Bequemlichkeit im Tausch gegen Zugangsdaten?

Einmal tippen und Essen geliefert bekommen. Und danach bereuen?

Apps für die Lieferung von Essen und Lebensmitteln sind großartig. Da sind wir einer Meinung. Natürlich fallen Gebühren an. Aber wenn man gerade wirklich nicht das Haus verlassen möchte, ist es eine willkommene Möglichkeit, sich das Gewünschte liefern zu lassen. Deshalb haben sich Apps im Food-Bereich unglaublich schnell durchgesetzt und sind heute ein fester Bestandteil der Alltagswelt. Der Preis für diesen Komfort ist jedoch ein gewisses Risiko. In den letzten Jahren haben Cyberkriminelle Liefer-Apps im Bereich Gastronomie und Nahrungsmittel verstärkt ins Visier genommen.

Laut McKinsey hat der weltweite Markt für Essenslieferungen einen Wert von über 150 Milliarden Dollar und hat sich seit 2017 mehr als verdreifacht. Entsprechend viele Menschen geben ihre Benutzernamen, Passwörter und Kreditkartennummern in diese Apps ein. Das Wachstum ist enorm und stellt die altbekannte Frage, wie die Sicherheit mit diesem Wachstum Schritt halten kann. Oftmals gelingt dieses Unterfangen nicht. Insbesondere das sogenannte „Credential Stuffing“ zählt zu den häufigsten Angriffsmethoden für böswillige Akteure, die versuchen, Benutzerkonten zu knacken oder andere bösartige Angriffe innerhalb dieser Apps durchzuführen.

Der Weckruf

Das FBI warnt nicht nur vor einer Vielzahl anderer Cyberkriminalitätsfälle, sondern neuerdings auch vor Angriffen auf die Zugangsdaten von Kunden, die über eine App auf ihre Konten zugreifen, und zwar in vielen Branchen. Die üblichen verdächtigen Branchen wie das Gesundheitswesen und der Mediensektor sind vertreten, inzwischen schließt der Bericht aber auch die Sparte „Restaurants und Essenslieferungen“ mit ein. Dies ist bemerkenswert aufgrund der schnellen Einführung von Apps in diesem Sektor, ihrer wachsenden Beliebtheit bei den Verbrauchern weltweit und der bereits erwähnten Herausforderung, dass die Sicherheit mit der Entwicklung Schritt halten muss, anstatt sie zu verlangsamen.

In dem FBI-Bericht heißt es: „Insbesondere Medienunternehmen und Restaurantgruppen gelten aufgrund der Anzahl der Kundenkonten, der allgemeinen Nachfrage nach ihren Services und der relativ geringen Bedeutung, die Benutzer dieser Art von Konten beimessen, als lukrative Ziele für Credential-Stuffing-Angriffe.“ Kombiniert mit Videos in Hackerforen, in denen man relativ leicht lernt, wie man Zugangsdaten ausspäht und Credential-Stuffing-Angriffe durchführt, ist die Katastrophe oft vorprogrammiert.

Hintergrundinformationen zum Credential Stuffing

In diesem Merkblatt von OWASP wird Credential Stuffing so beschrieben, dass Angreifer Kombinationen von Benutzernamen und Passwörtern austesten, um sich Zugriff auf eine Website oder Anwendung zu verschaffen. Diese Zugangsdaten haben sie sich zuvor durch das Eindringen in eine andere Website oder Anwendung verschafft. Diese Kombinationen stammen oft aus großen Zugangsdatenlisten, die in Angreiferforen und/oder im Dark Web verkauft werden. Credential Stuffing ist in der Regel Bestandteil einer umfassenderen Kontoübernahme, die auf einzelne Benutzerkonten abzielt, von denen es auf den heute so beliebten Liefer-Apps unendlich viele gibt.  

Der FBI-Bericht geht noch etwas tiefer und beschreibt, wie bösartige Akteure bei Angriffen mit Credential Stuffing oft ohne Proxy vorgehen. Tatsächlich kostet diese Methode weniger Zeit und Geld, da sie ganz ohne den Einsatz von Proxys auskommt. Und selbst beim Einsatz eines Proxys werden diese von vielen vorhandenen Sicherheitsprotokollen nicht immer gekennzeichnet. Hinzu kommt, dass in letzter Zeit vermehrt Bots bei der Skalierung von Credential-Stuffing-Angriffen eingesetzt werden, was das Phänomen noch problematischer macht.  

Neben all diesen Aspekten, die zur derzeitigen Anfälligkeit und des Risikos von Liefer-Apps für Essen und Lebensmittel beitragen, ist auch eine weitere Tatsache besorgniserregend: Smartphone-Apps (die vorrangige Schnittstelle für Essenslieferdienste) erlauben oft eine höhere Anzahl von Anmeldeversuchen, um eine schnellere Kundenverifizierung zu ermöglichen. Das kann natürlich zu einem besseren Kundenerlebnis beitragen, macht diese Art von Services aber auch deutlich anfälliger für Angriffe.

Cloud-Services wie AWS und Google Cloud können bei der Abwehr von Credential-Stuffing-Angriffen unterstützen, z.B. durch eine Multifaktor-Authentifizierung (MFA) oder einen Defense-in-Depth-Ansatz, der mehrere Schutzschichten kombiniert zur Verhinderung von Credential-Stuffing-Angriffen kombiniert. Firmenkunden können die Cloud-Sicherheit für ihre eigenen Kunden, die diese Anwendungen tatsächlich nutzen, auch selbst in die Hand nehmen. Lösungen wie InsightCloudSec von Rapid7 helfen bei der besseren Steuerung des Identitäts- und Zugriffsmanagements (IAM) durch die Implementierung von Least-Privilege-Access (LPA) für Cloud-Workloads, Services und Daten.

Lösungen für mehr Kundenvertrauen

Zusätzlich zu den erwähnten Schutzmaßnahmen führt der FBI-Bericht eine Reihe von Maßnahmen auf, die Liefer-Apps für Essen und Lebensmittel nutzen können, um Kriminellen den Zugriff auf die Benutzerkonten zu erschweren. Hierzu zählen:

• Das Herunterladen von öffentlich zugänglichen Listen mit Zugangsdaten und deren Abgleich mit Kundenkonten, um Probleme frühzeitig zu erkennen und deren Schweregrad einzuschätzen.  
• Der Einsatz von Fingerprinting zur Erkennung ungewöhnlicher Aktivitäten, wie z.B. der Versuch, sich von einer einzigen Adresse aus bei mehreren verschiedenen Konten anzumelden.
• Die Identifizierung und Überwachung von Standard-Strings für Benutzer-Agenten, wie sie von Credential-Stuffing-Tools genutzt werden.

Lösungen für die Erkennung und Abwehr wie InsightIDR von Rapid7 können außerdem mithilfe von Täuschungstechnologie Angreifer ködern, die gestohlene Zugangsdaten einsetzen wollen. Durch die Bereitstellung von gefälschten Zugangsdaten auf Ihren Endpunkten zur Täuschung von Angreifern kann InsightIDR automatisch einen Alarm auslösen, wenn diese Zugangsdaten irgendwo anders im Netzwerk verwendet werden.

Letztendlich ist gutes Essen das A und O. Ebenso wichtig ist es jedoch, Ihr Unternehmen vor Credential-Stuffing-Angriffen zu schützen. Unser Bericht Good Passwords for Bad Bots bietet praktische, umsetzbare Ratschläge, wie Sie das Risiko von Angriffen im Zusammenhang mit abgegriffenen Zugangsdaten für Ihr Unternehmen verringern können.

Laden Sie jetzt unseren Bericht Good Passwords for Bad Bots herunter.

Autor: Aaron Wells