Starke und somit sichere Passwörter lassen sich nur sehr schwer merken, weshalb viele Nutzer ein und dasselbe Passwort mehrmals verwenden. Genau diesen Umstand nutzen Hacker aus. Denn die Chance ist relativ groß, dass ein Nutzer das Passwort des Online-Bankaccounts, auch für den Online-Shop oder Social Media Account verwendet. Beim Credential Stuffing werden also gestohlene Zugangsdaten gesammelt und für Login-Versuche bei anderen meist verwandten Diensten verwendet.
Credential Stuffing beginnt dabei in der Regel mit einer Datenschutzverletzung und dem Abfluss von Logindaten. Diese Daten landen dann meist zuerst im Darknet oder auf speziellen Tauschbörsen im Internet und im Anschluss in die Hände der Hacker.
Diese prüfen zuerst von welchem Online-Dienst die Daten stammen, um den nachfolgenden Angriff vorzubereiten. Das hat den Zweck eine gewisse Vorauswahl an möglichen Webseiten zu treffen, bei der die Chance am größten ist, dass eine Anmeldung mit den gestohlenen Zugangsdaten erfolgreich ist.
Ist die Vorauswahl getroffen, beginnt der Angreifer die aus der Datenschutzverletzung vorliegenden Logindaten in die Anmeldeformulare einzugeben. Mögliche Sicherheitsmechanismen umgeht der Angreifer, durch die Verwendung von Bots, wodurch unterschiedliche IP-Adressen simuliert werden, automatisierten Tools und Skripten.
Die Erfolgsquote beim Credential Stuffing ist zwar sehr gering und liegt bei weniger als 0,5%, doch aufgrund der Masse an bekannt gewordenen Anmeldeinformationen und dem Fortschritt bei der IT, lohnt sich diese Form des Passwort-Hacks dennoch für viele Angreifer.
