Kontoübernahme

Kontoübernahme (engl. Account Takeover, ATO) ist eine Form von Identitätsdiebstahl und Betrug (engl. Fraud), bei dem sich ein böswilliger Dritter erfolgreich die Anmeldedaten eines fremden Kontos beschafft und so auf selbiges zugreift.

Indem sie sich als der echte Benutzer ausgeben, können Cyberkriminelle Kontodaten ändern, Phishing-E-Mails versenden, Finanzinformationen oder sensible Daten stehlen oder gestohlene Informationen verwenden, um auf weitere Konten innerhalb der Organisation zuzugreifen.

Während die Verbreitung der digitalen Kommunikation alle Mitarbeiter anfällig für die Übernahme von Konten gemacht hat, (in einer aktuellen Studie von Javelin wurde berichtet, dass mehr als 13 Milliarden $ an Verlusten im Zusammenhang mit ATO allein im Jahr 2023 entstanden waren), sind die am stärksten gefährdeten Abteilungen die IT, das Personalwesen und das höhere Management. Diese Teams haben direkten Zugriff auf sensible Daten, Finanzinformationen und die Sicherheitsinfrastruktur.

Die Angreifer unterscheiden dabei nicht zwischen Größe, Branche oder Standort von Unternehmen. Traditionell haben Angreifer in erster Linie größere Organisationen ins Visier genommen, aber die zunehmende Allgegenwart digitaler Informationen und die Leichtigkeit, mit der illegale Sicherheitstechnologie verbreitet werden kann, führen dazu, dass das klassische „Sicherheitsnetz“ kleiner Unternehmen nicht mehr der Realität entspricht. Tatsächlich können kleinere Unternehmen ein attraktiveres Ziel sein als größere Konzerne, da sie manchmal weniger wachsam sind, wenn es um ungewöhnliche Aktivitäten bei der Anmeldung, Kontoerstellung oder dem Zurücksetzen von Passwörtern geht. Das bedeutet, dass es für alle Unternehmen wichtig ist, proaktiv zu sein, um folgenschwere Kontoübernahmen zu verhindern.

Das Wachstum der digitalen Kommunikation und Datenspeicherung bedeutet, dass Cyberkriminelle mehr Einstiegspunkte haben, wenn sie versuchen, auf die persönlichen Daten der Benutzer zuzugreifen. Und da nicht immer sorgfältig darauf geachtet wird, sichere Passwörter zu verwenden, brauchen Cyberkriminelle keine hochsensiblen Informationen, um sich erfolgreich Zugang zu einem Konto zu verschaffen. Eine Analyse von NordPass aus dem Jahr 2023 ergab, dass die fünf am häufigsten verwendeten Passwörter eine Kombination aus fortlaufenden Zahlen (d. h. „123456“) oder einfach „admin“ waren. 

Angreifer suchen den einfachsten Einstiegspunkt und bauen von dort aus die Kontoübernahme auf. Der Ausgangspunkt können dabei alle persönlichen Daten sein, die man beim Anmelden benutzt: E-Mail-Adresse, voller Name, Geburtsdatum, Wohnort – alle diese Informationen lassen sich mit minimalem Aufwand recherchieren.

Hat ein Hacker dann den Hauptkommunikationskanal eines Benutzers in seiner Gewalt, kann er sämtliche Einstellungen ändern, auf die ihm das Konto Zugriff verschafft, wie Sicherheitsfragen, Passwörter, Verschlüsselungseinstellungen und Benutzernamen. Wenn der tatsächliche Benutzer eines übernommenen Kontos dann versucht das Problem zu beheben, kann er durch so eine komplette Aussperrung wiederum verdächtig wirken, da er die aktualisierten Informationen für das Konto nicht kennt.

Malware

Hacker verwenden Malware für die Übernahme von Konten, indem sie verschiedene Arten von Schadsoftware einsetzen, die das Gerät oder Netzwerk eines Benutzers infiltrieren. Diese Malware kann die Form von Keyloggern haben, die Tastatureingaben aufzeichnen, von Spyware, die Benutzeraktivitäten überwacht, oder von komplexeren Programmen, die den Netzwerkverkehr abfangen. Sobald die Malware installiert ist, sammelt sie vertrauliche Informationen wie z. B. Anmeldedaten, indem sie diese entweder direkt bei der Eingabe abfängt, von gespeicherten Orten stiehlt oder während der Übertragung abfängt.

Phishing

Eine der 13 beliebtesten Arten von E-Mail-Bedrohungen ist Phishing. Dabei nutzen Cyberkriminelle E-Mail-Korrespondenz, um Benutzer dazu zu bringen, ihre persönlichen Daten per E-Mail preiszugeben. Während Phishing-E-Mails automatisiert werden können und leichter zu erkennen sind, sind Spear-Phishing-E-Mails äußerst gezielt und meist täuschend echt.

Credential-Stuffing

Bei dieser Technik wird die Angewohnheit ausgenutzt, die gleichen Passwörter mehrmals zu verwenden. Cyberkriminelle beschaffen sich Zugangsdaten, die von verschiedenen Unternehmen gestohlen oder durchgesickert sind (oder im Dark Web gekauft wurden). Dann testen sie diese Anmeldedaten auf mehreren Websites in der Hoffnung, Fälle zu finden, in denen ein Opfer dieselben Anmeldedaten für mehrere Konten verwendet.

Cookies

Hacker verwenden Cookies für die Übernahme von Konten, indem sie Sitzungscookies ausnutzen. Das sind kleine Daten, die auf dem Gerät eines Benutzers gespeichert werden, um den eingeloggten Zustand auf Websites beizubehalten.

Wenn sich ein Benutzer bei einer Website anmeldet, generiert der Server ein Sitzungscookie, das im Browser des Benutzers gespeichert wird. Hacker können diese Cookies mit verschiedenen Methoden stehlen, wie Cross-Site Scripting-(XSS)-Angriffe und das Einschleusen bösartiger Skripte in Webseiten, die Cookies erfassen, wenn Benutzer die Seite besuchen. Eine andere Methode sind Man-in-the-Middle-(MitM-)Angriffe, mit denen Hacker Cookies während der Übertragung über ungesicherte Netzwerke abfangen und stehlen.

Sobald der Hacker den Sitzungs-Cookie erhalten hat, kann er sich als der Benutzer ausgeben, indem er den gestohlenen Cookie in den Browser des Benutzers einschleust und sich so Zugriff auf das Benutzerkonto verschafft, ohne die tatsächlichen Zugangsdaten zu kennen. Dadurch kann er Aktionen durchführen, als ob er der rechtmäßige Benutzer wäre, was zu Datendiebstahl, Fraud und anderen bösartigen Aktivitäten führen kann.

Sicherheitslücken in der Anwendung

Hacker nutzen Schwachstellen in Anwendungen aus, um Konten zu übernehmen, indem sie auf Schwachstellen in Web-Applikation und den zugrunde liegenden Systemen abzielen. Zu den gängigen Techniken gehören SQL-Injection, um die Authentifizierung zu umgehen und direkt aus Datenbanken auf Benutzerdaten zuzugreifen, XSS, um Sitzungstoken zu stehlen, und die Ausnutzung defekter Authentifizierungsmechanismen, um Passwörter zu erraten oder Brute-Force-Angriffe durchzuführen. Sie können auch unsichere direkte Objektverweise, Sicherheitsfehlkonfigurationen, unzureichende Eingabeüberprüfung und API-Schwachstellen ausnutzen.

Mit diesen Methoden können Angreifer normale Sicherheitsmaßnahmen umgehen, Zugangsdaten stehlen, Kontodaten manipulieren oder unbefugten Zugriff auf Benutzerkonten erlangen. Das ultimative Ziel ist es, die Kontrolle über legitime Benutzerkonten zu übernehmen, was Datendiebstahl, Finanzbetrug und anderen böswilligen Handlungen Tür und Tor öffnet.

Botnets

Hacker setzen Bots ein, um die Konten von Kunden zu hacken. Diese Bots können häufig verwendete Passwörter und Benutzernamen eingeben, um umfangreiche, schnelle Angriffe durchzuführen und die maximale Anzahl von Konten zu übernehmen – und das alles bleibt erst einmal weitgehend unbemerkt. Da Bots von mehreren Orten aus agieren, ist es schwieriger, Anmeldungen von böswilligen IP-Adressen zu identifizieren.

Social Engineering

Bei Social-Engineering-Angriffen recherchieren die Täter in öffentlichen Datenbanken und sozialen Medien nach Informationen wie Name, Standort, Telefonnummer oder Namen von Familienmitgliedern – alles, was ihnen helfen kann, ein Passwort zu erraten.

Die meisten Kontoübernahmeangriffe zielen auf den Zugriff auf sensible Daten und Finanzinformationen ab. Daher ist es wichtig, dass Abteilungen wie IT, Personalwesen und Management sich der Risiken bewusst sind, die mit ihren Aufgaben verbunden sind.

• Die IT-Abteilung ist für die technische Infrastruktur zuständig, dazu gehören auch die Sicherheit und das Datenmanagement – ein kompromittiertes IT-Konto kann zu einem kompromittierten Netzwerk oder einem folgenschweren Datendiebstahl führen.
• Die Personalabteilung hat Zugang zu sensiblen Mitarbeiterdaten und ist für die Verwaltung von Gehaltsabrechnungen und anderen Finanzdaten zuständig, die für Cyberkriminelle von großem Wert sind.
• Führungskräfte haben Zugriff auf und Kontrolle über wesentliche Bereiche einer Organisation – unerlaubte Zugriffe auf ihre Konten können zu Finanzbetrug oder Datendiebstahl führen.

Beliebte Ziele für Kontoübernahmen

Hier ein detaillierterer Blick auf die Arten von Unternehmen, bei denen das Risiko einer Kontoübernahme besteht:

Kleine und mittlere Unternehmen (KMU)

KMUs können aufgrund ihrer einzigartigen Schwachstellen Hauptziele für Kontoübernahmeangriffe sein. Diese Organisationen verfügen in der Regel über weniger Cybersicherheitsressourcen und verfügen möglicherweise nicht über das technische Fachwissen, um robuste Sicherheitsmaßnahmen umzusetzen, und 51 % der kleinen Unternehmen ergreifen überhaupt keine Cybersicherheitsmaßnahmen.

Sie nutzen oft mehrere Online-Plattformen für verschiedene Geschäftsvorgänge und schaffen damit eine größere Angriffsfläche für Cyberkriminelle.

Finanzinstitute

Banken, Kreditgenossenschaften und andere Finanzinstitute sind begehrte Ziele für Kontoübernahme-Angriffe. Sie verfügen über große Mengen sensibler persönlicher und finanzieller Daten ihrer Kunden, was erfolgreiche Einbrüche äußerst lukrativ macht.

Kleinere regionale Banken können besonders gefährdet sein, wenn sie über veraltete Sicherheitsmaßnahmen verfügen. Darüber hinaus können die strengen regulatorischen Anforderungen, die sie einhalten müssen, manchmal Schwachstellen in Bezug auf die Einhaltung von Vorschriften schaffen, die Angreifer ausnutzen können, da die Aufsichtsbehörden möglicherweise Zugang zu den Daten benötigen, um die Management- und Schutzpraktiken zu bewerten.

E-Commerce-Websites

E-Commerce-Plattformen sind häufig Ziel von Angriffen (64 % der Cyberangriffe), da dort wertvolle Kundendaten wie Namen, Adressen und Zahlungsinformationen gespeichert sind. Auf diesen Websites werden große Mengen an Transaktionen abgewickelt, so dass Angreifer eine große Anzahl potenzieller Ziele vorfinden.

Viele Kunden verwenden ihre Passwörter für mehrere Konten und erhöhen damit das Risiko einer weit verbreiteten Kontoübernahme, wenn eine Website angegriffen wird. E-Commerce-Websites sind besonders anfällig während der Haupteinkaufszeiten, wenn ein hohes Verkehrsaufkommen bösartige Aktivitäten verschleiern kann.

E-Commerce-Geschäfte sind auch anfällig für herkömmliche Betrugsmethoden im Einzelhandel, wie z. B. unbefugte Einkäufe und Geschenkkartenbetrug durch kompromittierte Konten. Kundenkonten in diesem Sektor werden häufig im Dark Web verkauft, wodurch Cyberkriminelle Zugang zu persönlichen Informationen und gespeicherten Zahlungsdaten erhalten.

Medien- und Unterhaltungsbranche

Angreifer haben es häufig auf den Medien- und Unterhaltungssektor abgesehen. Beispielsweise wurde bei jedem zehnten Opfer das Streaming-Konto gehackt. Cyberkriminelle können gestohlene Anmeldeinformationen verkaufen und so unbefugten Zugriff auf diese Dienste ermöglichen. Dies führt nicht nur zu finanziellen Verlusten für die Unternehmen, sondern verschlechtert auch das Benutzererlebnis für legitime Kunden.

Gastgewerbe

Hotels, Fluggesellschaften und andere Unternehmen des Hotel- und Gaststättengewerbes werden häufig wegen ihrer Treueprogrammkonten und Prämienguthaben angegriffen. Diese Konten enthalten oft wertvolle persönliche Informationen, die Angreifer für Identitätsdiebstahl oder Betrug ausnutzen können. Darüber hinaus kann es aufgrund der flüchtigen Natur von Gastgewerbedienstleistungen schwierig sein, Kontoübernahmen schnell zu erkennen und darauf zu reagieren.

Sportbranche

Sportorganisationen sind im Besitz sensibler Informationen, wie z. B. Verhandlungen mit Athleten und medizinische Daten, was sie zu attraktiven Zielen macht. Geistiges Eigentum und Strategiedokumente können in dieser Branche äußerst wertvoll sein, da sie möglicherweise den Ausgang von Spielen beeinflussen oder Insiderinformationen für Wetten liefern.

Gaming-Branche

Die Gaming-Branche ist auf Zahlungsinformationen im Spiel und virtuelle Vermögenswerte ausgerichtet, die einen realen Geldwert haben können. Kompromittierte Spielerkonten werden auch häufig für Phishing-Betrügereien verwendet, die auf andere Spieler abzielen und das Vertrauen innerhalb von Gaming-Communities ausnutzen.

Technologieunternehmen

Technologieunternehmen sind aufgrund des wertvollen geistigen Eigentums und der Nutzerdaten, über die sie verfügen, besonders gefährdet. Der Zugriff auf ihre Systeme kann zu weitreichenden Sicherheitsverletzungen führen, die möglicherweise Millionen von Benutzern betreffen und erheblichen Reputationsschaden verursachen.

Gesundheitsorganisationen

Gesundheitseinrichtungen speichern hochsensible Krankenakten und persönliche Informationen und sind daher ein attraktives Ziel für Cyberkriminelle. Die strengen Vorschriften für diesen Sektor bedeuten, dass Verstöße schwere finanzielle Strafen und den Verlust des Vertrauens der Patienten zur Folge haben können.

Bildungseinrichtungen

Schulen und Universitäten verfügen oft über große Netzwerke mit unterschiedlichen Nutzern, was ihre Sicherung schwierig macht. Sie können wertvolle Forschungsdaten und Studenteninformationen enthalten, die für verschiedene bösartige Zwecke ausgenutzt werden können.

Staatliche Stellen

Regierungsorganisationen werden ins Visier genommen, um sensible Informationen und potenzielle Spionagemöglichkeiten zu erhalten. Verstöße in diesem Bereich können erhebliche Auswirkungen auf die nationale Sicherheit haben und können sowohl durch finanzielle als auch durch politische Faktoren motiviert sein.

Kryptowährungsbörsen

Diese Plattformen enthalten wertvolle digitale Vermögenswerte, die im Falle einer Kompromittierung schnell und anonym übertragen werden können. Aufgrund des hohen finanziellen Gewinnpotenzials sind sie häufig das Ziel hochentwickelter Cyberangriffe.

Die Kontoübernahme ist für einen Cyberkriminellen nicht grundsätzlich nützlich. Der Schaden entsteht, nachdem er sich Zugang verschafft hat. Diese Auswirkungen können sowohl Unternehmen als auch Einzelpersonen betreffen:

• Geschäft
  • Verkauf von Zugangsdaten: Einige Angreifer stehlen die Zugangsdaten von Mitarbeitern und verkaufen sie im Darknet.
  • Business Email Compromise: Ganz ausgeklügelte Angreifer stehlen die Anmeldedaten wichtiger Mitarbeiter und verwenden sie, um von der echten E-Mail-Adresse des Mitarbeiters aus einen Angriff zu starten, um eine betrügerische Transaktion oder einen Geldtransfer einzurichten.
  • Rufschädigung: Angriffe zum Account Takeover können auch auf die Endbenutzer einer Organisation abzielen und damit den Unternehmensruf hinsichtlich Sicherheit und Datenschutz schädigen.
  • Regulatorische Konsequenzen: Je nach Branche und Standort können Unternehmen mit Bußgeldern oder Strafen rechnen, wenn sie Kundendaten nicht ausreichend schützen.
  • Betriebliche Unterbrechungen: Die Bewältigung von ATO-Angriffen kann den normalen Geschäftsbetrieb stören, da Ressourcen abgezogen werden, um das Problem zu lösen.
• Einzelperson
  • Weitere Kontoübernahme: Einige Angreifer verwenden kompromittierte Konten, um Aufklärung zu betreiben und personalisierte Angriffe zu starten.
  • Phishing-Kampagnen: Einige Angreifer versuchen, über gehackte E-Mail-Konten Phishing-Kampagnen zu starten, die unentdeckt bleiben sollen.
  • Finanzielle Verluste: Opfer von Kontoübernahme-Betrug können direkte finanzielle Verluste erleiden, wenn die Angreifer ihre Konten für nicht autorisierte Käufe oder Überweisungen nutzen.
  • Identitätsdiebstahl: Persönliche Informationen, die mittels Betrug durch Kontoübernahme-Angriffe erlangt wurden, können für einen umfassenderen Identitätsdiebstahl verwendet werden, der sich auf mehrere Lebensbereiche einer Person auswirken kann.
  • Emotionale Belastung: Der Umgang mit den Folgen eines ATO-Angriffs kann für die Opfer belastend und zeitaufwändig sein.

Es gibt verschiedene Sicherheitsmaßnahmen, die Sie vor einer Kontoübernahme schützen:

• Sicherheitsfragen: Benutzer müssen nach erfolgreicher Eingabe des Passworts vorab festgelegte Fragen beantworten. Diese Maßnahme stellt eine grundlegende Form erhöhter Sicherheit dar und schützt mit einer höheren Wahrscheinlichkeit vor böswilligen Anmeldeversuchen.
• Zwei-Faktor-Authentifizierung (2FA): Durch Verknüpfen eines separaten Kontos, wie beispielsweise einer Telefonnummer oder einer alternativen E-Mail-Adresse, können Sie den Zugriff durch unerkannte Geräte bzw. IP-Adressen auf ein Konto einschränken – selbst wenn diese über das richtige Passwort verfügen.
• IP-Blockierlisten: Mehrere eingehende Anmeldeversuche von einer einzigen IP sind ein eindeutiges Zeichen dafür, dass jemand über einen Brute-Force-Angriff Passwörter zu erraten versucht oder mithilfe von gestohlenen Anmeldedaten Zugang zu Konten erlangen möchte. Das Führen einer robusten IP-Blockierliste kann diese Angriffe abschwächen.
• Begrenzung für die Anzahl von Anmeldeversuchen: Wenn die Anzahl der Anmeldeversuche bei sicheren Konten begrenzt ist, können Cyberkriminelle ein Konto nicht mit Anmeldeversuchen bombardieren, um das richtige Passwort zu ermitteln. Diese Maßnahme ist besonders gegen Bot-Spamming wirksam, das von verschiedenen IP-Adressen ausgeht.
• Geräteverfolgung: Die Nachverfolgung von Geräten und das Anzeigen des Anmeldestandortes können dabei helfen, verdächtige Aktivitäten aufzudecken. Eine Anmeldung, die immer wieder 200 Kilometer vom Aufenthaltsort eines Benutzers erfolgt, kann der IT automatisch signalisieren, dass ein Konto eingefroren werden sollte.
• Schulung von Mitarbeitern: Mitarbeiter bilden bei Angriffen zur Kontoübernahme oftmals die letzte Verteidigungslinie – sie zu schulen, damit sie Anzeichen und Symptome eines kompromittierten Kontos erkennen, ist daher unerlässlich. Schulungsinstrumente, die Interaktionen zur Kontoübernahme oder Phishing-E-Mails veranschaulichen, können ihnen helfen, ihre Online-Identität zu schützen und sie für Social-Engineering-Tricks wappnen.
• Sandboxing: Wenn Konten kompromittiert wurden, ist es wichtig, dass Funktionen vorhanden sind, um weitere Kompromittierungen zu verhindern. Durch das Sandboxing eines verdächtigen Kontos können alle verbundenen Aktivitäten verfolgt und gestoppt werden, wenn sie tatsächlich böswillig sind.
• WAF-Konfiguration: Eine robuste Web Application Firewall (WAF) kann so konfiguriert werden, dass sie Versuche einer Kontoübernahme erkennt und abwehrt. Dies geschieht durch gezielte Richtlinien, die gestohlene Anmeldedaten, Anzeichen von Brute-Force-Angriffen oder Botnet-Aktivitäten identifizieren können.
• KI-Erkennung: Herkömmliche WAFs sind nicht immer in der Lage, ausgefeiltere Kontoübernahmeangriffe zu erkennen – statische Richtlinien lassen sich austricksen und halten dann böswillige Anmeldeversuche für legitim. Hier kommen nun jüngste Entwicklungen in der KI-Technologie zum Einsatz, die komplexe Angriffe zum Account Takeover identifizieren und den Traffic von Webseiten und Webanwendungen auf verdächtige Aktivitäten überwachen.
• Passwortstärke: Eine der Methoden mit der niedrigsten Barriere zum Schutz vor ATO ist die Erstellung und Implementierung einer starken Passwortrichtlinie. Wenn Sie von Ihren Mitarbeitern verlangen, sichere Passwörter zu erstellen und diese regelmäßig zurückzusetzen, bleiben die Anmeldedaten aktuell und geben Cyberkriminellen keine Gelegenheit, sie zu erraten.
• API- und Anmeldeschutz: Hacker, die Credential Stuffing verwenden, können wiederholte Anmeldeversuche mit unterschiedlichen Namen und Passwörtern starten, um sich einen Weg in Ihre Konten zu bahnen. Die Verwendung einer Login- und API-Sicherheitslösung ist eine gute Möglichkeit, diese Angriffe zu erkennen und zu blockieren.

Barracuda Impersonation Protection ist eine leistungsstarke KI-Engine, welche die spezifischen Kommunikationsmuster von Unternehmen lernt, um Kontoübernahme-Angriffe in Echtzeit zu erkennen und zu blockieren. Der Schutz vor Kontoübernahme verhindert und mindert den Schaden durch Kontoübernahme, indem der E-Mail-Verkehr überwacht wird und kompromittierte Konten schnell identifiziert werden.

Das Barracuda Security Awareness Training bietet hochmoderne Schulungen und Simulationen, um die Anfälligkeit von Mitarbeitern für Phishing-E-Mails und Social-Engineering-Angriffe zu messen, die zu einem Account Takeover führen könnten. Mit der Barracuda Email Protection-Software von Barracuda können Sie auch umfassendere Schutzstufen erkunden.

Die Lösung identifiziert menschliche Risikofaktoren und kann Ihr Unternehmen auf diese Weise darauf vorbereiten, gezielte Angriffe von kompromittierten Konten zu erkennen und abzuwehren. Kontaktieren Sie uns jetzt, wenn Sie Fragen haben oder weitere Informationen zum Kontoübernahmeschutz wünschen.