Account Checker

Account Checker bezeichnet einen Programmtypus, den Cyberkriminelle nutzen, um sich illegalen Zugang zu fremden Online-Kundenkonten zu verschaffen. Der Begriff setzt sich zusammen aus den englischen Wörtern für Kundenkonto (account) und Prüfer (checker). Mit einem Account Checker überprüft der Cyberkriminelle, ob bestimmte E-Mail-Adressen bei einem Anbieter mit einem Kundenkonto verbunden sind. Sobald ein solches Kundenkonto gefunden ist, startet er einen Credential Stuffing Prozess. Das heißt, er versucht das passende Passwort für dieses Kundenkonto zu erraten.

Was bedeutet der Begriff Account Checker im Detail?

Account Checker sind verhältnismäßig einfache Hacker-Programme. Sie können fertig gekauft werden und sind daher weit verbreitet.
Woher die E-Mail-Adressen stammen, die von diesen Account Checkern überprüft werden? Aus Cybervorfällen, bei denen Cyberkriminelle z. B. die E-Mail-Adressen von Kunden eines Online-Shops erbeutet haben. Oft kursieren Listen dieser E-Mail-Adressen im Darknet. Zudem gibt es ähnliche Listen mit Passwörtern oder sogar mit Kombinationen von E-Mail-Adressen und den zugehörigen Passwörtern für gehackte Kundenkonten.
Viele Nutzer verwenden bei mehreren ihrer Kundenkonten die gleiche Kombination von E-Mail-Adresse und Passwort. Anhand der oben genannten Listen versuchen Cyberkriminelle, solche „Zwillingskonten“ zu finden, um sie zu missbrauchen.

Wo begegnet mir das Thema Account Checker im Arbeitsalltag?

Zumeist vermutlich über Maßnahmen, mit denen Online-Shops und andere Anbieter den Erfolg von Account Checkern und Credential Stuffing zu verhindern suchen. Zu diesen Maßnahmen gehört z. B. dass Ihnen nur eine begrenzte Anzahl erfolgloser Login-Versuche gestattet wird. Dadurch können Cyberkriminelle bei einem Angriff nur wenige Passwörter ausprobieren.

Was kann ich tun, um meine Sicherheit zu verbessern?

Für Nutzer gelten die gleichen Sicherheitsmaßnahmen, mit denen Sie sich vor Credential Stuffing schützen. Kurz zusammengefasst:

Ändern Sie Passwörter, die Sie bereits seit längerer Zeit nutzen.
Verwenden Sie für jedes Benutzerkonto ein anderes, sicheres Passwort.
Nutzen Sie ggf. einen Passwort-Manager.
Nutzen Sie wo möglich eine Zwei-Faktor-Authentisierung.

Als Anbieter einer Website mit Benutzerkonten können Sie die Sicherheit Ihrer Kunden durch folgende Maßnahmen erhöhen:

Begrenzen sie die zulässige Anzahl von Anfragen und Login-Versuchen der gleichen IP. Im Idealfall verweigern sie der IP nach Erreichen dieser Anzahl für 12 – 24 Stunden den Zugang.
Geben Sie Account Checkern keinen Anhaltspunkt, ob eine E-Mail-Adresse überhaupt bei Ihnen registriert ist. Lassen Sie Ihre Login-Maske bei falschen Eingaben immer das gleiche Verhalten zeigen. So sind keine Rückschlüsse möglich, ob nur das Passwort unpassend war oder auch die E-Mail-Adresse.
Geben Sie auch bei der Option des Zurücksetzens des Passwortes keinen Anhaltspunkt, ob die betreffende E-Mail-Adresse im System überhaupt bekannt ist.
Eine neutrale Rückmeldung könnte z. B. so lauten: „Wir senden Ihnen nun eine E-Mail mit einem Link zum Zurücksetzen Ihres Passworts. Sollten sie in den nächsten Minuten keine E-Mail von uns erhalten, überprüfen Sie bitte Ihre eingegebene E-Mail-Adresse und Ihren Spam-Ordner. Bei Problemen kontaktieren Sie einfach unseren Kundensupport.“

Eng verwandt mit diesem Eintrag ist unser Glossareintrag zum Thema Credential Stuffing.

Account checker refers to a type of program used by cybercriminals to gain illegal access to other people’s online customer accounts. The term is a combination of the words ‘account’ and ‘checker’. Cybercriminals use account checkers to check whether certain email addresses are linked to a customer account with a particular provider. Once such a customer account is found, they start a credential stuffing process. This means that they try to guess the correct password for this customer account.

What does the term account checker mean in detail?

Account checkers are relatively simple hacker programmes. They can be purchased ready-made and are therefore widely used.
Where do the email addresses checked by these account checkers come from? From cyber incidents in which cybercriminals have stolen the email addresses of customers of an online shop, for example. Lists of these email addresses often circulate on the darknet. There are also similar lists with passwords or even combinations of email addresses and the corresponding passwords for hacked customer accounts.
Many users use the same combination of email address and password for several of their customer accounts. Cybercriminals use the above-mentioned lists to try to find such ‘twin accounts’ in order to misuse them.

Where do I encounter account checkers in my everyday work?

Most likely through measures taken by online shops and other providers to prevent account checkers and credential stuffing. These measures include, for example, limiting the number of unsuccessful login attempts. This means that cybercriminals can only try a few passwords during an attack.

What can I do to improve my security?

The same security measures that protect you from credential stuffing also apply to users. In summary:

Change passwords that you have been using for a long time.
Use a different, secure password for each user account.
Use a password manager if necessary.
Use two-factor authentication wherever possible.

As a provider of a website with user accounts, you can increase the security of your customers by taking the following measures:

Limit the number of requests and login attempts from the same IP address. Ideally, deny access to the IP address for 12–24 hours after this number has been reached.
Do not give account checkers any indication as to whether an email address is registered with you. Ensure that your login screen always behaves in the same way when incorrect entries are made. This prevents anyone from determining whether only the password was incorrect or whether the email address was also incorrect.
Even when offering the option to reset the password, do not give any indication that the email address in question is known to the system.
A neutral response could be, for example: ‘We will now send you an email with a link to reset your password. If you do not receive an email from us within the next few minutes, please check the email address you entered and your spam folder. If you have any problems, simply contact our customer support.’

Closely related to this entry is our glossary entry on credential stuffing.