Die Kriminalpolizei beobachtet auch in Bremerhaven vermehrt Fälle des sogenannten „Credental Stuffing“, bei dem Datendiebe an Benutzername und Passwort von Online-Konten gelangen und diese dann für betrügerische Handlungen nutzen. Hierbei werden die Login-Oberflächen verschiedener Webseiten mit Anmeldedaten („credential“) befüllt („stuffing“).
Wenn plötzlich Geldbeträge für Dinge vom eigenen Konto abgebucht werden, die man selbst nicht bestellt hat, wundert man sich zunächst. Schnell wird dann festgestellt, dass sich Unbekannte auf Kosten der nichtsahnenden Kontoinhaber bei Ebay, Amazon oder ähnlichen Plattformen eingeloggt und Sachen gekauft haben. Die persönlichen Daten, wie Benutzername und Passwort wurden also geklaut und somit das eigene Online-Konto gehackt.
Woher kommen diese Anmeldedaten? Immer wieder kommt es bei Firmen zu Datenlecks. Es werden also gezielt Angriffe durch Hacker auf einzelne Firmenserver gestartet, um an Login-Daten der Kunden zu kommen. Gelingt so ein Angriff, können sogenannte Combolists erstellt werden. Eine Combolist enthält den Benutzernamen und das dazugehörige Passwort für den Zugang zu einer bestimmten Internetseite. Nach Bekanntwerden so eines Datenlecks werden die Nutzer von dem Anbieter zwar aufgefordert, ihr Passwort für diesen Zugang zu ändern, aber: Jeder kennt es vermutlich aus eigener Erfahrung, bei vielen Online-Zugängen wird derselbe Benutzername mit demselben Passwort benutzt. Und genau diese Bequemlichkeit vieler Internetnutzer wird durch Credential Stuffing ausgenutzt. Die Combolists mit tausenden (oft auch wesentlich mehr) Benutzernamen-Passwort-Kombinationen werden mit dafür programmierten Anwendungen auf den verschiedenen Login-Oberflächen frei wählbarer Internetseiten „durchprobiert“. Erfolgreiche Login-Versuche werden gesondert aufgeführt und können dann für betrügerische Handlungen genutzt werden.
Diese Verfahrensweise kann ALLE Internetseiten betreffen, die ein Login mit Benutzernamen und Passwort nutzen, also auch Facebook, Instagram und Co.