Login-Masken im Web verraten viel über Nutzer

Viele Websites geben wichtige Informationen darüber, ob eine E-Mail-Adresse bereits als Benutzername registriert ist. Dies hilft nicht nur Hackern beim Angriff, sondern könnte sogar für Profiling-Zwecke genutzt werden, wie InfoGuard auf dem Innovation Day 2023 erfahren hat.

Viele Angriffe zielen darauf ab, den Registrierungsprozess zu untergraben. Sobald sich ein Hacker im Konto eines legitimen Benutzers wie Microsoft 365 befindet, kann er sehr gezielte Phishing-Kampagnen durchführen. Ein erster Schritt für die Angreifer besteht darin, den Benutzernamen herauszufinden, der normalerweise aus einer E-Mail-Adresse besteht.

Wenn also der Benutzername ermittelt werden kann, verfügt der Cyberkriminelle im Wesentlichen bereits über die Hälfte der Informationen, die er benötigt, um sich bei einer öffentlichen Website oder einem Unternehmenssystem zu authentifizieren. Denn einmal im Besitz des Benutzernamens können Angreifer das Passwort durch Sondieren, sogenannte Brute-Force-Techniken oder durch gezielte Phishing-Kampagnen ermitteln.

Wie Angreifer an Benutzernamen kommen können, wurde auf der Hausveranstaltung „Innovation Day“ demonstriert, die in diesem Jahr wieder virtuell stattfand InfoGuard Mario Bischof, der als Senior Penetration Tester für den Baarer Cybersecurity-Spezialisten arbeitet. Nach eigenen Angaben hat er sich im vergangenen Jahr ausführlich mit dem Thema auseinandergesetzt, auch aus Rot-Team-Perspektive. Die Methoden, mit denen Benutzernamen ermittelt werden können, werden in Fachkreisen unter dem Begriff „User Enumeration“ zusammengefasst, was mit Benutzeraufzählung oder Auflistung übersetzt werden kann.

Netflix, Facebook und Co. sind „gesprächig“

Wie Bischof zeigen konnte, helfen viele öffentliche Webseiten Angreifern bei der Ermittlung von Benutzernamen, indem sie bei Fehleingaben oder bei der Abfrage eines neuen Passworts preisgeben, ob die eingegebene E-Mail-Adresse bereits existiert oder nicht.

Am Beispiel der Zugangsseite zum Streamingdienst Netflix zeigte Bischof, dass bei Eingabe des richtigen Benutzernamens, aber des falschen Passworts, der Nutzer bzw. der Angreifer informiert wird, dass nur das Passwort falsch ist. Wird zusätzlich eine falsche E-Mail-Adresse eingetragen, liefert das Netflix-Login dem Angreifer einen wichtigen Hinweis darauf, dass unter dieser Adresse kein Nutzer registriert ist. „Große Plattformen wie Netflix oder Facebook machen das aus Usability-Gründen“, sagt Bischof.