How do hackers get lists of username and password combinations to use in credential stuffing attacks?

Hackers obtain credential lists primarily from publicly disclosed data breaches—when companies experience security incidents, the stolen data is often shared on dark web forums or sold to other criminals. These breach databases are compiled and organized by username and password, making them valuable commodities in the cybercriminal underground. Additionally, credentials may come from malware-infected devices that logged keystrokes, purchased from other hackers, or scraped from public sources like LinkedIn profiles combined with passwords from previous breaches.

If I use a strong password, am I protected from credential stuffing attacks?

A strong password protects you only if it's unique and not already in a breach database. Credential stuffing attacks don't involve guessing—they use stolen credentials, so password strength is irrelevant if that exact username-password combination was leaked elsewhere. However, if attackers only have your username (without your password), a strong unique password becomes your actual defense. This is why both password uniqueness and strength matter: uniqueness protects against credential stuffing, and strength protects if attackers try brute-force attacks.

How quickly can a credential stuffing attack compromise my account?

Modern credential stuffing attacks can test thousands of stolen credentials per minute using automated tools and distributed servers. If your credentials are in the attacker's database, your account could be compromised within minutes to hours of the attack beginning. Attackers typically scan and organize successful logins in real-time, allowing them to identify valuable accounts immediately. This rapid timeline means you may not discover the compromise until days or weeks later when you notice suspicious account activity or receive fraud alerts.

If my password wasn't in a breach, can I still be affected by credential stuffing?

If your specific password wasn't in a breach, you're protected from credential stuffing—but most people aren't in that position. The reality is that billions of credentials from hundreds of major breaches are actively being used in credential stuffing campaigns right now. Even if you've created a strong unique password, you could still be vulnerable if any of your other accounts were breached, because attackers often test variations and mutations of known passwords. You should assume that some of your credentials are in use somewhere unless you actively monitor breach databases.

What should I do immediately if I discover my account was compromised through credential stuffing?

First, change the password for the compromised account to something completely new and unique, then enable multi-factor authentication if it's not already active. Second, check your account activity history and revoke access to any connected apps, devices, or sessions you don't recognize. Third, change the passwords for any other accounts using the same or similar credentials. Finally, monitor the compromised account and associated email for suspicious activity for the next 30-90 days, watch your credit reports for fraudulent accounts, and contact your bank and credit card companies to flag potential fraud.

Hohes Risiko Durchschnittlicher Schaden: $5,000 Typische Dauer: 1-30 days

Credential-Stuffing-Angriffe: Wie Hacker Ihre Passwörter ausnutzen

Credential Stuffing ist ein automatisierter Angriff, bei dem Hacker gestohlene Benutzernamen und Passwortkombinationen verwenden, um sich unbefugt Zugang zu Ihren Konten auf mehreren Websites und Diensten zu verschaffen. Der Angriff funktioniert, weil viele Menschen dasselbe Passwort auf verschiedenen Plattformen wiederverwenden – wenn ein Unternehmen einen Datenschutzverstoß erleidet, kompilieren Kriminelle die gestohlenen Anmeldeinformationen und nutzen spezialisierte Software, um diese Anmeldekombinationen schnell auf hunderten anderen Seiten zu testen. Dem 2024 Verizon Data Breach Investigations Report zufolge ist die Kompromittierung von Zugangsdaten in über 40 % aller Datenschutzverstöße beteiligt und macht diese Methode zu einem der häufigsten Angriffsvektoren. Ein einzelner Credential-Stuffing-Angriff kann Millionen von Anmeldekombinationen innerhalb weniger Stunden testen, mit Erfolgsquoten zwischen 0,1 % und 2 %, je nach Qualität der Passwortliste des Angreifers. Das bedeutet, dass bei einer Liste von einer Million gestohlener Anmeldeinformationen Angreifer erfolgreich in 1.000 bis 20.000 Konten eindringen könnten – und diese Konten enthalten typischerweise Finanzinformationen, persönliche Daten oder Zugang zu sensibleren Systemen. Die Gefahr von Credential Stuffing geht über die anfängliche Kontokompromittierung hinaus. Sobald Angreifer Zugang zu Ihrem E-Mail-Konto haben, können sie Passwörter-Zurücksetzen auf Ihren Bank-, Social-Media- und Kryptowährungskonten anfordern. Falls sie über LinkedIn-Anmeldeinformationen auf Ihre berufliche E-Mail zugreifen, gewinnen sie einen Einstiegspunkt für Unternehmens-Spionage oder Ransomware-Bereitstellung. Das FBI's Internet Crime Complaint Center erhielt 2023 über 14.000 Berichte im Zusammenhang mit Zugangsdaten-Kompromittierung, was zu Verlusten von über 137 Millionen Euro führte. Der Angriff ist besonders heimtückisch, weil Opfer oft nicht bemerken, dass sie kompromittiert wurden, bis betrügerische Gebühren auf ihren Konten erscheinen oder sie unbefugte Änderungen an ihren Profilinformationen feststellen. Großflächige Verstöße wie die, die LinkedIn (700 Millionen Konten), Yahoo (3 Milliarden Konten) und zahlreiche Einzelhandelsketten betrafen, haben massive Datenbanken mit Anmeldeinformationen geschaffen, die Kriminelle aktiv ausbeuten.

Häufige Methoden So erkennen Sie es So schützen Sie sich Reale Beispiele Wo melden

Häufige Methoden

• Beschaffung von gestohlenen Anmeldedatenlisten von Dark-Web-Marktplätzen oder früheren Datenschutzverstößen, dann Verwendung von automatisierten Tools wie Sentry MBA oder OpenBullet, um diese Anmeldeinformationen schnell gegen Anmeldeportale von Banken, E-Mail-Anbietern, Social-Media-Plattformen und E-Commerce-Seiten zu testen.
• Verwendung von rotierenden Proxy-Servern und privaten IP-Adressen, um Anfragen über mehrere IP-Bereiche zu verteilen und so standardmäßige Rate-Limiting-Sicherheitsmaßnahmen zu umgehen, die normalerweise schnelle Anmeldeversuche von einer einzelnen Quelle kennzeichnen würden.
• Testen von Anmeldeinformationen zuerst auf weniger geschützten Seiten wie Forumkonten oder Einzelhändlern, bevor Ziele mit hohem Wert wie E-Mail- und Bankkonten angegriffen werden, um zu überprüfen, welche Anmeldeinformationen noch funktionieren, bevor finanziell wertvolle Konten ins Visier genommen werden.
• Implementierung leichter Variationen oder Mutationen gestohlener Passwörter während des Angriffs, wie das Hinzufügen häufiger Endungen wie '123' oder '!', um Benutzer zu berücksichtigen, die ihre Passwörter nach einem Verstoß leicht geändert haben.
• Überwachung erfolgreicher Kontenzugriffe, um zu identifizieren, welche Anmeldeinformationen die wertvollsten Informationen bieten, dann entweder Verkauf dieser verifizierten aktiven Anmeldeinformationen im Dark Web oder Verwendung für Sekundärangriffe wie Kontoubernahme oder Identitätsdiebstahl.
• Zeitliche Abstimmung von Angriffen auf Zeiten mit niedrigem Aufkommen oder Planung über längere Zeiträume, um zu vermeiden, dass Sicherheitswarnungen ausgelöst werden, die durch große Anzahlen gleichzeitiger fehlgeschlagener Anmeldeversuche erzeugt würden.

So erkennen Sie es

Sie erhalten eine Benachrichtigung, dass sich jemand von einem unbekannten Standort oder Gerät bei Ihrem Konto angemeldet hat, oder Sie sehen Anmeldeaktivität zu Zeiten, wenn Sie nicht online waren.
Ihr E-Mail-Konto enthält Passwort-Zurücksetzen-Benachrichtigungen oder Account-Wiederherstellungsversuche, die Sie nicht eingeleitet haben, was darauf hindeutet, dass jemand versucht, auf Ihr Konto zuzugreifen.
Sie bemerken ungewöhnliche Aktivitäten wie geänderte Profilinformationen, unbefugte Käufe, geänderte Sicherheitseinstellungen oder unbekannte verbundene Apps oder Geräte auf Ihrem Konto.
Finanzkonten zeigen unbefugte Transaktionen, oder Ihre Bank warnt Sie vor verdächtigen Anmeldeversuchen, obwohl Sie starke, eindeutige Passwörter verwenden.
Sie erhalten Warnungen von Ihrem E-Mail-Anbieter über verdächtige Aktivitäten, fehlgeschlagene Anmeldeversuche von mehreren Standorten oder Anfragen zum Passwortänderung von nicht erkannten Quellen.
Ihre Social-Media-Konten wurden verwendet, um unaufgeforderte Nachrichten oder Freundschaftsanfragen an Ihre Kontakte zu senden – ein Zeichen, dass jemand anderes Ihre Anmeldeinformationen kontrolliert.

So schützen Sie sich

Erstellen Sie eindeutige, komplexe Passwörter für jedes Online-Konto mit einem Passwort-Manager wie Bitwarden, 1Password oder Dashlane – vermeiden Sie die Wiederverwendung von Passwörtern auf mehreren Seiten, da dies Credential-Stuffing-Angriffen Erfolg ermöglicht.
Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) auf allen Konten, die diese unterstützen, besonders auf E-Mail-, Bank-, Kryptowährungs- und Social-Media-Konten; verwenden Sie Authentifizierungs-Apps wie Google Authenticator oder Authy statt SMS, wenn möglich, da SMS anfällig für SIM-Swapping ist.
Überwachen Sie Ihre Konten regelmäßig auf verdächtige Aktivitäten und richten Sie Kontobenachrichtigungen für Anmeldungen von neuen Geräten oder Standorten ein; die meisten großen Plattformen ermöglichen es Ihnen, aktive Sitzungen zu überprüfen und unbekannte Geräte abzumelden.
Richten Sie einen Betrugsverdacht oder eine Kreditsperre bei Equifax, Experian und TransUnion ein, um zu verhindern, dass Angreifer neue Konten in Ihrem Namen eröffnen, falls sie Ihre persönlichen Informationen während einer Kompromittierung erhalten.
Prüfen Sie, ob Ihre E-Mail-Adresse in bekannten Datenschutzverstößen mit haveibeenpwned.com und researchbreaches.com auftaucht; falls in Verstößen gefunden, ändern Sie sofort das Passwort für dieses Konto und alle anderen, die die gleichen Anmeldeinformationen verwenden.
Halten Sie Ihre Geräte mit den neuesten Sicherheits-Patches aktuell und verwenden Sie seriöse Antivirus-Software, um zu verhindern, dass Keylogger oder Anmeldeinformationen-stehlende Malware Ihre Passwörter erfasst, bevor sie die Ziel-Website erreichen.

Reale Beispiele

Die LinkedIn-Anmeldeinformationen einer Softwareentwicklerin wurden in einem Verstoß 2021 offengelegt, aber sie aktualisierte ihr Passwort nicht. Monate später nutzten Angreifer ihren durchgesickerten Benutzernamen und ihr Passwort, um auf ihr LinkedIn-Konto zuzugreifen, dann nutzten sie den Account-Wiederherstellungsprozess, um ihr Gmail-Passwort zurückzusetzen. Sobald sie sich in ihrer E-Mail befanden, setzten sie ihre AWS-, GitHub- und Bank-Passwörter zurück und erhielten Zugang zur Cloud-Infrastruktur ihres Unternehmens und zu ihren persönlichen Ersparnissen. Sie entdeckte den Verstoß, als das Sicherheitsteam ihres Unternehmens ungewöhnliche AWS-Zugriffsmuster erkannte, was offenbarte, dass der Angriff bereits $8.000 an betrügerischen Cloud-Gebühren verursacht hatte und vertraulichen Projektcode offengelegt hatte.

Ein Einzelhandelleiter wiederverwendete dasselbe Passwort auf seinem Arbeitskonto, seiner E-Mail und seinem persönlichen Banksystem. Als der Einzelhändler einen Datenschutzverstoß erlitt, der 50.000 Mitarbeiter-Anmeldeinformationen offenlegte, testeten Angreifer diese Anmeldeinformationen sofort gegen beliebte Banking-Websites. Das Bankkonto des Managers wurde innerhalb von 12 Stunden aufgerufen, und Betrüger übertrugen $4.200 auf Kryptowährungsaustauschabläufe, bevor das Betrugserkennung-System der Bank einen Halt für zusätzliche Transaktionen auslöste. Die Untersuchung offenbarte, dass die Angreifer die Anmeldeinformationen auf 47 verschiedenen Websites testeten und erfolgreich auf sein E-Mail- und PayPal-Konten zugreifen.

Eine E-Commerce-Geschäftsinhaberin bemerkte ungewöhnliche Rückbuchungen auf ihrem Merchant-Konto und entdeckte, dass Angreifer durch Credential Stuffing Zugang zu ihrer E-Mail erhalten hatten. Mit ihrer E-Mail-Zugang angemeldet sie sich in das Admin-Panel ihrer E-Commerce-Plattform an, änderten Produktpreise, leiteten Kundenzahlungen auf von Angreifern kontrollierte Konten um und stahlen Kundenzahlungsinformationen. Über einen Zeitraum von 5 Tagen vor ihrer Entdeckung des Betrugs verarbeiteten Angreifer $23.000 in umgeleiteten Transaktionen und kompromittierten Zahlungsdaten für über 300 Kunden, was zu erheblicher Haftung und Reputationsschaden führte.

Wo melden — Deutschland

Offizielle Stellen in Ihrer Region zum Melden dieses Betrugs.

BSI Bürger-CERT

Cyberkriminalität

Bundesamt für Sicherheit in der Informationstechnik – Warnungen und Beratung für Bürger.

Besuchen →

Polizei Online-Wache

Meldung

Online-Anzeige von Betrug bei der Polizei Ihres Bundeslandes.

Besuchen →

Verbraucherzentrale

Verbraucherschutz

Beratung für Verbraucher bei Online-Betrug und Phishing.

Besuchen →

BaFin Verbraucherschutz

Finanzaufsicht

Bundesanstalt für Finanzdienstleistungsaufsicht – Anlagebetrug und Banken-Beschwerden.

Besuchen →

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), credential-stuffing-angriffe: wie hacker ihre passwörter ausnutzen is described at https://scamlens.org/de/encyclopedia/credential-stuffing.

https://scamlens.org/de/encyclopedia/credential-stuffing

Hier starten

Sicherheitsprüfung

Intelligence

Tools & Berichte

Premium-Dienste

Erweiterung & API

Credential-Stuffing-Angriffe: Wie Hacker Ihre Passwörter ausnutzen

Häufige Methoden

So erkennen Sie es

So schützen Sie sich

Reale Beispiele

Wo melden — Deutschland

BSI Bürger-CERT

Polizei Online-Wache

Verbraucherzentrale

BaFin Verbraucherschutz

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide