Das Geschäft hinter dem Verkauf geklauter Passwörter!

Dass das Geschäft rund um den Verkauf geklauter Passwörter, Benutzernamen und Kreditkarteninformationen lukrativ sein muss, ahnt man bereits. Der Umfang der geklauten Daten und die betroffenen Firmen haben schließlich in den letzten Jahren zugenommen.

Doch wer verkauft solche Daten und was haben diese Informationen für einen wert, wenn man sie nicht legal, wie z.B. für Werbung, nutzen kann? All diesen Fragen ist Brian Krebs nachgegangen und hat anschaulich dargestellt, wie schnell sich Geld mit dem dubiosen Geschäft verdienen lässt.

Innerhalb weniger Monate machen Betrüger mehrere $100.000!

Beim Verkauf von rund 35.000 Accountdaten hat ein erfolgreicher Verkäufer im „Sellers Paradise“, einer Plattform erreichbar über das Darknet, ca.$288.000 eingenommen. Das entspricht ungefähr einer Viertelmillion Euro. Die gehandelten Daten übersteigen den bisher angenommenen Wert von geklauten Daten bei weitem. Jeder einzelne Datensatz der 35.000 wurde zu einem Wert von +/- $8 verkauft.

Der Verkauf geklauter Passwörter unterliegt dabei auch einer gewissen Schwankung. Zu sehen in einem Dashboard, welches Brian Krebs aus dem Sellers Paradise erhalten hat. Aus diesem geht auch hervor, dass die Daten nicht an eine einzelne Person, sondern an „8869 Clients“ verkauft worden sind.

Ein Screenshot aus dem Sellers Paradise. Der Verkauf geklauter Passwörter wird hier in wenigen KPIs dargestellt. (Quelle:krebsonsecurity.com)

Der Preis für Logindaten ist dabei längst nicht immer der gleiche. Je nach Website werden ganz unterschiedliche Summen fällig. So wird ein Account von Target für schlappe $10 gehandelt. Für einen Account bei Navyfederal.org werden satte $60 fällig. Spitzenreiter in folgendem Screenshot ist die rbcroyalbank.com. Wer mit den gestohlenen Daten arbeiten will, der muss $65 auf den Tisch legen. Ein lukratives Feld, das ihre Käufer findet.

Welche Website, welcher Preis, welche Verfügbarkeit? Der Verkauf geklauter Passwörter läuft organisiert ab. (Quelle: krebsonsecurity)

Die $65-teuren-Accounts sind jedoch nicht die teuersten Accounts die ihr kaufen könnt. Der Identitätsdiebstahl im Internet ist ein weiteres Geschäftsfeld der Plattform. Wer auf der Suche nach einer gut bewerteten Social Security Number inkl. Credit Cart Report ist, der wird auch hier fündig. Hier sind jedoch Preise im Bereich von $120 bis $150 die Regel. Der Schaden für Betroffene ist enorm.

Krebs warnt auch an der Stelle, dass die Mehrfachverwendung von Passwörtern ein großes Problem ist und die Zwei-Faktor-Authentifizierung die Identität schützen kann. Neben der inzwischen bekannten 2-Faktor-Authentifizierung (2-FA), helfen zudem externe Authentifikationssysteme und Identity-Provider, mit speziellen kryptografischen Protokollen, Identitätsdiebstahl und Passwortklau zu verhindern.

Authentifikationssysteme ermöglichen die Authentifizierung ohne die Übertragung von Geheimnissen wie z.B. Benutzername und Passwort. Für die Authentifizierung wird ein sogenanntes Challenge-Response-Protokoll durchgeführt. Wie der Name es vermuten lässt, wird dabei eine (mathematische) Aufgabe (Challenge) gestellt, die es zu lösen gilt. Die Antwort (Response) wird vom Client zurückgeschickt und ist die Prüfung. Ist diese bestanden, erhält der Client Zugriff.

Wir mit XignQR nutzen genau diese Art der Authentifizierung – in der Kombination mit digitalen Zertifikaten. Darüber hinaus bieten wir die Möglichkeit der out-of-band Authentifizierung an. Hier erfolgt die Authentifizierung über einen getrennten Kanal. Dies schützt maßgeblich gegen eine Vielzahl der bekannten Daten- und Identitätsdiebstahlangriffe. Das Phishing von Benutzernamen und Passwörtern wird so verhindert. Unternehmensweit. Eine zusätzliche Sicherheit gegenüber der gängigen One-Time-Passwort- (OTP) und TAN-Verfahren.

Ein Identity Provider hilft die Nutzerdaten sicher und stark verschlüsselt zu speichern und nur bei Bedarf die Nutzerdaten, wie bspw. E-Mail-Adressen oder Bank-Informationen, an Webseiten und Dienste zu verteilen. XignQR vereint das Authentifikationssystem und den Identity Provider und kann so maßgeblich zu ihrer Gesamtsystemsicherheit beitragen.

Quellen und weitere Informationen

[1] krebsonsecurity.com [2] The Market for Stolen Account Credentials (krebsonsecurity.com) [3] ReelPhish: A Real-Time Two-Factor Phishing Tool (Fireeye.com)

Der Beitrag Das Geschäft hinter dem Verkauf geklauter Passwörter! erschien zuerst auf XignSys Blog.