30.04.2020

„Botnetz-Armee“ auf dem Vormarsch

Angriff der Bots auf Unternehmen

„Botnetz-Armee“ auf dem Vormarsch

Angriff der Bots auf Unternehmen

Botnets fungieren als Teil einer automatisierten Cyberarmee. | © 3dkombinat - Fotolia
Botnets fungieren als Teil einer automatisierten Cyberarmee. | © 3dkombinat - Fotolia

Obwohl organisierte Betrugsangriffe generell immer mehr an Ausmaß und Häufigkeit zunehmen, müssen sich vor allem junge Unternehmen in Acht nehmen. Bis vor Kurzem mag es ausgereicht haben, sich bei der Betrugsbekämpfung auf einzelne schwarze Schafe zu konzentrieren. Angesichts der regelrechten Flut an Betrugsversuchen reicht das jedoch nicht mehr aus. Bots und ihre vernetzten Pendants, die Botnets, fungieren als Teil einer automatisierten Cyberarmee.

Würde man die CEOs kleiner und mittelständischer Unternehmen fragen, was ihnen am meisten Sorge bereitet, wie oft würde wohl die Antwort „Botnets“ fallen?

Die „Botnetz-Armee“ ist auf dem Vormarsch

Ein besonders beunruhigender Trend, gerade für junge Unternehmen, ist die Zunahme von Bot-Angriffen. Bots und ihre vernetzten Pendants, die Botnets, fungieren als Teil einer automatisierten Cyberarmee. Bei Botnets handelt es sich um eine Ansammlung von Computern, die mit Malware infiziert sind und von Hackern kontrolliert werden, um riesige, vernetzte automatisierte Aufgaben durchzuführen.


Botnets werden genutzt um:

  • gestohlene Identitäten zu testen (um neue Konten zu eröffnen oder bestehende zu übernehmen),
  • einen Distributed-Denial-of-Service (DDoS)-Angriff durchzuführen,
  • Spam-E-Mails zu versenden und
  • sensible Daten zu stehlen.

Botnet-Angriffe sollten vor allem neue Unternehmen in höchste Alarmbereitschaft versetzen. Gerade im Anfangsstadium liegt das Hauptaugenmerk auf Kundenakquise und ein Großteil der Investitionen fließt in den Aufbau einer Kundendatenbank.

Ein automatisierter Angriff könnte vor diesem Hintergrund verheerend sein. Aufstrebende Firmen können es sich schlichtweg nicht leisten, dass ihre Website aufgrund eines DDos-Angriffs nicht erreichbar ist. Der Geschäftserfolg kann somit in der Tat von der Wirksamkeit der Betrugsabwehr abhängen.

DDoS-Angriffe, bei denen Webseiten außer Gefecht gesetzt werden, sind jedoch nur eine Variante von Bot-Angriffen. Botnets werden auch eingesetzt, um Neukonten mit gestohlenen Zugangsdaten zu erstellen. Das Problem: Wie können Unternehmen erkennen, ob die 100 Neukundenanfragen legitim sind? Gerade für Startups ist jeder neue Kunde unglaublich wertvoll.

Quantität ist jedoch nicht alles – mindestens genauso wichtig ist die „Qualität“ potenzieller Neukunden. Unternehmen müssen in der Lage sein, Neukunden von Betrügern zu unterscheiden.

Der Angriff erfolgt durch die Hintertür

Botnet-Angriffe sind clever und unversöhnlich. Die Angriffsmuster werden bewusst an das normale Kundenverhalten angepasst, um Web Application Firewalls (WAFs) zu umgehen. Hacker setzen mittlerweile beispielsweise auf „low and slow“-Angriffe, bei denen – im Gegensatz zu hochvolumigen DDoS-Attacken – der HTTP- oder TCP-Verkehr so verlangsamt wird, dass die Website zum Erliegen kommt.

Das Problem: WAFs wurden so konzipiert, dass sie Angriffe auf Web-Dienste und nicht auf die Kundenidentität verhindern. Folglich sind sie stark auf IP Reputation und IP Velocity Filter angewiesen, um Bots zu erkennen – und genau das ist das Problem.

Für Botnets, die Zugriff auf zahlreiche unterschiedliche IP-Adressen und gestohlene Benutzerinformationen haben, ist es ein leichtes, die WAFs auszutricksen.

Doch wie gelingt es Unternehmen, Botattacken Einhalt zu gebieten?

  • Informationsaustausch: Obwohl Bots verschiedene IP-Adressen und Geräte nutzen, können alle Aktionen auf ein- und dieselbe digitale Identität zurückgeführt werden. Sogenannte „Shared Intelligence Networks“ verarbeiten Milliarden von Transaktionen für Tausende von globalen Online-Unternehmen und sind in einer einzigartigen Position, um branchen-, geschäfts- und ortsübergreifende Angriffssignaturen zu identifizieren.
  • Informationsbeschaffung: „Low and slow“-Attacken sind im Kommen. WAFs nehmen diese aufgrund ihrer Ähnlichkeit mit legitimem Webseitenverkehr nicht als Bedrohung war und lassen sie ungehindert passieren. Kontextbasierte Informationen sind vor diesem Hintergrund Gold wert, da sie die Durchführung von Verhaltensanalysen erlauben. Dabei wird das Verhalten des Benutzers mit Daten abgeglichen, die während eines „Low and slow“-Angriffs gesammelt wurden – was die Unterscheidung zwischen Mensch und Bot erheblich einfacher macht.
  • Aufrüsten: Sobald ein Gerät Teil eines Botnets wird, kann es als Proxy missbraucht werden. Betrüger verwenden diesen Proxy, um ihre wahre IP-Adresse und ihren Standort zu verschleiern. Betrügerische Transaktionen scheinen daher von der IP-Adresse des rechtmäßigen Benutzers zu stammen, wodurch sie schwer zu erkennen sind. Mit der richtigen Software können infizierte Rechner geknackt werden, um so die wahre IP-Adresse der Cyberkriminellen ausfindig zu machen.

Getreu dem Motto „Gleiches mit Gleichem bekämpfen“ können Botnet-Angriffe am ehesten in ähnlich vernetzten Einheiten vereitelt werden. Cyberabwehr, die nur in isolierten Silostrukturen funktioniert, gehört längst der Vergangenheit an – beim Kampf gegen Bots ist Teamarbeit gefragt.

 

Dr. Stephen Topliss

Vizepräsident Fraud & Identity bei LexisNexis Risk Solutions
n/a