Während in der so genannten “Wirklichkeit” die meisten Kunden in den Geschäften noch ehrlich sind, ist es im Cyberspace gerade umgekehrt. Bis zu 90 Prozent aller Login-Versuche an Online-Shops kommen von Hackern.

Was macht eigentlich so ein Hacker, wenn ihm mal wieder ein paar Millionen Zugangsdaten vor die Füße fallen? Klar, zuerst checkt er, ob und wie die Passwörter gehasht und eventuell gesalzen und gepfeffert sind. Schätzt er den Cracking-Aufwand als vertretbar ein, speist er die Passwörter in den Cracking-Server, den er sich vom Gewinn aus dem letzten Beutezug gegönnt hat.

Der spuckt dann nach und nach Klartext-Passwörter aus. Und die werden dann bei lukrativen Online-Shops, Banken und ähnlichen Dienstleistern ausprobiert. Natürlich nicht manuell, sondern mit Hilfe ausgefeilter Skripte, die die Zugangsdaten automatisch in die Login-Seiten stopfen. Crendetial Stuffing nennt sich das. Diese kriminelle Angriffsstufe ist inzwischen derart verbreitet, dass bei vielen Online-Shops der Großteil der Anmeldeversuche nicht mehr von legitimen Kunden kommt. Ich kann mir das richtig gut vorstellen. Es ist ja auch nicht schwer. Man klöppelt sich ein hübsches Skript zusammen, das sich ein Passwort aus der Liste schnappt und mit wget eine Reihe von Login-Seiten abklappert, in die es die Daten einfällt.

Zwei Schleifen, ein paar wget-Optionen, eine Handvoll Variablen, mehr braucht es nicht für so ein Skript. Komplizierter wird es höchstens, wenn man Wert darauf legt, nicht erwischt zu werden. Aber auch das ist Dank TOR und VPN keine große Hürde. Aber wahrscheinlich sind die Tools, die die Hacker in Wirklichkeit nutzen, längst viel ausgefeilter als mein spontaner Entwurf. Das geht soweit, dass man den Account Checker sogar als Online-Service mieten kann.