Viele erbeutete Nutzerdaten sind kostenlos auf einschlägigen Foren erhältlich oder werden zu Spottpreisen verkauft.
Foto: Digital Shadows

IT-Sicherheit

Milliarden Nutzer-Passwörter frei im Netz zugänglich

Ein neuer Report von Digital Shadows hat die Ausmaße von geleakten Nutzerdaten und Passwörtern im Zusammenhang mit Kontoübernahmen (ATO) untersucht.

Beim Erstellen des Nutzerdatenreports von Digital Shadows fanden die Threat Intelligence-Experten mehr als 15 Milliarden Benutzer-Passwort-Kombinationen, die auf cyberkriminellen Marktplätzen gehandelt werden – viele davon im Dark Web. Damit ist die Zahl der gestohlenen und offengelegten Zugangsdaten seit 2018 um rund 300 % gestiegen. Die kompromittierten Daten stammen aus mehr als 100.000 unterschiedlichen Verstößen gegen Datenschutzbestimmungen, Cyberhacks und anderen Datenleaks. Insgesamt fünf Milliarden der aufgedeckten Logindaten sind als „unique“ eingestuft und wurden damit erstmals und einmalig auf einem Marktplatz zum Verkauf angeboten.

Passwörter und Logindaten frei im Netz zugänglich

Die Mehrzahl der exponierten Daten betrifft Privatpersonen und Verbraucher und umfasst Benutzernamen und Passwörter von diversen Kundenaccounts – angefangen bei Bankkonten bis hin zu Streamingdiensten wie Netflix oder Spotify. Viele der Kontodaten sind kostenlos auf einschlägigen Foren erhältlich oder werden zu Spottpreisen verkauft. Durchschnittlich kostet der Zugang zu einem Konto 13,68 EUR. Bei Konten von Banken, Bezahldiensten und anderen Finanzdienstleistern, die bei einem erfolgreichen Zugriff mit einem höheren Gewinn winken, liegt der Preis mit 62,86 EUR deutlich höher. Über dem Durchschnittspreis liegen auch Zugangsdaten für Antivirenprogramme mit 19,21 EUR. Für unter zehn Euro können Cyberkriminelle auf fremde Konten bei Streamingdiensten, Social Media-Profilen, virtuelle private Netzwerke (VPNs) und Webseiten mit pornographischen Inhalten zugreifen.

Risiken im Zusammenhang mit Kontoübernahmen (ATO) minimieren

Um das Risiko von Account Takover Fraud (ATO) auf ein Minimum zu reduzieren, sollten Unternehmen bestimmte Sicherheitsmaßnahmen implementieren und eine umfassende Threat Intelligence aufbauen. Dazu gehören:

  • Monitoring von Zugangsdaten von Mitarbeitern sowie das Einrichten von Alerts, die über aktuellen Daten-Hacks informieren.
  • Monitoring des Unternehmens- und Markennamens in gängigen Foren. Google Alerts beispielsweise können richtig konfiguriert Indikatoren für drohende für drohende ATO-Versuche liefern.
  • Monitoring von Zugangsdaten von Kunden.
  • Umfassende Abdeckung von Quellen im Open, Deep und Dark Web. In Code-Repositories, wie Github beispielsweise finden sich öffentlich zugängliche technische Daten, die von Cyberkriminellen ausgenutzt werden können – darunter Authentifizierungsschlüssel, hartcodierte Passwörter, Code Snippets oder API-Schlüssel.
  • Implementierung einer Online-Firewall für Webanwendungen. Kommerzielle und Open-Source-Firewalls, wie Modsecurity, helfen, Angriffe auf Zugangsdaten zu identifizieren und zu blockieren.
  • Sicherheitsbewusstsein bei Anwendern schärfen, um das Nutzen der unternehmenseigenen E-Mail für private Konten und die Wiederverwendung von Passwörtern zu unterbinden.
  • Beobachten von Credential Stuffing Tools. Einige Lösungen sind mittlerweile in der Lage, Captchas zu umgehen.
  • Implementierung von Multi-Faktor-Authentifizierung ohne SMS-Token. Dabei gilt es, zwischen der höheren Sicherheit durch 2FA und eventuellen Reibungen sowie Kosten abzuwägen.
Stefan Bange, Country Manager DACH, Digital Shadows, zu den digitalen Risiken der physischen Sicherheit.

Hacker-Abwehr

Digitale Risiken der physischen Sicherheitstechnik

Selbst der beste Cyberschutz ist nutzlos, wenn die physische Sicherheitstechnik eines Geräts nicht sichergestellt wird. Das gilt jedoch auch in umgekehrter Richtung.

Viele arbeiten derzeit von zuhause aus. Das birgt neue IT-Sicherheitsrisiken. Das BSI schlägt bereits Alarm. Diese 10 Regeln machen das Homeoffice sicherer.

IT-Sicherheit

10 goldene Regeln für ein sicheres Homeoffice

Viele arbeiten derzeit von zuhause aus. Das birgt neue IT-Sicherheitsrisiken. Das BSI schlägt bereits Alarm. Diese 10 Regeln machen das Homeoffice sicherer.

Foto: Cristine Lietz/ Pixelio.de

Securenvoy

Goldene Regeln für sichere Passwörter

Ob zum Abrufen von E-Mails, als Zugang zu privaten Informationen oder für Websites aller Art: Passwörter sind essenziell für sichere Login-Prozesse. Allerdings neigen User dazu, zu einfache Passwörter einzurichten, die sich zwar leicht merken, aber auch ebenso leicht knacken lassen.

Foto: The Safe Shop

Cyber-Sicherheit

Tipps für ein sicheres, aber einfaches Passwort

Ein Grund für den Anstieg der Cyberkriminalität ist, dass viele Internetnutzer ein viel zu leichtes Passwort haben und so Hackern einfach Zugang zu ihrem E-Mail- oder sogar Bankkonto ermöglichen. Deshalb helfen ein paar Tipps und Tricks dabei, die Passwort-Sicherheit zu erhöhen.

Special Zutrittskontrolle: Informieren Sie sich rund um den Themenbereich der Zutrittskontrolle

×