Hacker greifen bevorzugt Online-Händler an

Wie der Internet-Sicherheitsbericht 2019 von Akamai ergeben hat, versuchten Hacker zwischen Mai und Dezember 2018 mehr als zehn Milliarden Mal, Anmeldedaten auf Webseiten von Einzelhändlern zu missbrauchen. Damit ist der Einzelhandel die Branche, die von den untersuchten Wirtschaftszweigen am häufigsten betroffen ist.

Der „State of the Internet Sicherheitsbericht 2019: Angriffe im Einzelhandel und API-Traffic“ beleuchtet darüber hinaus zwei wichtige Sicherheitsaspekte: den ansteigenden API-Traffic im Internet und den offensichtlich unterrepräsentierten IPv6-Traffic. Insbesondere den Missbrauch von Anmeldedaten, auch als Credential Stuffing bezeichnet, hat Akamai untersucht. Hacker verwenden hierbei systematisch Botnets und versuchen, gestohlene Anmeldedaten auf Webseiten auszuprobieren. Beispielsweise testen sie diese Logindaten auf Anmeldeseiten von Banken und Onlinehändlern und spekulieren darauf, dass der jeweilige Nutzer für mehrere Services dieselbe Kombination aus Usernamen und Passwort verwendet.

Verwendung heimtückischer AIO-Bots

Das hohe Interesse am Einzelhandel liegt daran, dass hier schnell Gewinne erzielt werden können. Hacker kaufen über kompromittierte Konten Waren und verkaufen sie anschließend oftmals weiter. Gemäß dem Bericht sind die von Hackern eingesetzten heimtückischen AIO-Bots (AIO = all in one) multifunktionale Tools, die durch die Nutzung von Credential Stuffing und einer Reihe von Umgehungstechniken schnelle Käufe ermöglichen. Ein einzelner AIO-Bot kann mehr als 120 Einzelhändler gleichzeitig angreifen.

Neben dem Einzelhandel sind auch Unternehmen der Medien- und Unterhaltungsindustrie stark vom Missbrauch von Anmeldedaten betroffen. Sie sind begehrte Ziele, da sie viele personenbezogene Daten sammeln. Benutzer geben beispielsweise Kreditkartendaten und demografische Informationen an, wenn sie sich für OTT-Onlinestreaming-Dienste (OTT = Overthe-Top) anmelden. Diese Daten haben auf dem Schwarzmarkt einen hohen Wert. Akamai stellte zudem eine erhebliche Anzahl von Angriffen mit gestohlenen Anmeldedaten auf den Websites von Finanzdienstleistern, Hotel- und Reiseanbietern sowie Anbietern von Konsumgütern fest.

„Die Methoden ändern sich, aber die Motivation bleibt gleich: Gier“, erklärt Martin McKeay, Security Researcher und Editorial Director des State of the Internet-Sicherheitsberichts. „Einzelhändler bleiben das beliebteste Ziel, da gestohlene Waren schnell und lohnenswert weiterverkauft werden können. Die Daten zeigen, welche Waren den höchsten Wert haben: Bekleidungswebsites werden am häufigsten angegriffen.“ Neben dem Bekleidungssegment beobachtete Akamai für den Einzelhandel Credential Stuffing-Versuche im Direkthandel, bei Kaufhäusern und bei Bürobedarf und Mode.

Zunehmender API-Traffic und unzureichendes IPv6-Reporting

Laut einer Traffic-Überprüfung vom Oktober 2018 machen API-Aufrufe 83 Prozent des Web-Traffic aus. Der Großteil des API-Traffics entfällt auf nutzerdefinierte Anwendungen, was auf digitale Transformationen und eine Cloud-basierte Anwendungsbereitstellung zurückzuführen ist. Für Sicherheitsteams ist der zunehmende API-Traffic bei der Risikobetrachtung relevant, da einige Sicherheitstools mit API-Traffic nicht umgehen können.

„Der Status von Webanwendungen ist fließend – viele API-Aufrufe sind anwendungs- oder unternehmensspezifisch und erfordern einen anderen Sicherheitsansatz als HTML-Traffic, der scheinbar statisch ist“, berichtet McKeay. Die im Bericht beschriebene DNS-Traffic-Analyse weist darauf hin, dass der IPv6-Traffic unterrepräsentiert ist, da viele Systeme, die IPv6 unterstützen, immer noch IPv4 bevorzugen. Dies könnte auf eine fehlerhafte Gerätekonfiguration oder eine unsachgemäße Überwachung und Schwachstellen im Netzwerk hinweisen, was wiederum ein Sicherheitsrisiko darstellt. Da IPv6 nach wie vor nur einen geringen Teil des Webtraffics ausmacht, gilt es bei vielen Sicherheitstools nicht als wichtiges Verkaufsargument.

Zur Methodik der Studie

Der Akamai-Bericht „State of the Internet“-Sicherheitsbericht: Angriffe im Einzelhandel und API-Traffic von 2019 kombiniert Angriffsdaten aus der globalen Infrastruktur von Akamai und spiegelt die Forschung verschiedenster Teams im gesamten Unternehmen wider. Darüber hinaus bietet der Bericht Analysen zur aktuellen Cloudsicherheit und Bedrohungslandschaft sowie Einblicke zu Angriffstrends basierend auf den Daten der Akamai Intelligent Platform. Die am State of the Internet-Sicherheitsbericht beteiligten Personen sind Sicherheitsexperten aus verschiedenen Abteilungen von Akamai. Hierzu zählen unter anderem das Security Intelligence Response Team (SIRT), die Threat Research Unit sowie die Bereiche Information Security und Custom Analytics. (sg)