Forscher von Imperva Bot Management (ehemals Distil Networks) haben Online-Bots verfolgt, die auf die E-Commerce-Geschenkkartensysteme großer Online-Händler abzielen. Die von ihnen untersuchten Bedrohungsakteure zeigen bemerkenswerten Einfallsreichtum und Anpassungsfähigkeit. Jonathan Butler von Imperva Bot Management hat sich kürzlich mit Dave Bittner von CyberWire getroffen, um die Ergebnisse zu diskutieren.
Hören Sie den Podcast hier.
Nachfolgend finden Sie eine überarbeitete Abschrift des Gesprächs, das als F&A bearbeitet wurde.
Dave Bittner (F): Vielen Dank, Jonathan Butler, dass Sie sich mir angeschlossen haben, um über Ihre Studie „GiftGhostBot greift E-Commerce-Geschenkkartensysteme bei großen Online-Händlern an“ zu sprechen. Wie funktionieren Geschenkkarten?
Jonathan Butler (A): In der Regel geht mit dem Erhalt eines Gutscheins ein Registrierungsprozess einher. Sobald er registriert ist, ist er so gut wie Geld in Ihrer Tasche, um Produkte oder Dienstleistungen von einem bestimmten Händler zu kaufen. Genau wie eine Kreditkarte haben diese Geschenkgutscheine eine Nummer auf der Rückseite, durch die die Bindung der Karte an das eigentliche Geld dahinter identifiziert wird. In der Regel gehört dazu auch eine PIN, um diese Gelder zusätzlich zu validieren. Wenn Sie den Geldwert auf der Karte validieren, können die Systeme diese Ziffern lesen und dann anhand der zusätzlichen PIN validieren. So wird der Zugriff auf die Mittel validiert.
F: Wie gehen Hacker vor, um das Geschenkkartensystem einer E-Commerce-Seite zu knacken?
A: Ein Angreifer, ein Gegner, der mich als Ziel mit der Geschenkkarte sieht, wird nicht unbedingt die Zahl kennen, die mit den Geldern verbunden ist. Am Ende ist der Gegner in diesem Spiel gezwungen, diese Zahlen effektiv zu erraten. Und hier kommen Bots ins Spiel. Dieser Gegner wird ein Bot-Skript schreiben, das die Check-Balance-Dienste auf einer Händlerseite angreifen kann. Hunderte, tausende, mehr als Millionen von Vermutungen, wenn sie die Größe und Mittel dafür haben. Sie können ohne Logik einfach frontale Rateangriffe machen. Letztendlich erhöht sich die Wahrscheinlichkeit, einen Treffer zu landen, drastisch, wenn genug Vermutungen vorliegen. Sobald das passiert, haben sie vollen Zugriff auf die Karte und das Geld.
F: Erraten sie auch die PIN?
A: Ja, sie werden den gleichen Zählprozess sowohl auf die Karte als auch die PIN anwenden. So haben sie die Kartennummer, und dann können sie einfach randomisieren und anfangen, die PIN zu schätzen. Irgendwann knacken sie die.
F: Aus Sicht des Händlers – wie stellt sich das für sie dar?
A: Auf ihrer Seite würden sie wahrscheinlich eine Reihe von Anfragen auf Validierung eintreffen sehen. Wenn sie sich also ihre Verkehrsprotokolle ansehen, werden sie eine riesige Spitze für den jeweiligen Anwendungsaufruf sehen, der sich mit der Auslesung der Geschenkkartensalden befasst. Wenn wir diese Angriffe sehen, ist das typischerweise das, was passiert. Was darauf hindeutet und es verrät, ist das massive Ansteigen insbesondere dieser Abrufe im Diagramm oder dem Verkehrsprotokoll. Für Einzelhändler ist es wirklich wichtig, einen besseren Einblick in einige der kritischen Anwendungsfunktionen zu haben, die bekanntermaßen hochwertige Ziele für Bot-Programmierer sind. Wonach Sie wirklich suchen, ist der Anstieg des Datenverkehrs für diese speziellen Anfragen auf Validierung, oder das Abfragen von Guthaben.
F: Und das wäre offensichtlich – wenn die Bots anfangen, einen anzugreifen und man sich diese Protokolle ansieht? Die Chancen stehen gut, dass man es erkennt?
A: Ich würde das so sehen. Normalerweise gibt es auf diesen Arten von Seiten im Vergleich zu dem, was ein Bot-Autor mit diesem Ding machen wird, keinen großen Verkehr. Daher würden Sie ein relativ niedriges und stabiles Aufkommen erwarten und normalerweise sind die Verkehrsmuster dieser Dinge, Sie wissen schon, sehr vorhersehbar, oder? Zum Beispiel schwankt es mit den Spitzen – den Aktiv- und Inaktiv-Spitzen der Website. Tritt jedoch ein Bot-Autor auf den Plan und lässt sein Skript gegen die Website laufen, werden Sie sehen, dass dieses Ding einfach sehr drastisch und anomal ansteigt.
F: Insbesondere mit dem GiftGhostBot, wie gehen Angreifer dabei vor?
A: Im GiftGhostBot-Szenario fanden wir heraus, dass es ein sehr koordinierter Angriff war, der auf mehr als einen Händler abzielte. Das allein zeigt, dass hinter diesen Anschlägen Planung und koordinierte Anstrengungen steckten. Als wir uns damit beschäftigten, stellten wir fest, dass die Verkäufer – insbesondere diejenigen ohne Schutz durch Imperva – tatsächlich die Funktionalität herunterfahren mussten, um Kartensalden mit der Anwendung zu prüfen, weil die Angelegenheit für sie wirklich kostspielig wurde.
F: Werden Händler durch die Anzahl der Anfragen quasi mit einer DDoS-Attacke überzogen? Oder werden so viele Geschenkkarten kompromittiert?
A: Es ist ein bisschen von beidem. Die Bot-Welt reagiert fast auf menschliche Weise, wenn Sie über die Verteidigung einer Anwendung gegen sie sprechen. Wenn sie Erfolg haben und eine Verteidigung vor ihnen aufbauen, ist es sehr wahrscheinlich, dass das Botnet hochgefahren wird, um noch mehr Traffic zu produzieren. Das haben wir im Laufe des GiftGhostBot-Angriffs gesehen. Als wir begannen, über alle unterschiedlichen Merkmale mehr und mehr inkrementelle Verteidigungen vor diesem Ding aufzubauen, hat es sich tatsächlich im Laufe der Angriffe entwickelt.
Im Frühstadium der Beobachtungen war es sehr primitiv. Es hat nicht viel getan, um sich zu verstecken. Als es jedoch einen leichten Erfolg hatte, mussten wir am Ende unsere Verteidigung verringern und es mit immer fortschrittlicheren und ausgeklügelteren Signaturen konfrontieren. Als Ergebnis sahen wir, dass dieses Ding sich dort entwickelte, wo es sich über immer mehr IPs verteilte. Es begann, die Browser zu manipulieren, als die es sich selbst identifizierte. Es ging sogar von Desktop- auf mobile Browser über.
Interessanterweise haben wir gesehen, dass es innerhalb des breiteren Angriffs tatsächlich Kanäle gab, die darauf hindeuteten, dass mehr als eine Art von Akteur beteiligt war. Im Laufe der Entwicklung des Angriffs sahen wir also vereinfachte Bemühungen kommen und gehen. Die Stufen der Raffinesse wurden während des Verlaufs gedrosselt und in ein paar verschiedene Kernverhalten gruppiert. Es war also wirklich interessant zu sehen, dass es sich nicht nur um einen geplanten und koordinierten Angriff handelte, der nur auf Händler – und vor allem im Bekleidungs- und Modebereich – abzielte, sondern dass es sogar mehrere Akteure gegeben haben könnte. Jeder brachte seine eigene Taktik mit an den Tisch.
F: Erläutern Sie die Bedeutung des Wechsels zu einem iPhone- oder Android-Benutzeragenten. Warum ist das wichtig?
A: Es ist wichtig, weil man sich an das wichtigste und grundlegendste Konzept erinnern muss, wenn man es mit [bösartigen] organisierten Bots zu tun bekommt, alles wird durch Geld angetrieben. Es wird zu einer tatsächlichen Unternehmung mit Investitionen, sowohl in Zeit, Aufwand, und Forschung. Und bei der Verteidigung gegen wirklich fortschrittliche und anspruchsvolle Akteure geht es nicht immer darum, jede einzelne Anfrage zu stoppen, es wird mehr zu einem Kampf um die Frage, wie man ihre Handlungsfähigkeit behindert und die Entstehung eines Geschäfts daraus verhindert.
Wir stellten fest, dass [die Angreifer] nach Beginn der Verteidigung tatsächlich mehr Zeit, Aufwand und Forschung investieren mussten, um etwas über die Erkennungstaktiken auf unserer Seite herauszufinden. Aber noch wichtiger ist, dass es sie gezwungen hat, sich zu entwickeln und vom Desktop auf Mobilgeräte umzusteigen. Und das erhöht tatsächlich die Betriebskosten für sie, weil es teurer ist, auf diese Geräte Zugriff zu erhalten.
Und so erzwingen Sie am Ende höhere Betriebskosten für die, während sie sich entwickeln. Wenn Sie für sehr fortgeschrittene und hartnäckige Akteure diese Basislinie bis zu dem Punkt bringen können, an dem die ganze Anstrengung oder Operation nahezu sinnlos wird, nehmen Sie die Motivation so sehr aus dem Spiel, dass sie aufgeben.
Es ist ein ziemlich interessantes Phänomen, das wir oft in der Welt der Bots beobachten. Wenn diese Dinge einen ausreichenden finanziellen Anreiz bieten, werden sie nie verschwinden. Und es gibt Zusammenhänge, warum das passieren könnte. Wenn Sie die einzige Person im Besitz dieses bestimmten Datensatzes, oder ein hochrangiges Ziel sind, das zufällig sehr wertvolle Datensätze hält, fangen Sie an, die Ausdauer und fortgeschrittene Natur dieser Angriffe mit dieser Art von Dingen zu korrelieren. In diesem Fall, dem GiftGhostBot, ging es um eine direkte Möglichkeit, sehr reales Geld zu validieren, das wiederum entweder weiterverkauft oder in Finanztransaktionen als echtes Medium genutzt werden konnte, um sehr reale Waren und Dienstleistungen zu erhalten.
F: Wie blockieren Sie Bots, lassen aber die normalen legitimen Benutzer durch?
A: Bei Imperva zählt die Art und Weise, wie unser Bot-Erkennungssystem aufgebaut ist. Stellt ein Client eine Anfrage an eine Anwendung, führen eine Reihe von mehrschichtigen Abfragen zu diesem Client durch, um schließlich die Frage „hey, bist du menschlich oder nicht?“ zu beantworten. Einige dieser Abfrageschritte behandeln sehr simple Umstände, wie etwa „hey, ist Ihr Benutzer-Agent legitim? Sind Sie eine legitime Quelle oder kommen Sie aus so etwas wie einem Hosting-Center? Oder machen Sie lediglich etwas, was Sie sonst nicht tun sollten?“ Auf dem ganzen Weg bis zu den komplexeren Dingen „wei lassen Sie einen JavaScript-Engine laufen?“ Und während sich der Raum weiterentwickelt hat und fortgeschritten ist, machen wir immer mehr algorithmische und probabilistische Entscheidungsfindung abhängig von maschinellem Lernen dazu, ob die Verhaltensweisen selbst verdächtig sind.
Diese Entscheidungen fallen für jede Anfrage nahezu nahtlos in Echtzeit. Wenn unsere Kunden also unsere Plattform und Technologie nutzen, um ihre Anwendungen und Nahtstellen effektiv zu schützen, führen wir diese Prüfungen durch und treffen sehr reale programmgesteuerte Entscheidungen, die letztlich entscheiden, wie der Bot-Verkehr ausgesondert wird, ohne normale Besucher der Website zu beeinträchtigen. Wir tragen dazu bei, Umsätze für dieses Unternehmen zu generieren und sie zu fördern, indem wir sicherstellen, dass Benutzer ohne böswillige Absichten nicht betroffen sind.
F: Was sind Ihre Empfehlungen für Händler, um sich optimal zu schützen?
A: Ich denke zuerst an die wichtigsten Dinge. Man muss sich hinsetzen und alle Funktionen der Web-Anwendung betrachten und sicherstellen, dass die Geschäftseinheiten sehr eng mit den Sicherheitsteams dieser Organisationen verbunden sind. Auch heute noch glaube ich, dass viele Unternehmen Sicherheit als zweitrangig nach dem Geschäftszuwachs betrachten. Die Sicherheit stand immer im Hintergrund, außer bei Frühanwendern und den Pionieren im Weltraum. Mehr und mehr fangen wir an zu sehen, dass Organisationen die Bedeutung und den wahren Schaden dieser Cybersicherheitsangriffe erkennen.
Man muss sich nur mal hinsetzen und eine erwachsene Haltung zu den Sicherheitspraktiken der Web- und mobilen Anwendungen einnehmen, und sicherstellen, dass diese bei Ausbringung dieser neuen Funktionen wirklich berücksichtigt und auf der Ebene der Cybersicherheit verstanden werden. Die Leute hinter der Funktionalität, die den GiftGhostBot-Angriff ermöglichte, dachten wahrscheinlich, „hey, das ist ein großer Gewinn für unser Team!“ Die Menschen müssen nicht eine Person am Support-Schalter anrufen, um zu fragen, wie hoch ihr Geschenkkartenguthaben ist. Ich kann einfach auf der Website nahtlos mit der Anwendung eine Validierung meines Guthabens erhalten und dann weitermachen.
Aber wenn Sie das tun, wenn Sie diese Funktionalität auf der Website einführen, geben Sie am Ende jemandem direkten Zugang zu Ihrer Datenbank der Geschenkkarten, der mehr oder weniger kreativ mit Skripten kommen könnte, um diese Guthaben zu erraten, Geld auszugeben und in betrügerischer Absicht das Geld Ihrer Kunden zu stehlen. Ich denke also, dass es einfach damit beginnt, eine ausgereifte Strategie für Cybersicherheit zu haben und sicherzustellen, dass die Geschäftsteams sehr eng mit dem Sicherheitsteam in Kontakt stehen.
Taktisch würde ich auf jeden Fall sicherstellen, dass die Sicherheitsteams ständig die Web-Anwendungen scannen, nach anomalem Verhalten in den verfügbaren Protokollen suchen und sicherstellen, dass die Tools ihnen Einblick in diese Arten von Angriffen geben. Und natürlich um sich herum etwas Aufklärung betreiben und mit Händlern reden, da sich die Welt der Sicherheit weiterentwickelt und neue Probleme entstehen/ Es ist immer wirklich gesund, auf dem neuesten Stand zu sein.
F: Gibt es etwas dadurch zu gewinnen, die Durchgangsrate im Bereich der normalen Anfragen zu begrenzen, die Sie erwarten würden? Können Sie verhindern, dass Massenanfragen durchgehen können?
A: Ich denke, da wird es wirklich interessant und dort beginnt das Problem komplex zu werden. Eine Person, die das ohne die nötige Erfahrung und Kenntnis der Umstände betrachtet, denkt „hey, das ist ja eine Riesenflut von Verkehr – wie kommt es, dass wir das nicht einfach bewerten und einschränken können, oder eine Obergrenze für Anfragen festlegen, die ein Kunde oder ein Benutzer stellen kann?“ In Wirklichkeit dreht es sich bei einer WAF, wie etwa einer Web-Anwendungs-Firewall darum, wie das System einen einzelnen Benutzer erkennt. Wenn der Angreifer eine Identität relativ leicht fälschen und verschleiern kann, wird die Umsetzung der Ratenbegrenzung gegen diese Art von Angriffen wirklich schwierig. Und das ist wirklich der Punkt, an dem ein Bot-Erkennungssystem ins Spiel kommt und in der Lage ist, eine detailliertere Identifizierung durchzuführen, um dann zu sagen: „Ich weiß, dass du mit all diesen Dingen dein Verhalten verschleiern willst, aber ich weiß immer noch, dass du du bist“, die Ratenbegrenzung wird dann viel effektiver.
Es ist bewährte Praxis, die Ratenbegrenzung speziell für diese Arten von Anwendungsfunktionen einzusetzen. Aber wenn Sie es mit fortgeschrittenen Bot-Angriffen zu tun bekommen, handelt es sich um Personen die ihre Forschungs- und Aufklärungsarbeit bezüglich Ihrer Anwendungen gemacht haben um mehr oder weniger zu wissen, wie man Ratenbegrenzung schlagen und umgehen kann. Es ist halt ein sich ständig weiterentwickelnder Raum, und ich denke, in den nächsten fünf Jahren wird sich die Bot-Welt weiterentwickeln und zu einem sehr interessanten Sektor werden. Es ist etwas, worüber sich viele Unternehmen, die ernsthafte Mittel in ihre Online-Präsenz und Web-Anwendungen investiert haben, ernsthafte Sorgen machen und sicherstellen sollten, dass sie ihre Sicherheitspraktiken, Protokolle und Tools auf dem neuesten Stand des sich täglich entwickelnden Raumes halten.
Die Sicherheitswelt ist wirklich interessant, da die Verteidigung von do Umgebung abhängt, vor allem im Bot-Bereich. Wenn Sie Ihre Verteidigung nur etwas besser als der Konkurrent nebenan gestalten, haben Sie es denen besonders schwer gemacht, Sie anzugreifen. Wir sehen das Verhalten, dass Bots dazu neigen, den Weg des geringsten Widerstands zu gehen, um dennoch ihr Ziel zu erreichen. Also sichern Sie mit lediglich durchschnittlicher Anstrengung und durchschnittlichen Verteidigungsmaßnahmen Ihr Unternehmen dagegen ab, ein Ziel dieser Bot-Schreiber zu werden.
Erfahren Sie mehr darüber, wie Imperva Bot Management dazu beitragen kann, die Bedrohung durch schädliche Bots zu mindern hier klicken.
Holen Sie sich das Neueste von imperva
Die neuesten Nachrichten von unseren Experten in der sich schnell verändernden Welt der Anwendungs-, Daten- und Edge-Sicherheit.