Donnerstag, 11. August 2022

Illegale Kontenübernahmen: Massive Verluste durch Credential Stuffing im Online-Glücksspiel-Sektor

Schloss an Kette liegt auf Comutertastatur Beim Credential Stuffing übernehmen Kriminelle illegal Nutzerkonten (Quelle: unsplash.com/FLY:D)

Online-Glücksspiel-Betreiber verzeichnen hohe Verluste aufgrund von Cyberangriffen durch das sogenannte Credential Stuffing. Dies zeigt eine vom Schweizer Sicherheitsdienstleister Nevis in Auftrag gegebene Studie.

Für diese untersuchte die Strategieberatung Aberdeen zehn ausgewählte B2C-Kategorien im EMEA-Raum. Allein im Glücksspiel-Sektor sollen illegalen Kontoübernahmen zu Umsatzverlusten von teils über 8 % führen.

Cyber-Angriffe belasten Glücksspiel-Sektor

Cyber-Kriminelle verfügen über eine Vielzahl von Instrumenten, um an ihre Ziele zu gelangen. Eines hiervon ist das sogenannte Credential Stuffing. Hierbei werden im großen Stil Zugangsdaten abgefischt und Kunden-Online-Konten übernommen.

Das Schweizer Unternehmen Nevis erklärt zu dieser besonderen Form des Cyberangriffs in einer in dieser Woche veröffentlichten Pressemeldung:

Für die Angreifer ist Credential Stuffing derzeit eine gleich in mehrfacher Hinsicht attraktive Methode: Erstens lassen sich im Darknet leicht Listen mit Anmeldeinformationen beschaffen, die durch Datenpannen oder Hacks an die Öffentlichkeit gelangt sind. Zweitens sind für alle Geschäftsbeziehungen, die auf digitalen Konten basieren, digitale Anmeldeinformationen notwendig – sie sind also, sofern keine zusätzlichen Sicherheitsmaßnahmen getroffen wurden, durch Brute-Force-Angriffe wie das Credential Stuffing verwundbar. Zum dritten sind die Angriffe leicht automatisierbar: Die Täter müssen dafür nicht zwingend über Programmierkenntnisse verfügen, sondern können die benötigten Programme nach dem Software-as-a-Service-Prinzip im Darknet mieten.

Auch der Online-Glücksspiel-Sektor werde immer wieder zum Ziel derartiger Angriffe. Jüngsten Erkenntnissen der von Nevis beauftragten Unternehmensberatung Aberdeen zufolge soll die aufgrund strenger Vorgaben besonders auf Sicherheit bedachte Branche herbe Schäden durch Credential Stuffing erleiden.

So führten die illegalen Konto-Übernahmen zu direkten Umsatzverlusten, die die Analysten von 5,02 % bis zu 8,2 % beziffern.

Dreiviertel der Befragten von Credential Stuffing betroffen

Laut Nevis zeichne die Aberdeen-Studie branchenübergreifend beunruhigendes Bild. So hätten 76 % aller befragten Unternehmen angegeben, dass Kunden in den vergangenen 12 Monaten Opfer von Credential Stuffing geworden seien.

In seinem Bericht Quantifying the Impact of Credential Stuffing and Account Takeovers Across 10 Industries (dt. Quantifizierung der Auswirkungen von Credential Stuffing und Kontenübernahmen in zehn Branchen) hatte Aberdeen neben dem Online-Glücksspiel neun weitere Sektoren unter die Lupe genommen.

Darunter Finanzdienstleister wie Geschäftsbanken und Kreditgenossenschaften, Sach- und Unfallversicherungen, Anbieter von Unterhaltungselektronik oder Gesundheitsfürsorgeleistungen sowie Telekommunikationsunternehmen und Energieversorger. Die befragten Unternehmen seien über den EMEA-Wirtschaftraum (Europa-Arabien-Afrika) verteilt gewesen.

Besonders betroffen seien Fintechs, bei denen sich der finanzielle Schaden der einschlägigen Angriffe teils bis auf 8,96 % der Umsätze summiere. Es folge der Online-Glücksspiel-Sektor. Auch diverse Gesundheitsdienstleister und Geschäftsbanken verbuchten Umsatzverluste von über 5 % durch Credential Stuffing.

Laut Aberdeen nutzten die Cyber-Kriminellen die illegal erworbenen Zugangsdaten meist für betrügerische Transaktionen (39 %). Zu 34 % würden mit den sensiblen Daten neue Konten erstellt. Ebenfalls 34 % der Aktionen führten zu fehlerhaften Ablehnungen von Kartenzahlungen.

An der Tagesordnung seien auch Rückbelastungen, Geld- oder Krypto-Transfers, betrügerische Einkäufe sowie der Diebstahl digitaler Inhalte oder Dienstleistungen.

Dienstleister rät zu sicheren Zugangsverfahren

Der Sicherheitsdienstleister Nevis weist darauf hin, dass die direkten Schäden nur einen Teil der Folge der Credential-Stuffing-Bedrohung ausmachten. So drohe Anbietern zudem bei Verstärkung ihrer Sicherheitsmaßnahmen ein Rückgang der Nutzer. Diese fühlten sich hierdurch oft abgeschreckt und wechselten deshalb zu Mitbewerbern.

Um den Gefahren des Credential Stuffing adäquat zu begegnen, sei die großflächige Einführung sicherer Verfahren notwendig. Ein Beispiel hierfür sei die Multi-Faktor-Authentifizierung.

Handy mit Schlossymbol auf Display

Experten raten Unternehmen zu Lösungen wie der Multi-Faktor-Authentifizierung (Quelle: unsplash.com/Franck)

Unternehmen, die bei scheinbar zu komplexen Verfahren einen User-Schwund fürchteten, könnten alternativ auf passwortlose Ansätze zurückgreifen. Diese präsentierten sich oft sowohl benutzerfreundlich als auch für die Anbieter kosteneffizient.

Erst wenn sich die Mehrzahl der Unternehmen für die Umstellung ihrer Nutzerkonten auf derartige Verfahren entscheide, so das Fazit des Dienstleisters, könne das bislang äußerst „lukrative Geschäftsmodell“ des Credential Stuffing „verschwinden“.