Get best of the week

Wie widerstehen E-Commerce-Websites den AuthBots-Botnetzen?

Cyberkriminelle pumpen die persönlichen Daten von Millionen von Online-Käufern aus. Ein neuer Botnet-Typ, der E-Commerce-Unternehmen bedroht, heißt „AuthBots“, da er unermüdlich versucht, Authentifizierungsmechanismen zu knacken. AuthBots werden verwendet, um groß angelegte Angriffe auszuführen, indem Websites gehackt oder Anmeldeinformationen gefüllt und Benutzerkonten erfasst werden.

AuthBots nutzte eine Armee von Bots, die von illegal zugewiesenen IP-Adressen aus gestartet wurden, und griff allein in den ersten drei Quartalen 2019 fast 2,3 Milliarden Angriffe auf E-Commerce-Geschäftsautorisierungsseiten an.

Bild

Radware-Cybersicherheitsforscher bemerkten Ende 2018 erstmals ähnliche Bot-Spuren auf vielen E-Commerce-Websites und begannen, Botnets zu verfolgen.

Der folgende Bericht veranschaulicht die schnelle Entwicklung von Mechanismen und die Entwicklung von AuthBot-Botnetzen sowie deren zerstörerische Auswirkungen auf das gesamte E-Commerce-Ökosystem.

Diese Analyse berücksichtigt möglicherweise nur einen kleinen Teil des tatsächlichen Schadens durch AuthBot-Botnets. Die gesamten dauerhaften negativen Auswirkungen auf das Ökosystem des Online-Einzelhandels können größer sein, da sich die Analyse der Radware-Forscher auf Informationen zu den von ihnen kontrollierten Websites beschränkt.

AuthBot Botnet Übersicht


Erstmals entdeckt: Ende 2018

Maßstab: Rund 2,3 Milliarden Angriffe auf Autorisierungsseiten der Websites von E-Commerce-Unternehmen im Zeitraum vom ersten bis zum dritten Quartal 2019.

Infrastruktur: 52 Millionen AuthBot-Botnet-Angriffe kamen von 10 beliebten Rechenzentren / öffentlichen Clouds.

Methoden: (1) Stuffing-Angriff mit Anmeldeinformationen unter Verwendung eines auf anderen Ressourcen gestohlenen / gekauften Stuffing-Angriffs mit Anmeldeinformationen.

Erweiterte Bypass-Techniken zur Bot-Erkennung


  • Geolocation- und IP-Adressbetrug durch Proxies
  • Mehr als die Hälfte der AuthBot-Botnet-Angriffe kommt von Rechenzentren / öffentlichen Cloud-Diensten
  • IP-
  • IP- -
  • (RPA),
  • (daisy-chain)

Bild
.1 AuthBot-:


  • 2019 AuthBot ecommerce-.
  • AuthBot

Bild
Abb. 2 Monatlicher Geschäftsschaden durch AuthBot-Botnets

Richtlinien zur Verhinderung von AuthBot-Botnet-Angriffen


AuthBot-Botnets gehören hauptsächlich zur vierten Generation von "schlechten" Bots. Diese Bots können über Tausende von IP-Adressen aus verschiedenen Regionen eine Verbindung herstellen und das Verhalten eines echten Benutzers simulieren. Um AuthBots zu identifizieren und zu reflektieren, sind fortschrittliche Technologien erforderlich, beispielsweise die Verwendung eines spezialisierten Dienstes von Anbietern von Bot-Management-Lösungen.

E-Commerce-Unternehmen können jedoch eine Reihe von vorbeugenden Maßnahmen ergreifen, um die Verbreitung von Botnetzen auf ihren Websites einzudämmen, noch bevor eine vollwertige spezialisierte Lösung implementiert wird.

1. Blockieren des Datenverkehrs aus öffentlichen Clouds / Rechenzentren, in denen sich „schlechte“ Bots befinden

Ein erheblicher Prozentsatz der AuthBot-Bots wird aus öffentlichen Clouds / Rechenzentren gestartet. Unternehmen blockieren möglicherweise verdächtige Rechenzentren / öffentliche Cloud-Dienste. Das Blockieren des gesamten Datenverkehrs von Rechenzentren oder Dienstanbietern ohne Berücksichtigung des Benutzerverhaltens kann jedoch zu Fehlalarmen führen.

Beispielsweise wird eine erhebliche Anzahl von Benutzern aus kommerziellen Organisationen, in deren Netzwerken Internet Security Gateways (SWGs) installiert sind, um den Benutzerverkehr zu filtern, als Verkehr von Melonenverarbeitungszentren qualifiziert, in denen sich Sicherheitsgateways befinden.

2. Überwachung fehlgeschlagener Autorisierungsversuche und plötzlicher Verkehrsstöße

AuthBot-Botnets greifen Autorisierungsseiten an, indem sie einen Stuffing-Angriff mit Anmeldeinformationen oder einen Cracking-Angriff mit Anmeldeinformationen verwenden. Bei beiden Optionen werden viele verschiedene Daten oder Kombinationen von Benutzernamen und Kennwörtern aufgelistet, wodurch sich die Anzahl der fehlgeschlagenen Autorisierungsversuche erhöht. Das Vorhandensein von AuthBots auf der Site erhöht auch den Verkehr auf der Site dramatisch.

Durch die Überwachung fehlgeschlagener Berechtigungen und unerwarteter Verkehrsspitzen können Sie rechtzeitig Maßnahmen ergreifen und Schäden durch Botnets verhindern.

3. Mittel zur Bestimmung der automatisierten Aktionen von Bots, die als Verhalten von echten legitimen Benutzern getarnt sind.

AuthBot-Botnets simulieren Mausbewegungen, erzeugen zufällige Tastenanschläge und Seitennavigation, ähnlich dem Verhalten von Live-Benutzern. Die Verhinderung solcher Angriffe erfordert die Einführung erweiterter Sicherheitsfunktionen, einschließlich umfassender Verhaltensanalysemodelle, Fingerabdrücke von Geräten / Browsern und Berichtssystemen, um zu verhindern, dass echte Benutzer blockiert werden.

Spezielle Lösungen zum Schutz vor Bots können solche hoch entwickelten automatisierten Angriffe erkennen und proaktive Maßnahmen ergreifen. Im Vergleich dazu beschränken sich herkömmliche Cyber-Sicherheitstools wie Firewalls und Web-Sicherheitslösungen (Firewalls, Webanwendungs-Firewall, WAF) auf die Verfolgung gefälschter Cookies, Benutzeragenten und der Reputation von IP-Adressen.

Darüber hinaus können Sie durch die Installation oder Implementierung einer speziellen Lösung für die Bot-Verwaltung nicht nur die Autorisierungsseiten zuverlässig vor AuthBot-Botnetzen schützen, sondern auch andere Arten automatisierter Angriffe nach der Autorisierung eliminieren. Diese Arten von Angriffen umfassen das Parsen, um Daten für die nachfolgende Analyse (Web Scraping) zu sammeln, sowie den Missbrauch und die Unterbrechung von Online-Shop-Diensten (Missbrauch an der Kasse und Verweigerung des Inventars).

Bild

More articles:


All Articles