Innerhalb von 24 Monaten beobachtete Akamai im eigenen Kundenstamm 85,4 Mrd. schädliche Anmeldeversuche (Dez. 2017 bis Nov. 2019). Akamai verzeichnet damit täglich über Hundert Millionen dieser Angriffe, mit einem Spitzenwert von fast 300 Millionen pro Tag.
Diese unautorisierten Zugriffe auf Nutzerkonten über gestohlene Logins erfolgen durch Bots, die heute für bis zu 70 Prozent des Website-Traffics verantwortlich sind.
Kritisch sind hierbei meistens die Transactional Bots, die quasi als Agenten im Auftrag von Hackern vorgehen. Sie interagieren mit externen Systemen, um eine bestimmte Transaktion durchzuführen und Daten von einer Plattform auf eine andere zu übertragen. Typische Beispiele bösartiger Transactional Bots sind Login-Attacken (über gestohlene Anmeldedaten aus Datenklaus), Fake Account Signup oder Concert Ticket Grabbers. Tatsächlich sind 43 Prozent aller Login-Versuche schadhaft und kommen von Bots.
Angriffe wie diese haben für die betroffenen Unternehmen und Institutionen häufig sehr unangenehme Konsequenzen: Anwendungsausfälle durch beeinträchtigte Webperformance (73 Prozent) und Wiederherstellungskosten (63 Prozent) zählen zu den größten Belastungen, aber auch geringere Kundenzufriedenheit, entgangene Umsätze und finanzielle Verluste (alle um die 40 Prozent) haben ein deutliches Gewicht.
Wie funktionieren Bot-Angriffe generell?
Ein Angreifer identifiziert zuerst Webseiten mit wertvollen Konten wie Kreditinstitute, Online-Shops, Anbieter von Videostreamings oder Wettbüros. Im Darknet erwirbt er anschließend Listen mit gestohlenen Logindaten und mietet ein Botnet, um die Kontenliste automatisiert auf der avisierten Website zu überprüfen. Um den Ursprung von Credential Abuse zu verschleiern, setzen Hacker Software-Tools ein, die sie anonymisieren. Verläuft eine Credential Stuffing Attacke erfolgreich, verkauft der Angreifer die neuen validierten Zugangsdaten entweder im Darknet oder setzt sie selbst ein. Mit den gestohlenen Daten können Betrüger sich dann beispielsweise in fremde Konten einloggen und Finanztransaktionen durchführen.
Doch wie können eindeutig Bot-Aktivitäten von menschlichen Aktivitäten unterschieden werden? Traditionelle Bot Manager Technologien wie Browser Property Analysis, IP Rate Limiting oder Network Header Analysis sind leider nicht besonders effektiv, um den Missbrauch von Anmeldedaten auszuschließen.
Aber – und das ist die gute Nachricht – es sind in letzter Zeit einige neue Verfahren entwickelt worden, um Bot-Aktivitäten eindeutig von menschlichen Internetaktivitäten zu unterscheiden und damit eine Grundlage zu schaffen, schädliche Bot-Zugriffe zu unterbinden. Dabei werden typisch menschliche Verhaltensmuster genutzt, nämlich die sogenannte neuro-muskuläre Interaktion: Das ist das Zusammenspiel von Nerven und Muskeln beim Verwenden einer Mouse oder beim Tippen, die von maschinellen Skripten kaum nachgeahmt werden können.
Abwehr von Credential Stuffing-Angriffen
Für einen effektiven Schutz vor Bot-Angriffen ist es im ersten Schritt empfehlenswert, dass der Anmeldevorgang nicht direkt auf der Ziel-Website stattfindet, sondern bereits auf einer vorgelagerten Plattform in der Cloud auf mögliche Gefahren inspiziert wird. Dadurch bleibt die Webanwendung durchgehend funktionsfähig, die Website bricht nicht aufgrund des Bot-Ansturms zusammen und unautorisierte Zugriffe auf Kundenkonten werden verhindert. Akamais Bot Manager beruht auf der Intelligent Edge Platform, die weltweit über mehr als 240.000 Server verfügt und eine hohe Skalierbarkeit, Ausfallsicherheit und Performance bietet. Wenn also ein Client – egal ob echter Nutzer oder Bot – Zutritt verlangt, stellt die Edge über den nächstgelegenen Server eine Verbindung zur Ziel-Webanwendung her. Bots werden bereits an der Edge – in der Peripherie des Internets – vom Bot Manager erkannt, identifiziert und gegebenenfalls abgewehrt, noch bevor sie sich Zugang zur Ziel-Webanwendungen verschaffen können.
Der Bot Manager-Schutz kann granular an die Kundenbedürfnisse angepasst werden, so dass jeweils nur unbedenkliche Zugriffe an die Anwendungsquelle weitergeleitet werden. Im Hinblick auf eine umfassende Anwendungssicherheit lässt sich der Bot Manager mit anderen Sicherheitslösungen kombinieren, darunter DDoS-Schutz und eine Web Application Firewall (WAF).
Gute Bot Management-Lösungen leisten Folgendes:
- Bot-Aktivitäten erkennen: Anhand eines mehrstufigen Prozesses einschließlich signaturbasierter Erkennung, Verhaltenserkennung sowie Feststellung von statistischen Anomalien. Mit signaturloser Erkennung lassen sich unter Einsatz von Big Data und maschinellem Lernen selbst hochentwickelte Bot-Aktivitäten von legitimer Nutzung unterscheiden.
- Unterscheidung von legitimem und schädlichem Traffic: Führende Bot ManagementLösungen analysieren große Mengen an Datentraffic über Milliarden von Geräten hinweg und erhalten so umfassende Einblicke in aktuelle Trends und Gefahren. Big Data gepaart mit Algorithmen für maschinelles Lernen sorgen für äußerst genaue Ergebnisse.
- Unterscheidung zwischen Mensch und Maschine: Ein Bot Manager analysiert Hunderte von Verhaltens-, Browser- und Gerätesignale und vergleicht diese im Zeitverlauf mit legitimem menschlichen Verhalten.
- Anpassungsfähige Abwehrmaßnahmen: Da sich Bots ständig ändern, sollte die Reaktion darauf entsprechend variieren – von einfachen Taktiken bis hin zu erweiterten Abwehrmaßnahmen, um Bot-Traffic zu verlangsamen oder über alternative Inhalte in eine Falle zu locken.
- Kombination mit anderen Sicherheitslösungen sowie in SIEM-Lösungen. Somit ist ein ganzheitlicher Überblick über die aktuelle Sicherheitsstrategie gewährleistet.
- Schutz der gesamten Website inklusive mobile Apps, nicht nur von Anmelde- und Kontoregistrierungsseiten. Durch die Bot-Abwehrmaßnahmen werden über die Website und über die mobile Apps generierte Umsätze gesichert. Damit bleiben alle Funktionen der Webinfrastruktur von Angriffen unberührt.
Verbraucher können sich eigenständig gegen Online-Betrug schützen, indem sie niemals dasselbe Passwort auf unterschiedlichen Webseiten verwenden. Außerdem sollte auf starke Passwörter geachtet werden!
Wer sich mit dem Thema Credential Stuffing und Bot Managern noch intensiver beschäftigen möchte, findet hier eine Übersicht und Anwendungsfälle aus verschiedenen Branchen. Noch ausführlichere Informationen rund um Credential Stuffing sind in folgendem White Paper von Akamai abrufbar.