Zurück zum Blog

Folgen und abonnieren

Unterschwellige Signale: Wie sich gute von schlechten Bots unterscheiden lassen

Brendon Macaraeg

Senior Director of Product Marketing, Fastly

Bots haben einen schlechten Ruf, aber nicht immer zu Recht. Einfach ausgedrückt, erledigen sie Arbeiten ohne menschliches Zutun – und sind für mehr als 40 % des gesamten Traffics im Internet verantwortlich.

Während einige Bots aber harmlose Suchmaschinen-Crawler sind oder die Funktionalität von Websites überwachen, sind andere mit bösen Absichten wie Account-Übernahme oder Kompromittierung von APIs unterwegs. Gerade diese sollten Sie im Auge behalten. Nur wie können Sie sie von den „guten“ Bots unterscheiden, damit nur gute Bots durchgelassen und schlechte Bots blockiert werden?

Bösartige Bots, die Code wiederholt ausführen und automatisierten Webtraffic generieren, überfluten Login-Mechanismen und andere wichtige Transaktionsseiten von Einzelhändlern, Banken oder anderen Unternehmen mit Webanfragen. So können personenbezogene oder Finanzdaten über eine Webanwendung oder API zugänglich gemacht werden. Sehen wir uns drei typische Szenarien an, wie Bots von Angreifern eingesetzt werden können, um ein verbrecherisches Ziel zu erreichen, und auf welche Signale im Traffic Sie achten müssen.

Content Scraping 

Web Scraping Bots sammeln und kopieren automatisch Daten von anderen Websites. Sie können sich beim Scannen von Inhalten als harmlose Suchmaschinen-Crawler tarnen, stehlen aber ohne das Wissen des Websitebetreibers dessen Inhalte.

Angreifer können diese Inhalte dann für diverse ausbeuterische Zwecke einsetzen. So können sie etwa urheberrechtlich geschützte Fernsehshows oder Paywall-Nachrichtenartikel neu veröffentlichen oder Blogposts duplizieren, um SEO- und organischen Traffic zu stehlen. Es ist auch bekannt, dass sie gescrapte Inhalte nutzen, um Produktpreise oder Bestandsdaten zu sammeln und sich so einen Wettbewerbsvorteil zu verschaffen, oder um Kontaktinformationen aufzulisten, die sie an andere Unternehmen als Prospektivkunden weiterverkaufen.

Inventory Scraping Bots besuchen Produktseiten, führen Suchen durch und schöpfen Websitedaten ab. Diese lassen sich mithilfe von vorab ermittelten, bösartigen IP-Adressbereichen von verschiedenen Quellen wie SANS identifizieren. Im Falle unserer Next-Gen WAF (ehemals Signal Sciences) sind sie über Network Learning Exchange erkenntlich, einer proprietären Technologie, die verdächtigen Traffic aus Quellen identifiziert, die bereits als bösartig erkannt wurden, damit Kunden vor Folgeangriffen, die von identifizierten IP-Adressen stammen, geschützt sind. 

Account-Übernahme  

Wann immer es zu Sicherheitsverletzungen kommt, landen riesige Mengen an Nutzerinformationen im Darknet, wo Angreifer die gestohlenen Nutzernamen und Passwörter kaufen und automatisierte Bots verwenden können, um sie in den Authentifizierungsabläufen großer Einzelhandels- und Finanzwebsites zu testen. Dieser Vorgang wird als „Credential Stuffing“ bezeichnet. Sobald gültige Anmeldedaten gefunden werden, können diese auf anderen Websites bereitgestellt werden, um Accounts zu übernehmen und legitime Nutzer auszusperren. Angreifer können auch personenbezogene Daten und gespeicherte Zahlungsmethoden von diesen Accounts übernehmen. 

Entscheidend ist hierbei, wesentliche Authentifizierungsereignisse zu überwachen. Dies erfordert Einblicke in den Ort, an dem Übernahmeversuche stattfinden, also in die Account-Erstellung und -Anmeldung. Definieren Sie eine Baseline dafür, was als „normales“ oder erwartetes Traffic-Volumen über einen bestimmten Zeitraum angesehen werden darf, um einen Anhaltspunkt für Anomalien zu haben. Immer dann, wenn Authentifizierungsereignisse wie Login-Versuche oder Passwort-Zurücksetzungen einen erwarteten Schwellenwert überschreiten, können automatische Blockierungsregeln greifen. So wird verhindert, dass diese anomalen Anfragen die Anwendungen oder API-Endpunkte erreichen. Eine solche Überwachung von Webanfragen ermöglicht es DevOps- und Sicherheitsteams auch, böswillige Aktivitäten schnell zu identifizieren.

API-Missbrauch 

API-Funktionen bilden das Rückgrat moderner Web- und Cloud-Anwendungen und mobiler Apps. Daher ist es wenig überraschend, dass Angreifer Bots einsetzen, um legitime API-Kunden zu imitieren. Gartner schätzt, dass APIs bis 2022 die häufigsten Angriffsvektoren für Datenverletzungen bei Webanwendungen von Unternehmen sein werden. Es liegt also auf der Hand, dass API-Sicherheit Teil jeder Security-Strategie sein muss. 

APIs übertragen eine Vielzahl von Daten im normalen Geschäftsalltag. Automatisierte Bots sondieren APIs mit dem Ziel, personenbezogene Daten oder auch Kreditkartennummern zu erbeuten. Beispielsweise setzen Angreifer Bots gegen öffentlich zugängliche APIs ein, indem sie XFF-Header fälschen, um Account-Übernahmen durchzuführen.

Das Erkennen und Blockieren bösartiger Anfragen ist der Schlüssel, um Angreifer daran zu hindern, APIs zu missbrauchen und Serviceunterbrechungen, Datenlecks oder Account-Sperrungen zu verursachen. Die Abwehr von API-Missbrauch erfordert Transparenz darüber, wo und wie Angreifer versuchen, die Business Logic Ihrer Anwendung zu manipulieren. Um solche Erkenntnisse in Echtzeit zu erhalten, benötigen Sie Tools, die es Ihnen ermöglichen, die wichtigsten Transaktionen in Ihrer Anwendung zu überwachen, wobei diese je nach API-Funktion unterschiedlich aussehen.

Beispielsweise kommt es zu einem Cracking von Geschenkkarten, wenn Bot-Betreiber versuchen, eine API zu knacken, die es Nutzern ermöglicht, Geschenkkarten-Guthaben zu prüfen, um letztlich die Geschenkkarten-Nummern zu validieren. Ein ungewöhnlich hohes Anfragevolumen an die Geschenkkarten-API und Fehlfunktionen einer einzigen IP können darauf hinweisen, dass ein Brute-Force-Versuch im Gange ist. 

Scalping Bots werden bei Kaufvorgängen eingesetzt, um limitierte oder reduzierte Artikel zu erwerben. Die Betrüger verwenden gestohlene Kredit- oder Wertkarten, um Waren zu kaufen und sie dann an anderer Stelle mit einem Aufschlag oder in großen Mengen weiterzuverkaufen. Ein Indikator dafür ist eine höher als erwartete „In den Warenkorb legen“-Aktivität von einer einzelnen IP.

Der Schlüssel zur Bot-Abwehr

Selbst wenn Transparenz für den Schutz Ihrer Webanwendungen und APIs wichtig ist, reicht sie allein als Abwehr gegen von bösartigen Bots generierten Traffic nicht aus. Zusätzlich benötigen Sie genaue Einblicke in die Zielanwendungen bzw. die API-Endpoints des Traffics sowie ein fortschrittliches Rate Limiting, um alle nicht menschlichen Verhaltensweisen bei Anwendungen und APIs zu erkennen und zu blockieren.  

Suchen Sie nach einer Lösung, mit der Sie in kürzester Zeit anwendungsspezifische Regeln aufstellen können, um einen Missbrauch von Anwendungen und API zu unterbinden, darunter Parameter für User-Agent-Paare, Pfade, Methoden, Schemata, Posts oder Abfragen, Anfrage-Cookies usw. Beim Auslösen dieser Signale werden automatisierte Aktionen, wie das Blockieren einer Webanfrage, die Benachrichtigung Ihrer Teams oder andere geeignete Maßnahmen, ausgeführt.