Das verborgene Geschäft mit gestohlenen Passwörtern

Erst kürzlich kompromittierte ein Datenleck bei Roku durch einen Credential-Stuffing-Angriff angeblich mehr als 15.000 Nutzeraccounts. Bei einem späteren Vorfall gab Roku bekannt, dass Hacker auf rund 576.000 weitere Accounts zugegriffen hatten.

Doch wie genau können solche Daten überhaupt gestohlen werden? Und was geschieht mit ihnen, sobald sie in die Hände von Cyberkriminellen gelangen? Schauen wir uns das genauer an.

So werden Passwörter und persönliche Daten gestohlen

Es gibt mehrere beliebte Methoden, mit denen Cyberkriminelle Passwörter und persönliche Daten klauen können:

Stealer

Stealer sind eine Form von Schadsoftware, mit der Passwörter, Kreditkartennummern, Krypto-Wallet-Schlüssel und andere wertvolle Daten von infizierten Computern gesammelt werden können. Sie verbreiten sich häufig über Phishing-E-Mails, die Nutzer zum Herunterladen von schädlichen Anhängen verleiten, oder über kompromittierte Websites, die bei einem Besuch die Schadsoftware heimlich installieren. Sobald ein Stealer das System infiziert hat, scannt er die Browser, Dateien und Anwendungen des Opfers auf der Suche nach allen möglichen auffindbaren sensiblen Daten. Diese Daten werden anschließend zurück auf die Server des Angreifers übertragen, wo sie gesammelt und für den Verkauf in Cybercrime-Foren und -Netzwerken aufbereitet werden.

Malware

Neben Stealern werden auch andere Arten von Schadsoftware wie Trojaner, Spyware und Keylogger genutzt, um Passwörter und persönliche Daten zu stehlen. Solche Schadprogramme geben sich häufig als legitime Software aus, die die Nutzer durch vermeintliche Updates oder überzeugende Social-Engineering-Tricks zu einer Installation verleitet. Ist diese Schadsoftware einmal auf einem System, läuft sie unauffällig im Hintergrund und erfasst jeden Tastendruck, den das Opfer eingibt, erstellt regelmäßig Screenshots und greift sogar direkt im Moment des Zugriffs Dateien und Daten ab. Mit der Zeit können die Angreifer so ein umfassendes Profil der Onlineaktivitäten und sensiblen Daten eines Opfers anhäufen, alles unbemerkt.

Datenbanken

Eine weitere häufige Methode, wie Daten gestohlen werden, ist über ungesicherte Datenbanken und Code-Repositorys, die öffentlich im Internet offengelegt wurden. Viele Unternehmen konfigurieren versehentlich ihre Cloud-Speicherung falsch oder behalten die Standardeinstellungen bei Zugriffskontrollen bei, wodurch jeder, der auf die Datenbank stößt, ihre Inhalte anschauen und herunterladen kann.

Angreifer scannen regelmäßig das Internet nach solchen frei verfügbaren Assets und saugen alle sensiblen Daten, die sie finden können, ab. In manchen Fällen bergen solche ungesicherten Datenbanken gewaltige Schätze an Nutzerpasswörtern, persönlichen Daten und sogar Finanzinformationen, alles direkt abrufbar.

Oben sehen Sie eine solche Website, die es erlaubt, öffentlich gemachte Repositorys zu erkunden und zu sichern. Diese Plattform bietet eine umfassende Schnittstelle für die Identifizierung und Verwaltung öffentlich zugänglicher Buckets, wie sie häufig in Cloud-Diensten wie AWS S3, Google Cloud Storage und Azure Blob Storage genutzt werden.

Das verborgene Geschäft mit gestohlenen Daten

Was passiert nun, nachdem Passwörter und persönliche Daten bei einem Datenleck gestohlen wurden? Diese finden schnell ihren Weg in das Dark Web und in Cybercrime-Foren, wo eine rege Schattenwirtschaft für den Handel mit gestohlenen Daten existiert.

Wer solche illegalen Netzwerke durchsuchen würde, würde auf ganze Bereiche stoßen, die sich nur Datenlecks widmen und in denen keine Stunde vergeht, ohne dass Cyberkriminelle gestohlene Passwörter und persönliche Datensätze kaufen, verkaufen oder teilen.

Frisch gehackte Datenbanken werden je nach dem empfundenen Wert der Daten häufig an den höchsten Bieter versteigert oder zum Festpreis pro Datensatz verkauft. Eine Datenbank, die detaillierte Finanzdaten oder vollständige Identitätsprofile beinhaltet, würde zum Beispiel einen wesentlich höheren Preis erzielen als eine einfache Liste von E-Mail-Adressen und Passwörtern.

Einige geschäftstüchtige Cyberkriminelle verschenken sogar ganze gestohlene Datenbanken und nutzen sie als eine Art „Lockvogelangebot“, um ihren Ruf und ihre Bekanntheit zu steigern. Solche „Zu Verschenken“-Bereiche sind voll von Nachrichten von Hackern, die ihr Können zeigen und bei ihresgleichen an Einfluss gewinnen wollen. Für sie sind das Prestige und ihre Street Credibility mehr wert als jede Summe, die sie mit dem Verkauf der Daten hätten verdienen können.

Doch über einzelne zum Verkauf stehende Datenlecks hinaus gibt es auch riesige Zusammenstellungen, die kompromittierte Daten aus zahlreichen Lecks zu praktischen, durchsuchbaren Datenbanken zusammenführen. Bösartige Akteure können Guthaben erwerben, um damit gezielte Abfragen durchzuführen und Daten zu bestimmten Personen in sämtlichen gesammelten gehackten Daten zu suchen. Auf diese Weise können Kriminelle erschreckend detaillierte Profile zu potenziellen Zielpersonen entwickeln, indem Sie Daten aus Dutzenden verschiedenen Datenlecks zu einem umfassenden Dossier verbinden. Einige Beispiele für derartige Anbieter von Datenbank-Zusammenstellungen*:

1. DeHashed

Ein berüchtigter Anbieter von Datenbank-Zusammenstellungen, der sich mit mehr als 14 Milliarden Datensätzen aus Tausenden von Datenlecks brüstet. DeHashed bietet eine bedienerfreundliche Oberfläche für die Suche, über die bösartige Akteure schnell bestimmte Personen nachschauen und sämtliche gestohlene zugehörige Daten wie Passwörter, Adressen, Telefonnummern und mehr ansehen können.

2. Leaked.Domains

Als neuer Akteur auf dem Schwarzmarkt für Datenbank-Zusammenstellungen verfolgt Leaked.Domains einen etwas anderen Ansatz und organisiert seine Daten nach speziellen Datenlecks von Websites. Kriminelle können nach einer bestimmten Domäne suchen und sämtliche zugehörige Daten sehen, die von dieser Website gehackt wurden, was es einfach macht, gezielt Nutzer von bestimmten Diensten anzugreifen.

So gefährden gestohlene Daten Unternehmen

Nach diesem Blick in den Lebenszyklus gestohlener Daten bleibt vielleicht die Frage: Wie kann nun eigentlich ein Haufen gehackter Passwörter und persönlicher Daten einem Unternehmen schaden? Betrachten wir dazu ein hypothetisches Beispiel:

Nehmen wir an, wir wären ein Hacker, der ein großes Fortune-500-Telekommunikationsunternehmen angreifen will. Das Erste, das wir tun könnten, ist, bei mehreren Anbietern von Datenbank-Zusammenstellungen nach zugehörigen Accounts zu suchen. Nachdem wir ein wenig Guthaben investiert haben, entdecken wir Hunderttausende von Treffern: E-Mail-Adressen, Passwörter und weitere persönliche Daten, die mit Mitarbeitern und Nutzern des Unternehmens in Verbindung stehen.

All diese Daten könnten wir nehmen und in eine Tabelle packen, um sie für Angriffszwecke zu analysieren. In vielen Fällen ist sich das gehackte Unternehmen möglicherweise nicht einmal bewusst, dass solche sensiblen Daten öffentlich zugänglich sind, was uns einen erheblichen Vorteil verschafft.

Eine offensichtliche Taktik wäre nun, einfach die kompromittierten Passwörter zu testen und zu sehen, ob wir uns mit einigen von ihnen tatsächlich in Mitarbeiter-Accounts einloggen können. Menschen sind Gewohnheitstiere und obwohl sie es eigentlich besser wissen, verwenden viele Menschen dieselben Passwörter für mehrere Dienste. Ein einziger Mitarbeiter, der dies tut, genügt bereits, um uns ein Standbein im Unternehmen zu verschaffen.

Doch selbst wenn keines der Passwörter funktionieren sollte, haben wir nun einen Schatz an potenziell nützlichen Informationen griffbereit. Vielleicht entdecken wir in den Datenleckdaten die IP-Adresse oder Telefonnummer eines Mitarbeiters. Nun können wir in allen anderen gestohlenen Datenbanken nach genau dieser einen Information suchen und nach weiteren Accounts Ausschau halten, die mit diesen persönlichen Daten in Zusammenhang stehen.

Finden wir beispielsweise die Privatadresse des Mitarbeiters in Verbindung mit einem Account in einem beliebigen Forum und auch dieses Forum wurde gehackt, so haben wir nun möglicherweise Zugriff auf eine weitere Reihe von Passwörtern, die wir beim Mitarbeiterkonto ausprobieren können. Oder wir können diese Details, die wir gesammelt haben, dazu nutzen, eine äußerst überzeugende Phishing-E-Mail oder andere Social-Engineering-Masche zu entwickeln und den Mitarbeiter dazu verleiten, uns direkt Zugriff zu verschaffen.

Stück für Stück können wir Profile und Dossiers zu unseren Zielpersonen im Unternehmen aufbauen und ein mögliches Standbein im Unternehmen etablieren und unseren Zugriff ausweiten. Von dort aus können wir weitere Angriffe starten, um Server zu kompromittieren, Quellcode zu stehlen oder Schadsoftware im Netzwerk des Unternehmens zu platzieren. Und alles begann mit einer Sammlung aus gestohlenen Passwörtern und persönlichen Daten.

Vermeidung der Wiederverwendung von Passwörtern und Schutz Ihrer Accounts

Sobald Ihr Passwort einmal in das Dark Web gelangt ist, ist es für immer kompromittiert. Und durch die Anbieter von Datenbank-Zusammenstellungen können Hacker mühelos riesige Mengen von personenbezogenen Daten erwerben, um ihre Opfer gezielt anzugreifen. Der Schlüssel, um Sie und Ihr Unternehmen zu schützen, ist die Verwendung starker, einzigartiger Passwörter für jeden einzelnen Account.

Doch die Aufgabe, sich komplexe Passwörter für Dutzende von Accounts auszudenken und zu merken, schreckt Nutzer oft ab. An dieser Stelle kommt ein Passwort-Manager ins Spiel. Ein Passwort-Manager erzeugt und speichert starke Passwörter und füllt diese automatisch aus, wodurch es ganz einfach wird, für jeden Login einzigartige, schwer zu knackende Anmeldedaten zu nutzen.

Einer der besten Passwortmanager auf dem Markt ist NordPass, der von dem bewährten Team hinter NordVPN entwickelt wurde. NordPass bietet eine Reihe von Funktionen, die ihn zur idealen Wahl für den Schutz Ihrer Accounts machen, darunter die Erzeugung starker Passwörter, eine sichere Verschlüsselung und eine einfache Funktion zum automatischen Ausfüllen.

Mit einem Passwort-Manager wie diesem können Sie sicherstellen, dass jeder Ihre Accounts durch ein starkes, einzigartiges Passwort geschützt wird. Selbst wenn eines Ihrer Passwörter bei einem Datenleck kompromittiert werden sollte, bleiben Ihre übrigen Accounts nach wie vor sicher.

NordPass überwacht außerdem gehackte Datenbanken und warnt Sie, falls dabei Daten von Ihnen entdeckt werden. Diese Funktion zur Überwachung von Datenlecks ist ein integraler Bestandteil des Datenleck-Scanners, der die E-Mail-Adressen und Kreditkartendaten, die in Ihrem Nordpass-Konto gespeichert sind, proaktiv überwacht. Die App sendet präzise Benachrichtigungen, wenn Ihre gespeicherten Elemente bei einem Datenleck auftauchen.

Ein abschließender Tipp für die Identifizierung von potenziellen Datenlecks ist die Verwendung einer einzigartigen E-Mail-Alias-Adresse für die Anmeldung bei Onlinediensten. Durch Anhängen eines Zusatzes wie „+service“ an Ihre E-Mail-Adresse (z. B. [email protected]) können Sie für jeden Account eine andere Kennung erzeugen. Wenn an der speziellen Alias-Adresse zunehmend Spam ankommt oder diese in einer Datenleck-Datenbank erscheint, wissen Sie genau, welcher Dienst kompromittiert wurde.

Denken Sie daran, dass nicht alle Websites solche Alias-E-Mail-Adressen erlauben und ein versierter Angreifer die zugrundeliegende E-Mail-Adresse dennoch durch Entfernen des Bestandteils „+service“ identifizieren könnte. Doch es bleibt ein nützlicher Trick, um nachzuverfolgen, bei welchem Ihrer Accounts möglicherweise Daten kompromittiert wurden.

Als Inhaber eines Unternehmens können Sie die Verwendung eines Passwort-Managers verpflichtend machen. Eine kostenlose 3-monatige Testphase von NordPass Business erhalten Sie hier und Sie können noch heute loslegen. Nutzen Sie den Code „danielk“ – es ist keine Kreditkarte erforderlich.

Kostenlose 3-monatige Testphase von NordPass Business sichern

Keine Kreditkarte erforderlich. Nutzen Sie den Code DANIELK

Gratis testen

*Die Beispiele dienen ausschließlich Informations- und Aufklärungszwecken. Ihre Verwendung wird von NordPass weder empfohlen noch gefördert oder unterstützt und NordPass steht in keinerlei Verbindung mit ihnen. Lesern wird dringend geraten, alle geltenden Gesetze und Bestimmungen einzuhalten. Alle genannten Marken sind Eigentum ihrer jeweiligen Inhaber.