Dark background with blue code overlay
Blog

Schritt halten mit den Botnets

userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.

botnets.png

Es ist alles andere als ein Geheimnis, dass die globale Pandemie Bedrohungsakteuren und Cyberkriminellen neue Gelegenheiten bietet, Finanzservices anzugreifen. Im Laufe des Jahres 2020 haben Kriminelle COVID‑19 und die damit verbundenen wirtschaftlichen Spannungen sowie die Hoffnung auf finanzielle Hilfen oder den mit Finanzproblemen verbundenen Stress von Betroffenen ausgenutzt – mit der Folge, dass Menschen auf der ganzen Welt zur Zielscheibe von Phishing-Angriffenwurden. 

Mit der Geschwindigkeit Schritt zu halten, mit der sich diese Angriffe weiterentwickelt haben, verkompliziert die Angelegenheit zusätzlich, insbesondere angesichts der Tatsache, dass Phishing-as-a-Service inzwischen ein sofort einsatzbereites Geschäftsmodell ist. Zum Beispiel nutzen Kriminelle – mit einem Kit, das sie im Dark Web gekauft haben – sogar gefälschte SMS-Nachrichten von Finanzinstituten, um ahnungslose Opfer dazu zu bringen, ihre Anmeldedaten weiterzugeben. Ein solches Kit, Kr3pto, wurde mit mehr als 4.000 SMS-Phishing-Kampagnen in Verbindung gebracht, die sich an Kunden von großen Banken in den USA und Großbritannien richteten.

Die für diese Phishing-Angriffe Verantwortlichen wiederum tauschen, verkaufen und missbrauchen gestohlene Anmeldedaten. In Kombination mit Daten, die bei großen Sicherheitsverletzungen gestohlen wurden, führte dies zu einer exponentiellen Zunahme von Credential-Stuffing-Angriffen. Millionen neuer Nutzernamen und Passwörter, die seit Beginn der Pandemie mit mehreren erheblichen Vorfällen verbunden sind, zirkulieren mittlerweile in verschiedenen Foren im Dark Web. Sobald sie im Umlauf sind, werden sie geordnet und an großen Finanzinstituten und einer Vielzahl von Marken im Internet getestet. Diese Methode nutzt die Tatsache aus, dass die meisten Nutzer leider noch immer auf mehreren Plattformen dieselben Anmeldedaten verwenden.

Aus dem 2021 veröffentlichten Akamai „State of the Internet“-Sicherheitsbericht (SOTI) mit dem Titel „Phishing im Finanzwesen“ geht hervor, dass es 2020 weltweit 193 Milliarden Credential-Stuffing-Angriffe gab. Im Mai 2020 stachen zwei Daten besonders hervor: Am 9. Mai erreichte der Missbrauch von Anmeldedaten weltweit einen Höhepunkt von 786.882.475 Angriffen. Fünf Tage später, am 14. Mai, verzeichnete der Finanzdienstleistungssektor seinen eigenen Rekord: 47.698.955 Angriffe. Die Credential-Stuffing-Daten aus unserem aktuellen SOTI-Bericht belegen, dass die Anzahl der Credential-Stuffing-Angriffe im Jahr 2021 konstant blieb, mit Abfällen und Spitzenwerten in den ersten beiden Quartalen, gefolgt von zwei bemerkenswerten Angriffen im Januar und Mai. An diesen Daten stieg der Credential-Stuffing-Angriffstraffic auf über 1 Milliarde Angriffe pro Tag (siehe Tabelle unten).

botnet1.png

Botnets sorgen für einen globalen Credential-Stuffing-Goldrausch

Für den CSO eines Finanzdienstleisters haben zwei Sachverhalte oberste Priorität: die Sicherheit der persönlich identifizierbaren Informationen (PII) der Kunden und die durchgehende Verfügbarkeit digitaler Services. Beide sind für die Kundenbindung und die Erfüllung der Anforderungen der Aufsichtsbehörden von entscheidender Bedeutung. Credential-Stuffing-Angriffe gefährden die Sicherheit von PII und können sich sogar zu DDoS-Angriffen entwickeln, die die Verfügbarkeit beeinträchtigen.

Nehmen wir dieses Beispiel eines Finanzdienstleisters der Global 500: Eines Tages stellte man fest, dass die Renten-Webseite, die für gewöhnlich 20.000 ungültige Anmeldeversuche pro Tag zu verarbeiten hatte, plötzlich alle fünf Minuten 50.000 ungültige Anmeldeversuche empfing. Durch diesen Angriff wurde die Infrastruktur des Unternehmens überlastet, und Nutzer erhielten Sitzungs-Timeouts oder konnten sich nicht bei ihren Konten anmelden. Das Schlimmste daran war, dass sich die Ängste ihrer Kunden bewahrheiteten: Sie konnten sich nicht anmelden, weil jemand gerade versuchte, ihre Konten zu übernehmen. 

Zwar fordern Banken und andere Institutionen ihre Kunden dazu auf, ihr Passwort regelmäßig zu ändern, doch die Nutzer verwenden oft auch weiterhin dieselben Anmeldedaten für mehrere Online-Konten (Einzelhandel, Banking, Dienstprogramme). Selbst nach der Ankündigung eines Datendiebstahls ändern in der Regel nur etwa ein Drittel der Nutzer ihre Passwörter. Dies geht zumindest aus einer 2020 veröffentlichten Studie des Carnegie Mellon University Security and Privacy Institute (CyLab) hervor. Diese Gleichgültigkeit spielt den Angreifern direkt in die Hände. Grundsätzlich funktionieren zwei Drittel der gestohlenen Anmeldedaten mit hoher Wahrscheinlichkeit auch auf anderen Websites. Dazu kommt, dass Kriminelle die Kombinationsliste mithilfe verschiedener Quellen weiterentwickeln, um neue Passwörter zu generieren, wenn die ursprünglichen Kombinationen nicht funktionieren. 

Banken stellen ein besonders attraktives Ziel für Kontoübernahmen dar. Mehr als 3,4 Milliarden Angriffe im Jahr 2020 ereigneten sich im Finanzsektor, was einem Anstieg von 45 % gegenüber derartigen Angriffen im Jahr 2019 entspricht. In einer massiven Credential-Stuffing-Kampagne wurde ein Finanzinstitut mit 55.141.782 schädlichen Anmeldeversuchen überschüttet. Dieser Angriff stellte den größten Anstieg beim gezielten Missbrauch von Anmeldedaten dar, den Akamai jemals bei Finanzdienstleistern beobachtet hat. 

Die Auswahl einer Bot-Managementlösung zum Verhindern und Abwehren von Angriffen

Automatisierte Botnets versuchen, Hunderttausende von Nutzeranmeldedaten auf Banking-Websites zu validieren und die funktionierenden wiederzuverwenden, um Konten zu übernehmen, betrügerische Kredite zu beantragen und die Konten leerzuräumen. (Manchmal halten sie sich auch gar nicht erst mit den ersten beiden Schritten auf.) Es ist nicht einfach, diese Angriffe abzuwehren, denn die Anmeldeinformationen selbst sind legitim, lediglich die sich anmeldende Person ist es nicht. 

Als Sicherheitsanbieter konnten wir bis zu 300.000 betrügerische Anmeldeversuche pro Stunde von einem einzigen Botnet beobachten, was potenziell zum Verlust von Geld, sensiblen Daten und (für den Anbieter am schlimmsten) Verbrauchervertrauen führen kann. Laut einem Bericht des Ponemon Institute „können die durch Credential Stuffing verursachten Kosten – z. B. Verluste durch Betrug, Ausgaben für die betriebliche Sicherheit, Anwendungsausfälle und Kundenabwanderung – zwischen 6 und 54 Millionen Dollar pro Jahr betragen.“

Die Abwehr von Credential-Stuffing-Angriffen steht und fällt mit der richtigen Auswahl an Tools. Die meisten Lösungen sind darauf ausgelegt, Bots von legitimen Nutzern zu unterscheiden. Dabei sind jedoch zwei wichtige Aspekte zu bedenken: 

  • Wie effektiv kann die Lösung mit der Entwicklung von Botnets Schritt halten? 
  • Wie effektiv kann sie die Auswirkungen auf die Customer Journey minimieren?

Wie komplex sind die Bots und wie schnell mutieren sie?

Die Aussicht auf reiche Beute durch Credential Stuffing zieht einige der raffiniertesten Hacker an, was zu besonders hochentwickelten Bots führt. Daher ist es wichtig, ein umfassendes Verständnis der aktuellen Bot-Landschaft in Ihrer Branche und der verfügbaren Bot-Erkennungstechnologien zu erlangen. Die richtige Lösung ist die Lösung, mit der sich auch die komplexesten Bots erkennen lassen. 

Komplexe Bots mutieren. Viele Lösungen erkennen Bots beim ersten Mal. Sie verlieren die Bots jedoch wieder aus den Augen, sobald diese mutieren. Dies geschieht, wenn die Angreifer feststellen, dass Sie deren Bot erkannt haben. Als Folge aktualisieren sie die Software, um Ihre Lösung zu umgehen. Die mutierten Bots können jetzt die ursprüngliche Erkennung umgehen und wieder eingesetzt werden. Die Lösungen müssen daher ebenso komplex sein und Bot-Erkennungstechnologien wie die Analyse des Nutzerverhaltens bereitstellen, die auch bei einer Bot-Mutation effektiv bleiben. 

Ein weiterer entscheidender Faktor ist dabei die Berichtsfunktion. Die Möglichkeit, bestimmte Bots, Botnets oder Bot-Eigenschaften näher zu untersuchen, bietet schnelle und zuverlässige Informationen darüber, womit Sie es zu tun haben. Ohne aussagekräftige Daten werden Ihre Maßnahmen immer unzureichend sein. 

Bot-Anmeldungen ohne negative Auswirkungen auf Kundenanmeldungen abwehren 

Momentan tätigen mehr Bankkunden Transaktionen über Webseiten oder Mobilgeräte als je zuvor. Grund dafür ist natürlich die andauernde Pandemie. Das Volumen des Webtraffics für einen Akamai-Kunden aus der Finanzdienstleistungsbranche stieg nach dem Lockdown im März 2020 drastisch an. Mehr als eineinhalb Jahre später ist das digitale Banking-Verhalten zur neuen Normalität innerhalb der Branche geworden. Umso wichtiger ist es, Sicherheitslösungen auszuwählen, die sich möglichst nahtlos in die Customer Journey integrieren lassen. 

Zum Beispiel stören lästige Captcha-Kontrollen diese Journey erheblich. Sie erzeugen Frustration, welche die Kundenbindung schwächen kann. (Wer hält sich schon gerne damit auf, auf Fotos Kreuzungen finden zu müssen, weil man zuvor nicht alle Fotos mit einem Flugzeug identifizieren konnte?) Eine nutzerfreundliche (Multi-Faktor-) Authentifizierungslösung, die in einer Umgebung arbeitet, die durch ein unauffälliges Bot-Verwaltungstool geschützt ist, kann Nutzer positiv identifizieren und schädliche Bots abwehren, ohne die Nutzung zu erschweren. 

Durch den Einsatz von maschinellem Lernen und Technologien zur Verhaltensanalyse lässt sich bei diesen komplexeren Bedrohungen zusätzlich eine höhere Präzision erreichen. Je genauer der Algorithmus, desto präziser ist die Analyse und desto besser lassen sich Auswirkungen auf die Performance vermeiden und False Positives eliminieren.

Akamai bietet zusätzliche Kriterien für die Auswahl der richtigen Tools, die Ihre Sicherheitsgrundlage stärken, ohne Ihre Customer Journey zu beeinträchtigen. Wenn Sie diese Ziele gemeinsam mit uns erreichen, werden Sie das Vertrauen und die Treue Ihrer geschätzten Kunden erhalten und neue Kunden gewinnen können. Botnets sind unerbittlich, aber Sie können trotzdem gewinnen.

Informieren Sie sich darüber, welche Möglichkeiten Akamai für Finanzdienstleistungsunternehmenanbietet.



userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.