Geschenkgutscheine: Missbrauch durch Bots bedroht E-Commerce

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Geschenkgutscheine: Missbrauch durch Bots bedroht E-Commerce

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Bots sind auf dem Vormarsch. Sie machen auch nicht vor Geschenkkarten-Systemen bekannter Online-Händler halt – wie eine aktuelle Untersuchung von Imperva Bot Management zeigt. Gerade zur Weihnachtszeit, wenn Verbraucher vermehrt Geschenkgutscheine kaufen, kann das fatale Folgen für das E-Commerce-Business haben.

Quelle: weedezign/Shutterstock

Das Weihnachtsgeschäft hat begonnen. Auch dieses Jahr werden im E-Commerce hohe Umsätze erwartet. Immer mehr Kunden nutzen Geschenkgutscheine, um Familie und Freunde zu beglücken. Das birgt allerdings Gefahren, wie Analysten von Imperva Bot Management (ehemals Distil Networks) herausgefunden haben: Sie haben Online-Bots untersucht, die auf Geschenkkartensysteme großer Online-Händler abzielen.

Die sogenannten Gift-Ghost-Bot-Bedrohungen haben dabei einen bemerkenswerten Einfallsreichtum und eine außerordentliche Anpassungsfähigkeit gegenüber Schutzmaßnahmen gezeigt. Auch der kürzlich veröffentlichte E-Commerce Report von Imperva zeigt, dass knapp 24 Prozent der analysierten Bots als besonders anspruchsvoll einzustufen sind. Das erschwert die Erkennung und Bekämpfung der Bots deutlich. Im Interview mit dem e-commerce magazin erklärt Jonathan Butler, Experte für Professional Services & Security Analytics im Team von Imperva Bot Management, die Hintergründe dieser Bedrohung für den Online-Handel.

Imperva Jonathan-ButlerQuelle: Imperva
Jonathan Butler ist Experte für Professional Services & Security Analytics bei Imperva Bot Management.

Sogenannte Gift Ghost Bots greifen Geschenkkartensysteme aller großer Online-Händler an. Wie funktionieren Geschenkgutscheine im Allgemeinen?

Jonathan Butler: Sind die Geschenkgutscheine beim Händler registriert, sind sie zu behandeln wie bares Geld. Genau wie eine Kreditkarte, haben diese Geschenkgutscheine eine Nummer auf der Rückseite. Mit dieser Nummer lässt sich die Karte und der eigentliche Geldwert beim Händler identifizieren.

Wie gehen Hacker vor, um das Geschenkkartensystem einer E-Commerce-Website zu knacken?

Jonathan Butler: Die Hacker versuchen im ersten Schritt Personen zu identifizieren, die über Geschenkgutscheine verfügen. Ist das geschehen, brauchen sie noch die Nummer, die mit dem Geldwert verbunden ist. Und hier kommen Bots ins Spiel: Der Hacker schreibt ein Bot-Skript, das auf die Check-Balance-Dienste einer Händlerseite abzielt. Mit Hilfe von Hundert, Tausend, sogar Millionen von Bot-Zugriffen, können Hacker anfangen, Codes für Geschenkgutscheine auszuprobieren. Je länger ein solcher Brute-Force-Angriff läuft, desto höher ist die Wahrscheinlichkeit, dass der Bot den richtigen Code knackt. Sobald das passiert, haben Hacker vollen Zugriff auf die Geschenkkarte und somit das Geld.

Was sehen die Händler in so einem Fall auf der eigenen Webseite?

Jonathan Butler: Auf Händlerseite ist wahrscheinlich eine Reihe von Validierungsanfragen zu sehen. Wenn Händler die Traffic-Protokolle betrachten, sehen sie eine riesige Steigerung beim jeweiligen Anwendungsaufruf zur Suche nach dem Kartenguthaben. Traffic-Logs weisen auf diesen großen Anstieg hin. Gift-Ghost-Bots lassen sich nur durch den Anstieg des Datenverkehrs bei diesen speziellen Validierungsanfragen oder bei einer Saldenprüfung entdecken.

Wie agieren Angreifer mit dem Gift-Ghost-Bot?

Jonathan Butler: Gift-Ghost-Bots greifen sehr koordiniert an. Das bedeutet, dass hinter diesen Angriffen eine ausgiebige Recherche und koordiniertes Vorgehen stecken. Wir haben erkannt, dass Anbieter – die nicht ausreichend geschützt sind – die Funktionalität ihres Shops herunterfahren mussten, um das Kartenguthaben in der Anwendung zu prüfen.

Wie viele Einzelhändler waren davon betroffen?

Jonathan Butler: Der Gift-Ghost-Bot zielte definitiv auf mehrere E-Commerce-Händler ab – das erkannten wir an seinem koordinierten Angriff, der auf mehrere Hacker schließen ließ. Das allein zeigt, dass hinter diesen Anschlägen Planung und Koordination steckten. Die Folge für Online-Händler ohne entsprechenden Schutz war, dass sie tatsächlich die Funktionalität herunterfahren mussten, um Kartensalden mit der Anwendung zu prüfen. Eine kostspielige Angelegenheit.

Warum sind Bots so gefährlich?

A: Bots reagieren sehr menschlich auf jegliche Art von Abwehr. Wird also eine sichere Verteidigung gegen einen speziellen Bot aufgebaut, ändert er sein Verhalten, um weiterhin Traffic zu generieren. Als wir bei unserer Analyse anfingen, immer stärkere und aufeinander aufbauende Verteidigungsstrategien zu entwickeln, veränderte sich im Laufe der Angriffe auch der Bot. Er entwickelte sich vor allem dann weiter, wenn er sich über mehrere IPs verteilte. Der Bot begann die Browser zu manipulieren und sich selbst als solcher zu tarnen – er wechselte sogar vom Desktop-Browser zum Handy-Browser, um nicht mehr als derselbe Angreifer aufzufallen. Dieses Bot-Verhalten erhöht tatsächlich die Betriebskosten für Online-Händler.

Warum sind Online-Händler ein lukratives Ziel?

Jonathan Butler: Es ist ein ziemlich interessantes Phänomen, das wir oft im Bot-Bereich sehen. Ist der finanzielle Anreiz hoch genug, lohnen sich Bot-Angriffe für Hacker. In diesem Fall war dies mit dem Gift-Ghost-Bot eine direkte Pipeline, um echtes Geld zu validieren. Die Geschenkkarten werden von den Hackern entweder weiterverkauft oder in Finanztransaktionen eingesetzt, um echte Waren und Dienstleistungen zu erhalten.

Wie blockiert man Bots und lässt zugleich den legitimen Nutzer durch?

Jonathan Butler: Um Bots effektiv zu blockieren, benötigen Händler eine Sicherheitslösung, die ihre Anwendungen und Endpunkte schützt. Damit der legitime Nutzer an dieser Hürde nicht scheitert, braucht es eine Erkennungssoftware mit sekundenschneller Entscheidungsfindung. Anhand einer mehrschichtigen Abfrage trifft das Programm die Entscheidung: Bot oder Nutzer. Das System sortiert so den Bot-Verkehr aus, während es gleichzeitig menschliche Website-Besucher erlaubt.

Möglich wird die Unterscheidung, durch eine algorithmische und wahrscheinlichkeitsorientierte Analyse des Verhaltens auf Basis maschinellen Lernens. Damit prüft die Erkennungssoftware, ob die Verhaltensweisen des Nutzers verdächtig sind.

Was empfiehlt Imperva Einzelhändlern, um sich optimal zu schützen?

Jonathan Butler: Es kommt für Händler vor allem darauf an, die gesamte Funktionalität der Web-Anwendung zu beobachten. Die Verzahnung mit dem Sicherheitsteam wird zudem immer wichtiger. In der digitalen Welt mit DDoS-Attacken und Bots muss Sicherheit an erster Stelle stehen. Nur so können die Online-Händler Cyberangriffen entgegenwirken, die nicht nur finanziellen sondern auch Image-Schaden hinterlassen.

Taktischer ausgedrückt: Das Sicherheitsteam sollte ständig die Webanwendungen scannen, nach Anomalien in den Protokollen suchen und sicherstellen, dass die verwendeten Tools auch Einblick in das Vorgehen von Bot-Angriffen geben. Kontinuierliche Schulungen zu neuen Cyberattacken und die Zusammenarbeit mit einem Cybersecurity-Spezialisten sind unumgänglich.

Würde es den Online-Händlern kurzfristig helfen, die Traffic-Rate im Bereich Anfragen zu begrenzen? Könnte man damit Anfragen mit hohem Volumen von vornherein ausschließen?

Jonathan Butler: Das ist genau der Punkt, an dem es wirklich interessant wird. Aber hier beginnt auch das eigentliche Problem. Eine Web Application Firewall (WAF) reicht in diesem Fall nicht aus. Sie basiert darauf, dass das System jeden einzelnen Benutzer erkennt. Bot-Angriffe lassen sich damit nicht begrenzen, hierfür benötigt der Online-Händler eine Bot-Erkennungslösung. Sie kann eine detailliertere Identifizierung der Nutzer durchführen. So lässt sich die Traffic-Rate viel effektiver begrenzen.

Den Händlern muss klar sein, dass die aktuellen Bot-Angriffe nur ein Vorbote dessen sind, was sich in den nächsten fünf Jahren auf diesem Gebiet entwickeln wird. Daher müssen die Online-Händler jetzt handeln und sowohl ihre bisherigen Web-Anwendungen aktualisieren als auch in weitere Sicherheitslösungen investieren. Bots gehen immer den Weg des geringsten Widerstands. Wenn Unternehmen also einen mittleren Aufwand für die Sicherheit betreiben, stellt dies bereits ein Hindernis für Bots dar und die Webseite gilt als ein weniger lukratives Ziel. (sg)

Lesen Sie auch: Bad Bots: Angriffe auf E-Commerce-Websites nehmen zu

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Laut der US-amerikanischen National Retail Federation lag der Umsatz im Weihnachtsgeschäft 2019 bei über 728 Milliarden US-Dollar. Zugleich steigen die Beliebtheitswerte von Onlineshopping, insbesondere über mobile Geräte, weiter an. Um auf den Kundenansturm vorbereitet zu sein, muss die IT-Infrastruktur entsprechend vorbereitet sein.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Social Commerce

Neue Trends im Onlinehandel

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.