.
Brute-Force-Angriffe: Mit über 18 Prozent Häufigkeit liegt diese Angriffsmethode auf Platz 3. Die Cyberkriminellen verwenden dafür Tools, mit denen sie Zugangsdaten automatisiert ausprobieren können. Diese Angriffsart ist erfolgversprechend, weil oft nicht so komplizierte und variable Passwörter zum Einsatz kommen, wie es Sicherheitsexperten empfehlen.
Keylogger-Angriffe: Bei dieser Methode verwenden Kriminelle Hard- oder Software, um Tastatureingaben nachzuvollziehen. Auf diese Weise können Buchstaben- und Zahlenkombinationen aufgezeichnet und Login-Daten rekonstruiert werden.
Man-In-The-Middle-Angriff: Bei dieser Art von Attacke schaltet sich ein Mittelsmann zwischen die Übertragung zweier Kommunikationsnetze und kann so die Verschlüsselungen umgehen. Der Angreifer hat dann Zugriff auf verschiedene Daten, z.B. Benutzername und Passwort.
Credential Stuffing: Die Cyberkriminellen greifen auf Zugangsdaten zurück, die nach einer Datenpanne öffentlich geworden sind oder im Dark Web gekauft wurden. Via Bots starten sie dann massenhafte Loginversuche bei anderen Online-Diensten. Da Nutzer oft dieselben Zugangsdaten für mehrere Konten verwenden, stehen die Chancen gut, dass es den Angreifern gelingt, einen anderen Account zu übernehmen. Angriffe über Credential Stuffing bleiben oft unentdeckt, da sich bei der Account-Übernahme ein ‚legitimer‘ Kunde einloggt.
Die Folgen einer erfolgreichen Kontoübernahme sind weitreichend: Betrügerische Einkäufe, der Diebstahl von Dienstleistungen oder auch die Registrierung neuer Konten durch kriminelle Nutzer, beispielsweise für Kreditanträge, gehören dazu. Stephan Schweizer, CEO von Nevis rät zu Abschluss, um die Risiken beim Login und damit in puncto Account Takeover zu reduzieren, müssen Passwörter als Schwachstellen minimiert werden. Biometrische Verifikationsverfahren tragen nicht nur zu einer sicheren, sondern auch zu einer reibungslosen Kundenerfahrung bei. Statt des ewigen Katz- und Maus-Spiels mit den Cyberkriminellen, ist es wichtig, dass Unternehmen vermehrt auf die passwortlose Authentifizierung setzen.
