Blog durchsuchen nach

Neue Forschung von Imperva Bot Management untersucht den Missbrauch von Geschenkkarten

Forscher von Imperva Bot Management (ehemals Distil Networks) haben Online-Bots
verfolgt, die auf die E-Commerce-Geschenkkartensysteme großer Online-Händler
abzielen. Die von ihnen untersuchten Bedrohungsakteure zeigen eine bemerkenswerte
Einfallsreichtum und Anpassungsfähigkeit. Jonathan Butler von Imperva Bot
Management hat sich kürzlich mit Dave Bittner von CyberWire getroffen, um die
Ergebnisse zu diskutieren.

Hören Sie den Podcast hier.

Nachfolgend finden Sie eine überarbeitete Abschrift ihres Gesprächs, die als F&A
bearbeitet wurde.  

Dave Bittner (F): Vielen Dank, Jonathan Butler, dass Sie sich mir
angeschlossen haben, um über Ihre Forschung zu „GiftGhostBot greift E-
Commerce-Geschenkkartensysteme bei großen Online-Händlern an“ zu
sprechen. Wie funktionieren Geschenkkarten?

Jonathan Butler (A): In der Regel geht mit dem Erhalt eines Gutscheins ein
Registrierungsprozess einher. Sobald er registriert ist, ist er so gut wie Geld in Ihrer
Tasche, um Produkte oder Dienstleistungen von einem bestimmten Händler zu kaufen.
Genau wie eine Kreditkarte haben diese Geschenkgutscheine eine Nummer auf der
Rückseite, durch die die Bindung der Karte an das eigentliche Geld dahinter identifiziert
wird. In der Regel gehört dazu auch eine PIN, um diese Gelder zusätzlich zu
validieren. Wenn Sie den Geldwert auf der Karte validieren, können die Systeme diese
Ziffern lesen und dann anhand der zusätzlichen PIN validieren. So wird der Zugriff auf
die Mittel validiert.

F: Wie gehen Hacker vor, um das Geschenkkartensystem einer E-Commerce-
Seite zu knacken?

A: Ein Angreifer, ein Gegner, der mich als Ziel mit der Geschenkkarte sieht, wird nicht
unbedingt die Zahl kennen, die mit den Geldern verbunden ist. Am Ende ist der Gegner
in diesem Spiel gezwungen, diese Zahlen effektiv zu erraten. Und hier kommen Bots ins
Spiel. Dieser Gegner wird ein Bot-Skript schreiben, das die Check-Balance-Dienste auf
einer Händlerseite angreifen kann. Hunderte, tausende, mehr als Millionen von
Vermutungen, wenn sie die Größe und Mittel dafür haben. Sie können ohne Logik
einfach frontale Rateangriffe machen. Letztendlich erhöht sich die Wahrscheinlichkeit,
einen Treffer zu landen, drastisch, wenn genug Vermutungen vorliegen. Sobald das
passiert, haben sie vollen Zugriff auf die Karte und das Geld.

F: Erraten sie auch die PIN?

A: Ja, sie werden den gleichen Zählprozess sowohl auf die Karte als auch die PIN
anwenden. So haben sie die Kartennummer, und dann können sie einfach
randomisieren und anfangen, die PIN zu schätzen. Irgendwann knacken sie die.

F: Aus Sicht des Händlers – wie stellt sich das für sie dar?

A: Auf ihrer Seite würden sie wahrscheinlich eine Reihe von Anfragen auf Validierung
eintreffen sehen. Wenn sie sich also ihre Verkehrsprotokolle ansehen, werden sie eine
riesige Spitze für den jeweiligen Anwendungsaufruf sehen, der sich mit der Auslesung
der Geschenkkartensalden befasst. Wenn wir diese Angriffe sehen, ist das
typischerweise das, was passiert. Was darauf hindeutet und es verrät, ist das massive
Ansteigen insbesondere dieser Abrufe im Diagramm oder dem Verkehrsprotokoll. Für
Einzelhändler ist es wirklich wichtig, einen besseren Einblick in einige der kritischen
Anwendungsfunktionen zu haben, die bekanntermaßen hochwertige Ziele für Bot-
Programmierer sind. Wonach Sie wirklich suchen, ist der Anstieg des Datenverkehrs für
diese speziellen Anfragen auf Validierung, oder das Abfragen von Guthaben.

F: Und das wäre offensichtlich – wenn die Bots anfangen, einen anzugreifen
und man sich diese Protokolle ansieht? Die Chancen stehen gut, dass man es
erkennt?

A: Ich würde das so sehen. Normalerweise gibt es auf diesen Arten von Seiten im
Vergleich zu dem, was ein Bot-Autor mit diesem Ding machen wird, keinen großen
Verkehr. Daher würden Sie ein relativ niedriges und stabiles Aufkommen erwarten und
normalerweise sind die Verkehrsmuster dieser Dinge, Sie wissen schon, sehr
vorhersehbar, oder? Zum Beispiel schwankt es mit den Spitzen – den Aktiv- und
Inaktiv-Spitzen der Website. Tritt jedoch ein Bot-Autor auf den Plan und lässt sein
Skript gegen die Website laufen, werden Sie sehen, dass dieses Ding einfach sehr
drastisch und anomal ansteigt.

F: Insbesondere mit dem GiftGhostBot, wie gehen Angreifer dabei vor?

A: Im GiftGhostBot-Szenario fanden wir heraus, dass es ein sehr koordinierter Angriff
war, der auf mehr als einen Händler abzielte. Das allein zeigt, dass hinter diesen
Anschlägen Planung und koordinierte Anstrengungen steckten. Als wir uns damit
beschäftigten, stellten wir fest, dass die Verkäufer – insbesondere diejenigen ohne
Schutz durch Imperva – tatsächlich die Funktionalität herunterfahren mussten, um
Kartensalden mit der Anwendung zu prüfen, weil die Angelegenheit für sie wirklich
kostspielig wurde.

F: Werden Händler durch die Anzahl der der Anfragen quasi mit einer DDoS-
Attacke überzogen? Oder werden so viele Geschenkkarten kompromittiert? 

A: Es ist ein bisschen von beidem. Die Bot-Welt reagiert fast auf menschliche Weise,
wenn Sie über die Verteidigung einer Anwendung gegen sie sprechen. Wenn sie Erfolg
haben und eine Verteidigung vor ihnen aufbauen, ist es sehr wahrscheinlich, dass das
Botnet hochgefahren wird, um noch mehr Traffic zu produzieren. Das haben wir im
Laufe des GiftGhostBot-Angriffs gesehen. Als wir begannen, über alle unterschiedlichen
Merkmale mehr und mehr inkrementelle Verteidigungen vor diesem Ding aufzubauen,
hat es sich tatsächlich im Laufe der Angriffe entwickelt.

Im Frühstadium der Beobachtungen war es sehr primitiv. Es hat nicht viel getan, um
sich zu verstecken. Als es jedoch einen leichten Erfolg hatte, mussten wir am Ende
unsere Verteidigung verringern und es mit immer fortschrittlicheren und
ausgeklügelteren Signaturen konfrontieren. Als Ergebnis sahen wir, dass dieses Ding
sich dort entwickelte, wo es sich über immer mehr IPs verteilte. Es begann, die Browser
zu manipulieren, als die es sich selbst identifizierte. Es ging sogar von Desktop- auf
mobile Browser über.

Interessanterweise haben wir gesehen, dass es innerhalb des breiteren Angriffs
tatsächlich Kanäle gab, die darauf hindeuteten, dass mehr als eine Art von Akteur
beteiligt war. Im Laufe der Entwicklung des Angriffs sahen wir also vereinfachte
Bemühungen kommen und gehen. Die Stufen der Raffinesse wurden während des
Verlaufs gedrosselt und in ein paar verschiedene Kernverhalten gruppiert. Es war also
wirklich interessant zu sehen, dass es sich nicht nur um einen geplanten und
koordinierten Angriff handelte, der nur auf Händler – und vor allem im Bekleidungs- und
Modebereich – abzielte, sondern dass es sogar mehrere Akteure gegeben haben
könnte. Jeder brachte seine eigene Taktik mit an den Tisch.

F: Erläutern Sie die Bedeutung des Wechsels zu einem iPhone- oder Android-
Benutzeragenten. Warum ist das wichtig?

A: Es ist wichtig, weil man sich an das wichtigste und grundlegendste Konzept erinnern
muss, wenn man es mit [bösartigen] organisierten Bots zu tun bekommt, alles wird
durch Geld angetrieben. Es wird zu einer tatsächlichen Unternehmung mit Investitionen,
sowohl in Zeit, Aufwand, und Forschung. Und bei der Verteidigung gegen wirklich

fortschrittliche und anspruchsvolle Akteure geht es nicht immer darum, jede einzelne
Anfrage zu stoppen, es wird mehr zu einem Kampf um die Frage, wie man ihre
Handlungsfähigkeit behindert und die Entstehung eines Geschäfts daraus verhindert.
Wir stellten fest, dass [die Angreifer] nach Beginn der Verteidigung tatsächlich mehr
Zeit, Aufwand und Forschung investieren mussten, um etwas über die

Erkennungstaktiken auf unserer Seite herauszufinden. Aber noch wichtiger ist, dass es
sie gezwungen hat, sich zu entwickeln und vom Desktop auf Mobilgeräte umzusteigen.
Und das erhöht tatsächlich die Betriebskosten für sie, weil es teurer ist, auf diese
Geräte Zugriff zu erhalten.

Und so erzwingen Sie am Ende höhere Betriebskosten für die, während sie sich
entwickeln. Wenn Sie für sehr fortgeschrittene und hartnäckige Akteure diese Basislinie
bis zu dem Punkt bringen können, an dem die ganze Anstrengung oder Operation
nahezu sinnlos wird, nehmen Sie die Motivation so sehr aus dem Spiel, dass sie
aufgeben.

Es ist ein ziemlich interessantes Phänomen, das wir oft in der Welt der Bots
beobachten. Wenn diese Dinge einen ausreichenden finanziellen Anreiz bieten, werden
sie nie verschwinden. Und es gibt Zusammenhänge, warum das passieren könnte.
Wenn Sie die einzige Person im Besitz dieses bestimmten Datensatzes, oder ein
hochrangiges Ziel sind, das zufällig sehr wertvolle Datensätze hält, fangen Sie an, die
Ausdauer und fortgeschrittene Natur dieser Angriffe mit dieser Art von Dingen zu
korrelieren. In diesem Fall, dem GiftGhostBot, ging es um eine direkte Möglichkeit, sehr
reales Geld zu validieren, das wiederum entweder weiterverkauft oder in
Finanztransaktionen als echtes Medium genutzt werden konnte, um sehr reale Waren
und Dienstleistungen zu erhalten.

F: Wie blockieren Sie Bots, lassen aber die normalen legitimen Benutzer
durch?

A: Bei Imperva zählt die Art und Weise, wie unser Bot-Erkennungssystem aufgebaut ist,
stellt ein Client eine Anfrage an eine Anwendung, führen eine Reihe von
mehrschichtigen Abfragen zu diesem Client durch, um schließlich die Frage „hey, bist du
menschlich oder nicht?“ zu beantworten. Einige dieser Abfrageschritte behandeln sehr
simple Umstände, wie etwa „hey, ist Ihr Benutzer-Agent legitim? Sind Sie eine legitime
Quelle oder kommen Sie aus so etwas wie einem Hosting-Center? Oder machen Sie
lediglich etwas, was Sie sonst nicht tun sollten?“ Auf dem ganzen Weg bis zu den
komplexeren Dingen lassen Sie einen JavaScript-Engine laufen? Und während sich der
Raum weiterentwickelt hat und fortgeschritten ist, machen wir immer mehr
algorithmische und probabilistische Entscheidungsfindung abhängig von maschinellem
Lernen dazu, ob die Verhaltensweisen selbst verdächtig sind.

Diese Entscheidungen fallen für jede Anfrage nahezu nahtlos in Echtzeit. Wenn unsere
Kunden also unsere Plattform und Technologie nutzen, um ihre Anwendungen und
Nahtstellen effektiv zu schützen, führen wir diese Prüfungen durch und treffen sehr
reale programmgesteuerte Entscheidungen, die letztlich entscheiden, wie der Bot-
Verkehr ausgesondert wird, ohne normale Besucher der Website zu beeinträchtigen.
Wir tragen dazu bei, Umsätze für dieses Unternehmen zu generieren und sie zu fördern,
indem wir sicherstellen, dass Benutzer ohne böswillige Absichten nicht betroffen sind.

F: Was sind Ihre Empfehlungen für Händler, um sich optimal zu schützen? 

A: Ich denke zuerst an die wichtigsten Dinge, man muss sich hinsetzen und alle
Funktionen der Web-Anwendung betrachten und sicherstellen, dass die
Geschäftseinheiten sehr eng mit den Sicherheitsteams dieser Organisationen verbunden
sind. Auch heute noch glaube ich, dass viele Unternehmen Sicherheit als zweitrangig
nach dem Geschäftszuwachs betrachten. Die Sicherheit stand immer im Hintergrund,
außer bei Frühanwendern und den Pionieren im Weltraum. Mehr und mehr fangen wir
an zu sehen, dass Organisationen die Bedeutung und den wahren Schaden dieser
Cybersicherheitsangriffe erkennen.

Es muss sich nur mal hinsetzen und eine erwachsene Haltung zu den
Sicherheitspraktiken der Web- und mobilen Anwendungen einnehmen, und
sicherstellen, dass diese bei Ausbringung dieser neuen Funktionen wirklich
berücksichtigt und auf der Ebene der Cybersicherheit verstanden werden. Die Leute
hinter der Funktionalität, die den GiftGhostBot-Angriff ermöglichte, dachten
wahrscheinlich, „hey, das ist ein großer Gewinn für unser Team!“ Die Menschen müssen
nicht eine Person am Support-Schalter anrufen, um zu fragen, wie hoch ihr
Geschenkkartenguthaben ist. Ich kann einfach auf der Website nahtlos mit der
Anwendung eine Validierung meines Guthabens erhalten und dann weitermachen.

Aber wenn Sie das tun, wenn Sie diese Funktionalität auf der Website einführen, geben
Sie am Ende jemandem direkten Zugang zu Ihrer Datenbank der Geschenkkarten, der
mehr oder weniger kreativ mit Skripten kommen könnte, um diese Guthaben zu
erraten, Geld auszugeben und in betrügerischer Absicht das Geld Ihrer Kunden zu
stehlen. Ich denke also, dass es einfach damit beginnt, eine ausgereifte Strategie für
Cybersicherheit zu haben und sicherzustellen, dass die Geschäftsteams sehr eng mit
dem Sicherheitsteam in Kontakt stehen.

Taktisch würde ich auf jeden Fall sicherstellen, dass die Sicherheitsteams ständig die
Web-Anwendungen scannen, nach anomalem Verhalten in den verfügbaren Protokollen
suchen und sicherstellen, dass die Tools ihnen Einblick in diese Arten von Angriffen
geben. Und natürlich um sich herum etwas Aufklärung betreiben und mit Händlern
reden, da sich die Welt der Sicherheit weiterentwickelt und neue Probleme entstehen,
es ist immer wirklich gesund, auf dem neuesten Stand zu sein.

F: Gibt es etwas dadurch zu gewinnen, die Durchgangsrate im Bereich der
normalen Anfragen zu begrenzen, die Sie erwarten würden? Können Sie
verhindern, dass Massenanfragen durchgehen können?

A: Ich denke, da wird es wirklich interessant und dort beginnt das Problem, komplex zu
werden. Eine Person, die das ohne die nötige Erfahrung und Kenntnis der Umstände
betrachtet, denkt „hey, das ist ja eine Riesenflut von Verkehr – wie kommt es, dass wir
das nicht einfach bewerten und einschränken können, oder eine Obergrenze für
Anfragen festlegen, die ein Kunde oder ein Benutzer stellen kann?“ In Wirklichkeit dreht
es sich bei einer WAF, wie etwa einer Web-Anwendungs-Firewall darum, wie das
System einen einzelnen Benutzer erkennt. Wenn der Angreifer eine Identität relativ
leicht fälschen und verschleiern kann, wird die Umsetzung der Ratenbegrenzung gegen
diese Art von Angriffen wirklich schwierig. Und das ist wirklich der Punkt, an dem ein
Bot-Erkennungssystem ins Spiel kommt und in der Lage ist, eine detailliertere
Identifizierung durchzuführen, um dann zu sagen: „Ich weiß, dass du mit all diesen
Dingen dein Verhalten verschleiern willst, aber ich weiß immer noch, dass du du bist“,
die Ratenbegrenzung wird dann viel effektiver.

Es ist bewährte Praxis, die Ratenbegrenzung speziell für diese Arten von
Anwendungsfunktionen einzusetzen. Aber wenn Sie es mit fortgeschrittenen Bot-
Angriffen zu tun bekommen, handelt es sich um Personen die ihre Forschungs- und
Aufklärungsarbeit bezüglich Ihrer Anwendungen gemacht haben, um mehr oder
weniger zu wissen, wie man Ratenbegrenzung schlagen und umgehen kann. Es ist halt
ein sich ständig weiterentwickelnder Raum, und ich denke, in den nächsten fünf Jahren
wird sich die Bot-Welt weiterentwickeln und zu einem sehr interessanten Sektor
werden. Es ist etwas, worüber sich viele Unternehmen, die ernsthafte Mittel in ihre
Online-Präsenz und Web-Anwendungen investiert haben, ernsthafte Sorgen machen
und sicherstellen sollten, dass sie ihre Sicherheitspraktiken, Protokolle und Tools auf
dem neuesten Stand des sich täglich entwickelnden Raumes halten.

Die Sicherheitswelt ist wirklich interessant, da die Verteidigung relativ sein kann, vor
allem im Bot-Bereich. Wenn Sie Ihre Verteidigung nur etwas besser als der Konkurrent
nebenan gestalten, haben Sie es denen besonders schwer gemacht, Sie anzugreifen.
Wir sehen das Verhalten, dass Bots dazu neigen, den Weg des geringsten Widerstands
zu gehen, um dennoch ihr Ziel zu erreichen. Also sichern Sie mit lediglich
durchschnittlicher Anstrengung und durchschnittlichen Verteidigungsmaßnahmen Ihr
Unternehmen dagegen ab, ein Ziel dieser Bot-Schreiber zu werden.

Erfahren Sie mehr darüber, wie Imperva Bot Management dazu
beitragen kann, die Bedrohung durch schädliche Bots zu mindern
hier klicken.