Risiko Cyber-Kriminalität für Online-Shops zu Weihnachten

Publiziert am 22. Dezember 2020 von Günter Born

Aktuell versuchen Händler das durch den Coronavirus-Shutdown gelähmte Weihnachtsgeschäft durch Verkäufe über Online-Shops zu retten. Der gestiegene Besucherumfang in den Shops spielt aber Cyber-Kriminellen in die Hände, die diese Situation ausnutzen.

Anzeige

Angriffe auf Online-Shops

Bereits während des ersten Lockdowns ist der Datenverkehr um bis zu 28 Prozent im Vergleich zum normalen Wochendurchschnitt gestiegen (siehe diesen E-Commerce Threat Intelligence Report von Sicherheitsanbieter Imperva). Diese Entwicklung beschleunigt sich nun durch den zweiten Lockdown rasant, und auch die Zugriffszahlen auf Onlineshops übertreffen die Werte von 2019 bei weitem.

Durch erhöhte Datenvolumina müssen Online-Händler mit drastisch erhöhten Gefahren durch Hackerangriffe rechnen – besonders bei relativ neuen Shops, die erst vor kurzem online gegangen sind und keine bewährten Security-Vorkehrungen nutzen können. Während der gesamten Weihnachtssaison 2020 und im Neujahr ist mit stark erhöhten Sicherheitsrisiken zu rechen.

Zur Vorsorge gibt Imperva einige Hinweise aus dem Threat Report an die Hand, welche Cyber-Attacken jetzt im zweiten Lockdown das Weihnachtsgeschäft besonders gefährden:

  • Betreiber und Kunden sollten besonders ein Auge auf Bad-Bot-Attacken gerade bei der Preisabfrage werfen,
  • sich entsprechend vor Account-Takeover-Angriffen (ATO) wappnen und
  • Zugangsdaten als auch besonders die Zahlungsdaten vor API-Angriffen absichern.

Ein starker Anstieg 2020 macht DDoS-Attacken heimtückisch, gerade auch angesichts der vermehrten Einkäufe von Privatrechnern in Einzelhaushalten. Zuletzt ist auch die Lieferkette gefährdet durch Drittanbieter-Plugins wie JavaScript und CMS-Framework: Formjacking, Daten-Skimming und Magecart-Angriffe können im Lockdown-Weihnachts-Shopping stark zunehmen.

Vor Weihnachten: Hochkonjunktur für Bad Bots

Auch vom Sicherheitsanbieter Barracuda liegt mir eine Information in Sachen Sicherheit beim Weihnachtsshopping vor. Wenn vor Weihnachten das Online-Geschäft brummt gibt es für Online-Händler sicherheitstechnisch viel zu tun. Denn E-Commerce-Webseiten werden in dieser Hochzeit des Onlineeinkaufs zu einem bevorzugten Ziel für Cyberkriminelle.

Die Kriminellen setzen verstärkt Bots ein, um DDoS-Angriffe (Distributed Denial of Service) auszuführen, betrügerische Einkäufe zu tätigen und nach Schwachstellen zu suchen, die sie für ihre unlauteren Zwecke nutzen können. Im Zuge einer Test-Webanwendung durchgeführten Advanced BOT-Protection registrierte Barracudas Research Lab Mitte November Millionen Angriffe ausgehend von tausenden verschiedenen IP-Adressen.

Bot-Hirten nutzen den normalen Arbeitstag

So warten Bots nicht bis Mitternacht, um anzugreifen. Tatsächlich erreicht die Bot-Aktivität am späten Vormittag ihren Höhepunkt und fällt erst gegen 17 Uhr ab, was darauf hindeuten könnte, dass sogenannte Bot-Hirten ebenfalls eine recht normale Arbeitszeit haben.

Verteilung bösartiger Bots im Tagesverlauf
Grafik 1: Verteilung bösartiger Bots im Tagesverlauf, Quelle: Barracuda

Anzeige

Wie Cyberkriminelle gutartige User-Agents täuschen, indem sie neue Muster für diese Art von Angriffen anwenden, zeigen folgende Erkenntnisse.

  • Bad Bot Personas sind Bots, die aufgrund ihres Verhaltensmusters als bösartig identifiziert wurden. Bösartige Bots werden nach User-Agent gruppiert, aber einige User-Agents sind gutartig. GoogleBot als Beispiel eines gutartigen Bots durchsucht Webseiten und fügt diese zu Suchranglisten hinzu, sollte also nicht blockiert werden. Google nutzt viele verschiedene User-Agents:

Untergruppierungen von GoogleBot-User-Agents
Grafik 2: Untergruppierungen von GoogleBot-User-Agents. Quelle: developer.google.com

Bösartige Bots versuchen, bekannte User-Agents zu fälschen. Um eine Unterscheidung zwischen Gut und Böse treffen zu können, verwenden IT-Security-Fahnder unter anderem folgende Methoden:

1. „Aufstellen" von Honeytraps wie etwa versteckte URLs und JavaScript-Challenges. Bots folgen Links und reagieren auf JavaScript-Challenges im Vergleich zu Menschen natürlich anders.
2. Verwendung von rDNS (Reverse-DNS-Lookup), um zu prüfen, ob ein Bot aus der angegebenen Quelle stammt.
3. Prüfen, ob der Client versucht, auf URLs zuzugreifen, die von gängigen Fingerprint-Attacken auf Anwendungen verwendet werden.
4. Können diese Methoden den Bot nicht abfangen, kommen weitere Analysen mittels maschinellem Lernen zum Einsatz.

Im November gesammelte Daten zeigen eine Zunahme der folgenden Bad Bot Personas: HeadlessChrome, yerbasoftware und M12bot, weit vor aktuellen Browsern wie etwa Microsoft Edge.

Prozentuale Zunahme bestimmter bösartiger Bots
Tabelle 1: Prozentuale Zunahme bestimmter bösartiger Bots

Der Nicht-Standard-User-Agent/Böswillige User umfasst die folgenden Kategorien:

  • Bots, die vorgeben, ein bestimmter Browser zu sein, aber eine nicht standardisierte Zeichenfolge verwenden.
  • Bots, die vorgeben, eine bestimmte Software zu sein, aber eine nicht standardisierte Zeichenfolge verwenden.
  • Bots, die vorgeben, ein bestimmter Browser zu sein, aber aufgrund ungewöhnlicher Browsing-Muster oder anderer Bot-Checks entdeckt werden.
  • Bots, die vorgeben, ein "guter" Bot zu sein, aber mit rDNS-Lookups entdeckt werden.

Bei der Prüfung, welcher ISP (Internet System Provider) oder welche ASN (Autonomous System Number) die Quelle der schlechten Bot-Aktivität ist, fanden sich sowohl indische Mobilfunkanbieter-Subnetzbereiche als auch einige der großen Public-Cloud-Provider. Dies zeigt, dass die Quelle der Bots möglicherweise international ist, obwohl dies vom Bot und der Webseite, auf die er abzielt, abhängt. Dies zeigt, dass die Quelle der Bots möglicherweise international ist, obwohl dies vom Bot und dem jeweils anvisierten Standort, abhängen würde.

Anzahl der Bot-ISP-Quellen im November 2020
Tabelle 2: Anzahl der Bot-ISP-Quellen im November 2020. Quelle: Barracuda Research Labs

Tipps zum Schutz vor Bot-Angriffen

E-Commerce-Teams sollten die folgenden Schritte unternehmen, um ihre Webanwendungen vor bösartigen Bots zu schützen:

  • Nutzung einer adäquat konfigurierten Web Application Firewall (WAF) oder einer WAF-as-a-Service-Lösung.
  • Anwendungssicherheitslösungen sollten einen Anti-Bot-Schutz enthalten, um fortgeschrittene automatisierte Angriffe effektiv erkennen zu können.
  • Aktivieren von Credential Stuffing Protection, um eine Kontoübernahme (Account Take Over) zu verhindern.

Bei all dem, sollten Onlinehändler keine Zeit verlieren. Die Shopping-Zeit im Vorfeld von Weihnachten ist in vollem Gange und die Hacker arbeiten pausenlos.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.