Zugangsdaten als auch besonders die Zahlungsdaten vor API-Angriffen absichern.<\/li>\n<\/ul>\nEin starker Anstieg 2020 macht DDoS-Attacken heimt\u00fcckisch, gerade auch angesichts der vermehrten Eink\u00e4ufe von Privatrechnern in Einzelhaushalten. Zuletzt ist auch die Lieferkette gef\u00e4hrdet durch Drittanbieter-Plugins wie JavaScript und CMS-Framework: Formjacking, Daten-Skimming und Magecart-Angriffe k\u00f6nnen im Lockdown-Weihnachts-Shopping stark zunehmen. <\/p>\n
Vor Weihnachten: Hochkonjunktur f\u00fcr Bad Bots<\/h2>\n
Auch vom Sicherheitsanbieter Barracuda liegt mir eine Information in Sachen Sicherheit beim Weihnachtsshopping vor. Wenn vor Weihnachten das Online-Gesch\u00e4ft brummt gibt es f\u00fcr Online-H\u00e4ndler sicherheitstechnisch viel zu tun. Denn E-Commerce-Webseiten werden in dieser Hochzeit des Onlineeinkaufs zu einem bevorzugten Ziel f\u00fcr Cyberkriminelle. <\/p>\n
Die Kriminellen setzen verst\u00e4rkt Bots ein, um DDoS-Angriffe (Distributed Denial of Service) auszuf\u00fchren, betr\u00fcgerische Eink\u00e4ufe zu t\u00e4tigen und nach Schwachstellen zu suchen, die sie f\u00fcr ihre unlauteren Zwecke nutzen k\u00f6nnen. Im Zuge einer Test-Webanwendung durchgef\u00fchrten Advanced BOT-Protection registrierte Barracudas Research Lab Mitte November Millionen Angriffe ausgehend von tausenden verschiedenen IP-Adressen. <\/p>\n
Bot-Hirten nutzen den normalen Arbeitstag<\/h3>\n
So warten Bots nicht bis Mitternacht, um anzugreifen. Tats\u00e4chlich erreicht die Bot-Aktivit\u00e4t am sp\u00e4ten Vormittag ihren H\u00f6hepunkt und f\u00e4llt erst gegen 17 Uhr ab, was darauf hindeuten k\u00f6nnte, dass sogenannte Bot-Hirten ebenfalls eine recht normale Arbeitszeit haben.<\/p>\n
![\"Verteilung](\"https:\/\/i.imgur.com\/PIuXlDn.png\"\/ "\\"Verteilung")
Grafik 1:<\/strong> Verteilung b\u00f6sartiger Bots im Tagesverlauf, Quelle: Barracuda<\/p>\nWie Cyberkriminelle gutartige User-Agents t\u00e4uschen, indem sie neue Muster f\u00fcr diese Art von Angriffen anwenden, zeigen folgende Erkenntnisse.<\/p>\n
\n- Bad Bot Personas<\/strong> sind Bots, die aufgrund ihres Verhaltensmusters als b\u00f6sartig identifiziert wurden. B\u00f6sartige Bots werden nach User-Agent gruppiert, aber einige User-Agents sind gutartig. GoogleBot als Beispiel eines gutartigen Bots durchsucht Webseiten und f\u00fcgt diese zu Suchranglisten hinzu, sollte also nicht blockiert werden. Google nutzt viele verschiedene User-Agents:<\/li>\n<\/ul>\n
![\"Untergruppierungen](\"https:\/\/i.imgur.com\/XGWhPvk.png\"\/ "\\"Untergruppierungen")
Grafik 2:<\/strong> Untergruppierungen von GoogleBot-User-Agents. Quelle: developer.google.com<\/p>\nB\u00f6sartige Bots versuchen, bekannte User-Agents zu f\u00e4lschen. Um eine Unterscheidung zwischen Gut und B\u00f6se treffen zu k\u00f6nnen, verwenden IT-Security-Fahnder unter anderem folgende Methoden: <\/p>\n
1. \u201eAufstellen\" von Honeytraps wie etwa versteckte URLs und JavaScript-Challenges. Bots folgen Links und reagieren auf JavaScript-Challenges im Vergleich zu Menschen nat\u00fcrlich anders.
2. Verwendung von rDNS (Reverse-DNS-Lookup), um zu pr\u00fcfen, ob ein Bot aus der angegebenen Quelle stammt.
3. Pr\u00fcfen, ob der Client versucht, auf URLs zuzugreifen, die von g\u00e4ngigen Fingerprint-Attacken auf Anwendungen verwendet werden.
4. K\u00f6nnen diese Methoden den Bot nicht abfangen, kommen weitere Analysen mittels maschinellem Lernen zum Einsatz.<\/p>\n
Im November gesammelte Daten zeigen eine Zunahme der folgenden Bad Bot Personas: HeadlessChrome, yerbasoftware und M12bot, weit vor aktuellen Browsern wie etwa Microsoft Edge.<\/p>\n
![\"Prozentuale](\"https:\/\/i.imgur.com\/7X1f6Ps.png\"\/ "\\"Prozentuale")
Tabelle 1:<\/strong> Prozentuale Zunahme bestimmter b\u00f6sartiger Bots<\/p>\nDer Nicht-Standard-User-Agent\/B\u00f6swillige User umfasst die folgenden Kategorien:<\/p>\n
\n- Bots, die vorgeben, ein bestimmter Browser zu sein, aber eine nicht standardisierte Zeichenfolge verwenden.<\/li>\n
- Bots, die vorgeben, eine bestimmte Software zu sein, aber eine nicht standardisierte Zeichenfolge verwenden.<\/li>\n
- Bots, die vorgeben, ein bestimmter Browser zu sein, aber aufgrund ungew\u00f6hnlicher Browsing-Muster oder anderer Bot-Checks entdeckt werden.<\/li>\n
- Bots, die vorgeben, ein \"guter\" Bot zu sein, aber mit rDNS-Lookups entdeckt werden.<\/li>\n<\/ul>\n
Bei der Pr\u00fcfung, welcher ISP (Internet System Provider) oder welche ASN (Autonomous System Number) die Quelle der schlechten Bot-Aktivit\u00e4t ist, fanden sich sowohl indische Mobilfunkanbieter-Subnetzbereiche als auch einige der gro\u00dfen Public-Cloud-Provider. Dies zeigt, dass die Quelle der Bots m\u00f6glicherweise international ist, obwohl dies vom Bot und der Webseite, auf die er abzielt, abh\u00e4ngt. Dies zeigt, dass die Quelle der Bots m\u00f6glicherweise international ist, obwohl dies vom Bot und dem jeweils anvisierten Standort, abh\u00e4ngen w\u00fcrde.<\/p>\n
![\"Anzahl](\"https:\/\/i.imgur.com\/9a1wygk.png\" "\\"Anzahl")
Tabelle 2:<\/strong> Anzahl der Bot-ISP-Quellen im November 2020. Quelle: Barracuda Research Labs<\/p>\nTipps zum Schutz vor Bot-Angriffen<\/h3>\n
E-Commerce-Teams sollten die folgenden Schritte unternehmen, um ihre Webanwendungen vor b\u00f6sartigen Bots zu sch\u00fctzen: <\/p>\n
\n- Nutzung einer ad\u00e4quat konfigurierten Web Application Firewall (WAF) oder einer WAF-as-a-Service-L\u00f6sung.<\/li>\n
- Anwendungssicherheitsl\u00f6sungen sollten einen Anti-Bot-Schutz enthalten, um fortgeschrittene automatisierte Angriffe effektiv erkennen zu k\u00f6nnen.<\/li>\n
- Aktivieren von Credential Stuffing Protection, um eine Konto\u00fcbernahme (Account Take Over) zu verhindern.<\/li>\n<\/ul>\n
Bei all dem, sollten Onlineh\u00e4ndler keine Zeit verlieren. Die Shopping-Zeit im Vorfeld von Weihnachten ist in vollem Gange und die Hacker arbeiten pausenlos.<\/p>\n","protected":false},"excerpt":{"rendered":"
Aktuell versuchen H\u00e4ndler das durch den Coronavirus-Shutdown gel\u00e4hmte Weihnachtsgesch\u00e4ft durch Verk\u00e4ufe \u00fcber Online-Shops zu retten. Der gestiegene Besucherumfang in den Shops spielt aber Cyber-Kriminellen in die H\u00e4nde, die diese Situation ausnutzen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-239937","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239937","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=239937"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239937\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=239937"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=239937"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=239937"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Aktuell versuchen H\u00e4ndler das durch den Coronavirus-Shutdown gel\u00e4hmte Weihnachtsgesch\u00e4ft durch Verk\u00e4ufe \u00fcber Online-Shops zu retten. Der gestiegene Besucherumfang in den Shops spielt aber Cyber-Kriminellen in die H\u00e4nde, die diese Situation ausnutzen.<\/p>\n