Credential Stuffing – Hackerangriff auf Login-Daten

Die Firma Akamai Technologies gehört zu den weltweit größten Anbietern für die Auslieferung und Beschleunigung von Online-Anwendungen. In ihrem Internet-Sicherheitsbericht 2019 nimmt das Unternehmen unter anderem Credential Stuffing ins Visier.

Was ist Credential Stuffing?

Bei dieser Form des Hackerangriffs, dem unter anderem Online-Shops zum Opfer fallen, nutzen Hacker gestohlene Login-Daten und versuchen damit, sich auf anderen Webseiten wie Banken oder eben Online-Shops einzuloggen. Über die gehackten Konten kaufen die Cyber-Diebe Waren, um sie anschließend weiterzuverkaufen. Effektiv wird dieses Verfahren durch die Anwendung von AIO-Bots, mit denen mehrere Angriffe im dreistelligen Bereich gleichzeitig erfolgen können.

Die beliebten Ziele

Online-Shops sind beliebte Ziele der Hacker, denn die gestohlenen Waren können schnell und einfach weiterverkauft werden. Am häufigsten sind Shops betroffen, die Kleidung verkaufen, gleich danach folgen Credential Stuffing Versuche im Direkthandel, bei Kaufhäusern und bei Bürobedarf.

Wie können Online-Shops sich schützen?

Hackerangriffe wie das Credential Stuffing sind deshalb häufig so erfolgreich, weil viele Nutzer für unterschiedliche Anwendungen die gleichen Zugangsdaten nutzen. Dies macht auch die Identifikation schwierig, denn schließlich handelt es sich ja um echte Zugangsdaten zum Shop – auch wenn der Benutzer nicht der richtige ist. Abhilfe schafft eine Bot-Management-Lösung, die sich allerdings für kleinere Shops nicht rechnet und andererseits auch das positive Nutzererleben beinträchtigen kann, wenn echte Nutzer fälschlicherweise für Bots gehalten werden.

Grundsätzlich für Sicherheit gegen Hackerangriffe auf den Online-Shops selbst sorgen folgende Maßnahmen:

  • Auswahl eines zuverlässigen Webhosters mit sicheren Rechenzentren
  • SSL-Verschlüsselung
  • Durchdachte Datenspeicherung (nur Daten, die auch nötig sind, sollten gespeichert werden)
  • Regelmäßige Tests der Shop-Seite auf Schwachstellen
  • Regelmäßige Sicherheits-Updates
  • Nutzung einer zuverlässigen Shop-Software

Weiterhin sollte sichergestellt sein, dass die Nutzer starke und sichere Passwörter benutzen, empfehlenswert ist auch eine regelmäßige Erinnerung der registrierten Nutzer an die Erneuerung des Passwortes per E-Mail-Benachrichtigung.