User Enumeration 26.01.2023, 11:55 Uhr

Login-Masken im Web verraten viel über Benutzer

Viele Websites liefern wichtige Hinweise dazu, ob eine E-Mail-Adresse schon als Benutzername registriert ist. Dies hilft nicht nur Hackern beim Angriff, sondern könnte sogar zu Profiling-Zwecken verwendet werden, wie am Innovation Day 2023 von InfoGuard zu erfahren war.
Bärtiger Mann mit Kopfhörern während eines Webinars
Mario Bischof, Senior Penetration Tester bei InfoGuard, hat sich eingehend mit der Thematik der «User Enumeration» beschäftigt
(Quelle: Videostill: jst/NMGZ)
Viele Attacken zielen darauf ab, den Anmeldeprozess auszuhebeln. Sind Hacker erst einmal im Konto eines legitimen Nutzers, etwa von Microsoft 365, lassen sich etwa sehr gezielte Phishing-Kampagnen ausführen. Ein erster Schritt für die Angreifer ist es dabei, den Benutzernamen herauszufinden, der meist aus einer E-Mail-Adresse besteht.
Kann also der Anwendernamen herausgefunden werden, verfügt der Cyberkriminelle im Grunde genommen bereits über die Hälfte der Angaben, die für die Authentifizierung gegenüber einer öffentlichen Webseite oder eines Firmensystems nötig ist. Denn einmal im Besitz des Usernamen, können Angreifer durch Pröbeln, sogenannte Brute-Force-Techniken, oder durch gezielte Phishing-Aktionen das Passwort ermitteln.
Wie Angreifer zu Usernamen kommen können, hat an der auch dieses Jahr virtuell abgehaltenen Hausveranstaltung «Innovation Day» von InfoGuard Mario Bischof gezeigt, der als Senior Penetration Tester des Baarer Cybersecurity-Spezialisten tätig ist. Eigenen Angaben zufolge hat er sich im letzten Jahr mit der Thematik eingehend auseinandergesetzt unter anderem auch aus Redteam-Perspektive. Die Methoden, mit denen Anwendernamen in Erfahrung gebracht werden können, werden in Fachkreisen unter der Bezeichnung «User Enumeration» zusammengefasst, was mit Benutzeraufzählung oder -auflistung übersetzt werden kann.

Netflix, Facebook und Co. sind «gesprächig»

Wie Bischof zeigen konnte, helfen viele öffentliche Webseiten den Angreifern bei der Ermittlung der Benutzernamen, indem sie etwa bei falschen Eingaben oder bei der Anforderung eines neuen Passworts verraten, ob die eingegebene E-Mail-Adresse bereits existiert oder nicht.
Bischof zeigte so am Beispiel der Zugangsseite zum Streamingdienst Netflix, dass hier bei der Eingabe des richtigen Benutzernamens, aber falschen Passworts, dem Nutzer, respektive dem Angreifer, mitgeteilt wird, dass nur das Passwort nicht stimme. Wird auch eine falsche E-Mail-Adresse eingegeben, liefert das Netflix-Login den für Angreifer wichtigen Hinweis, dass unter dieser Adresse kein User registriert sei. «Grosse Plattformen wie Netflix oder auch Facebook machen dies aus Usability-Gründen», meint Bischof.
Seite 1/2
Auf einer Seite lesen
  1. Login-Masken im Web verraten viel über Benutzer
  2. Schlechte und gute Beispiele
Artikel drucken
Jens Stark
Das könnte Sie auch interessieren
Apple-Watch-Tipps vor 19 Stunden
Digitaler Schutzengel Apple Watch
Der Funktionsumfang der Apple Watch platzt aus allen Nähten. Dabei werden gerne Funktionen übersehen, die einen wichtigen Beitrag zur Sicherheit liefern. Folgende Eigenschaften sind im Ernstfall nicht einmal mit Gold aufzuwiegen.
 
vor 19 Stunden
Apple-Ecke vor 1 Tag
Schachtelteufel - so besiegen Sie ihn
Da klebt die Datei nun am Mauszeiger und soll in einer tief verschachtelten Ordnerhierarchie abgelegt werden.
 
vor 1 Tag
Monitortipps vor 2 Tagen
Richtig aufgelöst
Grösser ist in der IT immer besser. Beim Bildschirm stimmt das nicht wirklich. Hier können auch kleinere Auflösungen und Displaygrössen sinnvoll sein oder sogar grössere Varianten ausstechen. Erfahren Sie, welche Auflösung für Sie am besten ist.
 
vor 2 Tagen
Tipps & Tricks vor 2 Tagen
Excel: Tabellenblätter nummerieren und sortieren
Sie haben eine Reihe von Tabellenblättern, die Sie gerne nummerieren wollen. Oder sortieren. Aber nicht von Hand.
 
vor 2 Tagen