Vorsicht, Trickbetrüger!

Wie Cyberkriminelle Ihre Zugangsdaten verwerten │05.07.2019

Credential Stuffing

Credential Stuffing tritt immer häufiger auf. Es handelt sich dabei um Cyberattacken, bei denen Anmeldedaten im Internet gestohlen und missbraucht werden. Lesen Sie hier, wie Sie sich und Ihre Daten vor solchen Angriffen schützen können:

Jeder, der sich im Internet bewegt, kennt das: Für jede Webseite, jeden Dienst und jede App muss ein eigener Benutzeraccount erstellt werden. Dadurch endet jeder sehr schnell bei einer hohen Anzahl von Accounts und verliert sehr leicht den Überblick. Identitätsdienste, wie "Log me in with Google/Facebook" können Ihnen dabei helfen den Überblick zu behalten. Sie lösen das Problem allerdings nur bedingt. Selbst wenn eine App nur getestet werden soll, endet es meistens mit einem neuen Benutzeraccount und schon wird wieder ein neues Passwort benötigt.

Was ist „Credential Stuffing“?

Ein einfaches Beispiel: Wenn Sie jetzt auf ihr Handy schauen, sehen Sie dort vermutlich viele Apps – das ist auch nicht schlimm. Sie sollten aber nicht vergessen, dass hinter jeder App auch ein Account steckt. Schon können Sie sich ausrechnen, wie viele Passwörter Sie alleine für die ganzen Apps benötigen. Fast jeder hat einen Account für den App-/Playstore, das Mailprogramm und diverse Social Media Accounts und das ist meist noch nicht alles. Schnell wird klar, in der heutigen Zeit muss sich jeder sehr viele Passwörter merken. Die Frage, die sich stellt: Wo ist das Problem? Das Problem liegt nicht am Passwort an sich, sondern daran, dass es sich jeder sehr einfach macht und liebgewonnen Passwörter mehrfach benutzt.
 
Wissenschaftlern des Hasso-Plattner-Instituts zufolge nutzen 20% der Personen dieselben Passwörter. Bei 27% der Nutzer war eine hohe Ähnlichkeit des Passworts festzustellen. Das Institut hat eine Milliarde Nutzerkonten analysiert und ausgewertet.
 
Schauen wir uns nun die „Databreaches“ (Datenschutzverletzungen) der letzten Jahre an, wird das Problem, in das wir uns hinein bewegen, sehr deutlich. Der Durchschnitt der entwendeten Accounts liegt pro Databreach im dreistelligen Million Bereich.
 
Es reicht heutzutage nicht mehr aus, auf die Top 10 der meist benutzten Passwörter, wie "123456" zu verzichten. Wir leben in einer Zeit, in der Databreaches benutzt werden, um Login-Versuche auf anderen Webseiten auszuprobieren. Es wird getestet, ob das Passwort, das herausgefunden wurde, auch auf diversen anderen Webseiten verwendet wird. Dieses Verfahren nennt sich "Credential Stuffing" und beschreibt im Grunde das automatisierte Ausprobieren von geleakten Account-Informationen bei verschieden Diensten. Es geschieht vollautomatisch durch die Angreifer.

Die Folgen sind beängstigend

Hier wieder ein einfaches Beispiel, nehmen wir an Sie haben bei allen Accounts das gleiche Passwort. Jetzt melden Sie sich auf einer beliebigen Seite an. Diese wird von Hackern angegriffen und die dort hinterlegte Benutzerdatenbank wird gestohlen. Die Hacker haben nun auch Zugriff auf andere Ihrer Accounts – beispielsweise Ihren Netflix Account – unschön, tut aber noch nicht weh. Wie sieht es mit Twitter, Instagram und Linkedin aus? Hier werden Ihre privaten Kontakte missbraucht und es kann für Sie zu einem Reputationsschaden kommen. Richtig schmerzhaft wird es vor allem dann, wenn nicht nur Ihr Google-Account mit allen Emails eingesehen wird, sondern auch alle Daten, die dort von Ihnen zu finden sind. Wir reden dann von Positionsdaten des Handys, der Fotos und allen anderen Daten, die Ihr Handy synchronisiert hat.
 
Durch eine einfache Nachlässigkeit kann Ihr ganzes digitales Leben für Fremde einsehbar sein. Halten Sie sich das am besten vor Augen. Es kann etwas Arbeit sein, alle Accounts aktualisieren, aber es lohnt sich.
Eine noch größere Gefahr besteht darin, dass die gehackten Daten für Erpresser Mails benutzt werden können. Anfang des Jahres waren viele dieser Vorfälle in den Medien vertreten.

Wie Sie sich schützen können

Für jede Webseite, jeden Dienst und jede App sollten Sie eigene Passwörter benutzen. Um sich nicht hunderte von Passwörtern merken zu müssen, sind Passwort-Manager, wie „Keepas“ und „LastPass“ sehr hilfreich. Für die wichtigsten Accounts ist es gut einen so genannten 2FA Login (Zwei Faktor Authentifizierung), in Form eines OTP-Token (One Time Password Token) zu aktiveren. Die 2FA bezeichnet den Identitätsnachweis durch zwei unterschiedliche und unabhängige Komponenten. Ein Beispiel dafür ist beim Geldabheben am Automaten die Karte und die PIN. Nur dann, wenn beide Faktoren zusammen eingesetzt werden, ist die Autorisierung erfolgreich. Ein OTP-Token erstellt für jede Anmeldung ein neues Einmalpasswort. Diese gibt es als USB-Token, als App und in vielen anderen Varianten.
Ist der Account durch dieses 2FA Login abgesichert, bekommt ein Angreifer keinen Zugriff auf den Account, auch wenn er den Benutzernamen und das Passwort kennt.
 
Zur Benutzung von Passwörtern gibt es übrigens ein gutes und einprägsames Sprichwort: "Passwörter sind wie Unterwäsche. Du darfst sie keinen sehen lassen, musst sie regelmäßig wechseln und solltest sie nicht mit Fremden tauschen." (Chris Pirillo)

Autor: ING


Ihre Meinung

Kommentare (33)


Kommentare

Kundenfreundlich

15.07.2019

Vielleicht sollte man die "kundenfreundlichen" Unternehmen ja mal anregen, kundenfreundlich zu sein: Ich denke, bei dem wunderbar kostengünstigen TAN-Generator dürfte es doch ein Widerrufsrecht geben. Also bestellen, zurückschicken, bestellen, zurückschicken, bestellen, zurückschicken ...


ING

15.07.2019

Hallo Elke, unseren photoTAN-Generator werden Sie schon bald direkt in Ihrem Internetbanking bestellen können. Ab wann genau, können wir Ihnen heute leider noch nicht beantworten. Und ja: Sollten Sie sich für die Banking to go App entscheiden, können Sie natürlich weiterhin alles am PC erledigen - und die App nur für den Log-in und die Freigaben nutzen. Viele Grüße, Ihr Social Media Team


@Datenklau und Sicherheit

14.07.2019

Über ihren Beitrag kann man nicht mal lachen. Die von Ihnen massive beworbenen McAfee Software sorgt dann beim nächsten Windows 10 Update oder Versionswechsel für massive Probleme ohne Ende. Und gefährliche Seiten brauchen man nicht extra aufsuchen: selbst Heise-Online hat schon über Werbekundenanzeigen schon Online den ganzen Bildschirm füllende Fake-Aufforderungen zu extrem dringend erforderlichen Sicherheitsupdate eingeblendet, womit man sich ein Gemisch aus Trojaner und Fernsteuersoftware installiert. Und z.B. Spiegel-Online hat über sein Webportal schon mal fast 2 Tage massiv Trojaner und andere Schadsoftware verbreitet.


Gerhard

13.07.2019

Tip: auf Youtube gehen und G5 eingeben, oder besser noch Gefahren von G5 eingeben und die Berichte von alternativen
( ehrlichen ) Medien anschauen, man bekommt dort sehr viele
Hintergrundinformationen.


Elke

12.07.2019

Europa entscheidet und die Leittragenden sind immer wieder die "Deppen", die nichts zu sagen haben. Nun gut jetzt wird umgestellt - Handy App kommt nicht in Frage. Also weiter am PC arbeiten bzw. am Laptop - wann kommt der Generator raus und wo kann man ihn bestellen? Selbst wenn ich mich doch entscheiden sollte auf die Handy App zurück zu greifen, kann ich dann noch Internet Banking am PC nutzen?


Andreas Seger

12.07.2019

Einfach beim Einschalten des PC das Gehirn "mit nehmen"....... achtsam sein ! Vor allem langsaaaaaahhm und vorsichtig. Nicht stressen lassen, nicht verführen lassen, denn dahinter verbirgt sich immer der Teufel.


Hans

12.07.2019

Wie soll man überall ein anderes Passwort haben, wenn man sich schon überall wo man sich mal bewegt mit Passwort, Nutzernamen etc. anmelden muss? Es immer andere Bedingungen gibt oder wie bei der ING - braucht man Kontonummer, Passwort, DiBa Key.
Wird voll Uferlos....jeder Shop verlangt eine Anmeldung, jede Bank, jeder weitere Dienst.....


ING

11.07.2019

Hallo dolce vita, hier finden Sie viele Hintergrundinformationen rund um das Thema PSD2/Sicherheit: www.ing.de/kundenservice/sicherheit/psd2/ Viele Grüße, Ihr Social Media Team


Datenklau und Sicherheit

11.07.2019

Also ich habe McAfee "Internet Total Protection" und habe keine Probleme. Funktioniert super und ist sehr übersichtlich und handlich.

Dazu besuche ich keine gefährlichen Seiten oder klicke auch keine Emails an die ich nicht kenne. Wenn ich keine Rechnung erwarte oder Werbung etc. dann lösche ich diese Emails gleich.
Und schon ist das Postfach fast leer und ich bin sicher.

Weiterhin lasse ich alles weg was geht...bis auf WhatsApp wegen der Freunde und Bekannte :-(
Keiner kann heute mehr telefonieren....


@ING *lach*

11.07.2019

Ihr habt nicht richtig gelesen was Elli geschrieben hat!!!
"Ich denke nicht daran, meine Bankgeschäfte auf mein Handy zu verlegen."

Und dann bietet Ihr Elli die Banking App an *lachweg*.

Jetzt wird der Hund in der Pfanne verrückt. Liest denn heut zu tage überhaupt noch jemand was Kunden wollen bzw. versteht jemand noch die Kunden?
Alles nur noch einheitliches wischi waschi Gequassel und antworten die vom Ziel voll abweichen!!!!
NOTE 6 !!!! SETZEN !!!!

Elli, ich steige von der Banking App auch um auf den TEUREN !!! ÜBERTEUERTEN photo TAN Generator um.
Die Banking App hatte in letzter Zeit zu viele Probleme...bin genervt.

Sonst läuft es bei der ING noch ganz gut.....aber wenn noch mehr umgestellt wird im negativen Sinne und Probleme auftauchen, werde ich mir eine andere Bank suchen.


ING

10.07.2019

Hallo Elli, vielleicht vorweg: Die Änderungen beim Freigabeverfahren und Log-in gemäß der PSD2 betreffen Sie nur, falls Sie auch ein Girokonto bei uns führen. Ist das der Fall, können Sie sich alternativ zur Banking to go App auch für das mTAN-Verfahren oder unseren photoTAN-Generator entscheiden. Weitere Informationen zu diesem Thema finden Sie übrigens hier: www.ing.de/kundenservice/sicherheit/psd2/ Viele Grüße, Ihr Social Media Team


Elli

10.07.2019

Ich denke nicht daran, meine Bankgeschäfte auf mein Handy zu verlegen. Das ist alles zu unsicher. Da wechsele ich lieber zu einer Bank, die noch andere Optionen bietet.


ING

10.07.2019

Hallo Karlos, wir geben Ihren Kommentar gern an unsere Kollegen weiter. In diesem Jahr werden wir aber mit unserem eigenen photoTAN-Generator starten, da bei diesem Gerät in großem Maß Aspekte wie die Integrierbarkeit in bestehende Systeme und länderübergreifende Entwicklungen mit unseren europäischen ING-Kollegen eingeflossen sind. Viele Grüße, Ihr Social Media Team


Bertram

10.07.2019

Gesehene Umfrage:
53% der deutschen sind immer noch für Bargeld und sicherlich wurden weitere 30% die Bargeld wollen gar nicht gefragt.


Karlos

10.07.2019

Wieso bekommt nicht jeder für Tablet, Pc, Smartphone ein Gerät mit USB Stecker, in das der Personalausweis (mit Chip) eingesteckt wird und zusätzlich noch ein Pin Code. Das wäre das sicherste. Man bräuchte erst einmal den Personalausweis und dann auch noch den Pin Code.

@ING
Warum habt Ihr so was nicht gemacht? Wäre doch sicher günstiger oder ist der Personalausweis noch nicht so weit?
Dann hätte man doch Photo Scan einbauen können, bei dem der Ausweis gescannt wird.


dolce vita

09.07.2019

Ist Banking to go, wirklich sicherer als mit iTAN? Sind schon Studien durchgeführt worden? Wenn ja, wo sind die Ergebnisse?


Konfuzius

09.07.2019

Konfuzius sagt: Eine Einsicht, die nicht zur Tat wird, ist keine Einsicht.
Wer vor Datendiebstahl und -manipulation warnt, aber immer mehr auf Datensammeln und -anhäufen setzt, darf der ernst genommen werden?


Jan Müller

09.07.2019

Ich zahle nur mit Überweisungen, Lastschriften, Bargeld, VISA (in Notfällen oder ab und an im Internet) - sonst nur zum Geld abheben an allen Automaten.

Weg mit ApplePay, GoogelPay, AliPay, Amazon Pay, Facebook Libra und den ganzen Müll.....das trifft alle die es verwenden bald wie ein Bumerang und dann schreien, die Bank soll das fehlende Geld ersetzen...da warte ich heute schon darauf, wird nicht mehr lange dauern bis der KNALL kommt.


Gerd Eismann

09.07.2019

zahle nur mit Bargeld


Klaus

09.07.2019

@ING ja ich weiß, das Smartphone wollt ihr mir als zweiten Faktor verkaufen - in meinen Augen ist das für Banking auf dem Smartphone selbst aber eben kein zweiter Faktor. Da könnte man auch gleich ne Browser-ID am Rechner zum zweiten Faktor erklären, TANs komplett abschaffen und dieses Browser-Banking mit einem 5stelligen Passwort aus Zahlen "absichern". Und genau so sicher ist eure App!


deutscher Michel

09.07.2019

Zum Thema Sicherheit bei Push-TAN kann ich nur noch lachen: einer der Mitglieder des CCC hat bereits 2 mal öffentlich vorgeführt, dass die Apps für Push-TAN alle keine Sicherheit haben. Zuerst hat er das mit einer älteren Version von so einer App vorgeführt und dann mit der aktuellsten Version der App.
https://www.spiegel.de/netzwelt/web/pushtan-bei-sparkasse-hacker-greift-online-banking-app-an-a-1069681.html
Alles auf einem Gerät zu erledigen --- genau das gilt nämlich als unsicher. Und bisher war die i-TAN-Liste sozusagen das 2. Gerät.


Vergessen

08.07.2019

Eine ganz wichtige Möglichkeit, sich vor solchen Attacken zu schützen, wurde wohlweislich nicht erwähnt: Papierlisten für TAN müssen immer noch durch einen realen Einbruch in mein Haus geklaut werden und sind nicht durch Manipulation von Handys oder TAN-Generatoren von jedem Ort der Welt aus beschaffbar. Aber das versteht ja niemand.


ING

08.07.2019

Hallo Annegret, melden Sie sich direkt in der App an, entfällt eine zusätzliche Bestätigung, da unsere App bereits jetzt alle Anforderungen von PSD2 erfüllt (durch die Bindung ans Gerät und die mobilePIN bzw. Touch/FaceID). Falls Sie dennoch auf das mTAN-Verfahren umstellen möchten, finden Sie die Möglichkeit im Internetbanking unter Service > Sicherheit > Freigabe- / TAN-Verfahren. Viele Grüße, Ihr Social Media Team


Bernd

08.07.2019

Datendiebstahl ist ein solches Alltagsphänomen geworden, dass über den Verlust und Mißbrauch von einigen Hundertausend Datensätzen mit sensiblen oder gar personenbezogenen Daten schon gar nicht mehr berichtet wird. Wenn wir eines gelernt haben in den vergangenen Jahren, dann ist es, dass es so etwas wie Datensicherheit gar nicht gibt.
Und Datenschutz gibt es schon gar nicht. Wir haben zwar ein strenges Datenschutzgesetz und eine europäische Datenschutz-Grundverordnung, aber diese Regularien werden ja nicht durchgesetzt. Wer dagegen verstößt, muss also in der Regel nicht damit rechnen, eine Strafe zu bekommen. Und deshalb kümmert sich auch keiner darum.
Ich war früher selbst begeistert von allen möglichen technischen Neuigkeiten und war immer einer der ersten, der diese Dinge genutzt haben. Der von Edward Snowden aufgedeckte Überwachungsskandal hat mich veranlasst, mal zu recherchieren, wer wo was mit meinen Daten macht. Und seither zahle ich wieder bar, kaufe mir wieder Zeitungen aus Papier und versuche digitale Lösungen zu meiden wo ich nur kann.


ING

08.07.2019

Hallo Klaus, wenn Sie Ihre Konten in der Banking to go App führen, ist dort ist der 2. Faktor bereits integriert. Nämlich zum einen die mobilePIN bzw. Touch/FaceID, zum anderen der Besitz des Geräts. Viele Grüße, Ihr Social Media Team


Abwehr Cyberangriffe....

08.07.2019

Kein WhatsApp
Kein Facebook
Kein Instagram
Keine Fintechs -> Nur normales Bankverhalten: Onlinebanking mit iTAN
wäre am besten - Generator geht auch. Überweisung,
Lastschriften, Bankkarte, BARGELD - wenig
Kreditkarte.
Nichts über Amazon kaufen.

Besonders:
Kein ApplePay.
Kein AmazonPay
Kein GooglePay.
Kein WuweiPay (oder so ähnlich aus China).
Kein Libra von Facebook.
Kein Bitcoin & Co.

Etc. etc. etc.
Man muss nicht alle Trends und High-Techs mitmachen....Technik wird immer anfälliger!!!!
Ich habe z.B. einen schönen Ofen, mit Programmen, digital, flache Knöpfe....wenn neu; alles super. Aber jetzt!
Einstellen geht nicht mehr oder spinnt rum. Sieht so aus, als ob ich mir einen neuen kaufen muss. Am besten einen alten mit Drehknöpfen und am besten auch nicht versenkbar (Feder leiert aus oder bricht, dann bleibt der Knopf drin bzw. hängt draußen).


Annegret

08.07.2019

Ich habe auch gerade Ihre Bemerkungen übr Datensicherheit gelesen und habe vielfach Zwei Faktor Authentifizierung und bisher war das beim Online Banking Ihrer Bank ja auch. Aber jetzt mit der neuen APP genügt eine einfache 5-stellige Pin um Bankgeschäfte zu erledigen. Das halte ich nicht für sicher und hätte gern auf die mTan umgestellt - aber die Möglichkeit ist im Service nicht zu finden. Unmöglich. Und für das hab ich mit extra ein neues Smartphone gekauft. Machen Sie weiter so, dann seh ich mich gezwungen die Bank zu wechseln.


HENNING

07.07.2019

Man glaubt es kaum: Da wird vor dem unsicheren Handy gewarnt, da wird um die Wette gehackt und nun soll das alles plötzlich nicht mehr wahr sein? Ein stationärer PC scheint mi mit seinen vielfachen Sicherheitsmaßnahmen sehr viel sicherer als das Handy. Man darf gespannt sein, was sich die europäische Superregierung als nächstes einfallen lässt.


Virginia

07.07.2019

Ich habe , für mich, eine sehr wichtige Frage.
Ich habe einen PC (oder Desctop?) und einen Laptop.
Internetbanking per Smartfon kommt nicht in Frage, weil, meiner Meinung nach, der Smartfon ist noch unsicherer als der Computer.
Wie, wo wird meine Fingerabdruck gelesen?
Kann mir jemand die Frage beantworten?


Klaus

06.07.2019

2FA überall wäre echt super. Bei eurer App reicht allerdings ne 5-stellige PIN. Kein kryptisches Passwort, kein zweiter Faktor, nix. Nur eine blöde 5-stellige PIN!


Thomas

06.07.2019

Benutze Passwortmanager (1Password).Das hat mi h überzeugt,diegenerierten Passwörter je Appkönnte ich mir gar nicht ausdenken,geschweige denn maile.
Aber eines ist auch klar:
Absolute Sicherheit gibts nicht,aber zumindest kann Mann/Frau es erschweren.
Wenn ich sehe,welche Passwörter meine ArbeitskollegEnInnen benutzen,ojeoje....


Holger

05.07.2019

Ich fasse es nicht! Wollt ihr uns Kunden auf den Arm, nehmen - mit diesem Artikel? Die Gefahr, lese ich da, dass meine Passwörter gehackt werden, egal wo und wie, auch bei Apps, ist riesengroß! Databreches, Credential Stuffing - vieles geschieht automatisch. Wie? Ihre Super-App ist sicher? Dank 2FA-Login, OTP-Token etc. etc.. Na dann bin ich super beruhigt! Dann downloade ich sofort eure Super-App. Bei euch passiert ja nichts.


Dieter

05.07.2019

Bitte was nützt die größte Vorsicht, wenn die Hacker die Kundendatenbank mit der E-Mail-Adresse und dem benutzten Passwort erbeuten? Arcor hat es zwar 2006 geleugnet, aber die Beweise waren umfangreich.
Und was nützt die größte Vorsicht, wenn angeblich spezialisierte IT-Serviceunternehmen nach einem geglückten und entdeckten Angriff, bei dem betroffenen Kunden eine ebenfalls schon ferngesteuerte Datensicherung einspielen? Erlebt 1999 bei einem Autohaus und einer Psychologin - der damals die massenhafte Verbreitung von Patientengesprächsprotokollen die Zulassung als Ärztin kostete.
Das wir uns recht verstehen: irgendwann wird jeder gehackt, denn absolute Sicherheit die gibt es nicht.