Okta warnt vor vermehrten Credential-Stuffing-Angriffen
Der Dienstleister Okta beobachtet vermehrte Angriffe auf Log-in-Daten, sogenanntes Credential Stuffing. Das gehe von Residential Proxies aus.
(Bild: VideoFlow/Shutterstock.com)
Identitäts- und Zugangsverwaltungsdienstleister Okta warnt aktuell vor vermehrten Angriffen auf Log-in-Daten. Beim sogenannten Credential Stuffing probieren Angreifer viele Nutzernamen- und Passwort-Kombinationen aus, um dadurch Zugriff mit derart geknackten Konten auf die Dienste zu erhalten. Okta empfiehlt Betroffenen, Gegenmaßnahmen zu ergreifen.
In einer Sicherheitsmitteilung schreibt Okta, dass das hauseigene "Identity Threats Research"-Team einen steilen Anstieg an Credential-Stuffing-Angriffen auf IT-Infrastruktur wie VPN-Dienste im Zeitraum vom 19. bis 26. April beobachtet hätten. Bereits von Mitte März bis Mitte April sei es zu vermehrten Angriffen auf VPN-Geräte und SSH-Dienste gekommen, was Cisco und Duo Security berichteten.
Gemeinsamkeiten der Cyberangriffe
Alle beobachteten Angriffe hätten eines gemeinsam: Die Anfragen werden durch Anonymisierungsdienste wie The Onion Router (Tor) geschickt. Millionen von Anfragen seien zudem durch sogenannte Residential Proxies geleitet worden. Das sind Rechner üblicherweise von Konsumenten. Die sind zum Teil wissentlich Teil eines Proxy-Netzwerks, um selbst derartige Dienste in Anspruch zu nehmen oder einfach damit Geld zu verdienen. Oftmals handelt es sich jedoch um mit Malware infizierte, kompromittierte Computer – die sind dann in der Regel Teil eines Botnets. Residential Proxies werden in der Regel gegen Bezahlung angeboten.
Okta beobachte zudem, dass vermehrt Mobilgeräte in den Proxy-Netzen eingesetzt werden. Deren Nutzer und Nutzerinnen haben offenbar Apps installiert, die mit kompromittierten SDKs entwickelt wurden. Diese SDKs liefern gewünschte Funktionen für die Programmierer, machen das betroffene Gerät aber zu einem Teil des Residential-Proxy-Netzwerks.
Das Unternehmen liefert Sicherheitstipps: So sollte der Umstieg auf "Passwordless" erfolgen, also auf die Anmeldung mit Passkeys. Die Nutzung schwacher Passwörte solle etwa durch Checks unterbunden werden, ob sie in Datenlecks aufgetaucht seien. Natürlich darf der Zwang zur Mehr-Faktor-Authentifizierung nicht in den Hinweisen fehlen. Aber auch die Firewall kann helfen, indem sie Zugriffe von Orten blockiert, in denen die Organisation nicht aktiv ist.
Weiter sollten Authentifizierungsanfragen von IP-Adressen blockiert werden, die eine schlechte Reputation besitzen. Zu den empfohlenen Maßnahmen zählen etwa der Schutz vor Bots mittels CAPTCHAs. Für seine Kunden bietet Okta Funktionen an, mit denen Zugriffe von Anonymisierungsdiensten aus entdeckt und blockiert werden können. Sie sind für die Workforce Identity Cloud (WIC) und Customer Identity Solution (CIS) verfügbar.
In der Warnung sammelt Okta auch Netzwerksegmente (ASNs), von denen aus die meisten Angriffe ausgingen. Offenbar war zudem der gemeldete User-Agent des vermeintlichen Webbrowsers auffällig, Okta nennt Mozilla/5.0 (Windows NT 10.0; rv:102.0) Gecko/20100101 Firefox/102.0 als verdächtig.
Okta wurde im vergangenen Jahr Opfer eines Cybereinbruchs. Die Angreifer konnten Daten von allen Kunden abgreifen, die den Support des Unternehmens in Anspruch genommen haben. Darunter befanden sich auch HAR-Dateien, die Session-Tokens enthalten können, mit denen Session-Hijacking-Angriffe möglich werden – die Angreifer können in der Rolle des Opfers die Systeme nutzen. Zudem gehören Daten dazu, die Phishing-Angriffe erleichtern, etwa Benutzernamen, Unternehmensnamen, E-Mail-Adressen und Telefonnummern.
(dmk)