Credential-Stuffing

Cyberangriffsmethode zum massenhaften Ausprobieren gestohlener Zugangsdaten

Was ist Credential-Stuffing?

Credential-Stuffing ist eine automatisierte Angriffsmethode, bei der gestohlene Zugangsdaten – meist bestehend aus E-Mail-Adresse und Passwort – massenhaft auf unterschiedlichen Webseiten ausprobiert werden. Ziel ist es, Konten zu kapern, wenn Nutzer:innen dieselben Zugangsdaten mehrfach verwenden. Credential-Stuffing ist besonders effektiv, weil viele Menschen identische Logins für mehrere Online-Dienste verwenden. Die Methode wird oft im Rahmen größerer Cybercrime-Operationen eingesetzt und betrifft sowohl Einzelpersonen als auch Unternehmen. Sie steht in direktem Zusammenhang mit Datenlecks und dem Datenmissbrauch im Netz.

Merkmale / Typische Formen

• Automatisierte Login-Versuche mit Bots
• Nutzung zuvor geleakter Zugangsdaten
• Hohe Erfolgsquote bei Wiederverwendung von Passwörtern
• Zielseiten: E-Mail-Dienste, Online-Banking, Social Media-Konten, Streaming-Plattformen
• Oft verbunden mit weiteren Angriffen wie Account-Übernahme

Technische Merkmale

• Verwendung spezialisierter Tools und Proxy-Netzwerke zur Verschleierung
• Auswertung großer Passwortdatenbanken aus früheren Leaks
• Angriffe erfolgen meist in kurzen Intervallen, um Sperren zu vermeiden

Beispiele aus der Praxis

• Nutzer:innen erhalten Warnungen über verdächtige Login-Versuche in ihrem Instagram- oder Facebook-Konto, nachdem ihre Daten aus einem Leak missbraucht wurden.
• Ein gehacktes Netflix-Konto wird plötzlich in einem fremden Land genutzt – oft Folge eines Credential-Stuffing-Angriffs.
• In Telegram-Kanälen werden Datenbanken mit Millionen von Login-Kombinationen angeboten, die gezielt für diese Angriffe genutzt werden.
• Bei WhatsApp melden sich Dritte mit fremden Nummern an und übernehmen Konten, sofern zusätzlich kein Schutz durch Zwei-Faktor-Authentifizierung besteht.

Folgen / Auswirkungen

• Identitätsdiebstahl und unautorisierte Kontoübernahmen
• Verlust sensibler oder finanzieller Daten
• Vertrauensverlust in digitale Dienste
• Erheblicher Wirtschaftlicher Schaden für Unternehmen durch Missbrauch von Nutzerkonten
• Erhöhtes Risiko für weitere Phishing-Angriffe oder Social Engineering

Schutz & Empfehlungen

• Unterschiedliche und starke Passwörter für jeden Dienst nutzen
• Passwortmanager zur Verwaltung komplexer Logins einsetzen
• Zwei-Faktor-Authentifizierung überall aktivieren
• Zugangsdaten regelmäßig auf Seiten wie „Have I Been Pwned“ überprüfen
• Bei verdächtigen Aktivitäten sofort Passwörter ändern und Dienste kontaktieren
• Faktenchecks durch Portale wie `Mimikama` oder `andere Faktenchecker` nutzen, wenn gefälschte Warnungen kursieren

Häufige Irrtümer / Missverständnisse

• „Ich wurde gehackt, obwohl ich mein Passwort niemandem gegeben habe.“

 → In vielen Fällen stammen die Daten aus einem alten Datenleck – und nicht von einem direkten Angriff.

• „Solche Angriffe betreffen nur große Firmen.“

 → Auch Privatpersonen sind häufig betroffen, besonders wenn sie Passwörter mehrfach verwenden.

Weiterführende Links

• Weitere Artikel bei Mimikama zu Credential-Stuffing