Attacken
Bösartigen Datenverkehr in Web- oder Mobile-Anwendungen erkennen
Kudelski Security zeigt, auf welche sechs Anzeichen Anwender achten sollten
Der wachsende Online-Verkehr während der Pandemie bietet Betrügern mehr Möglichkeiten, in Anwendungen fürs Web und mobile Plattformen einzudringen. Eine deutlich steigende Zahl von Betrugsfällen sowie Credential Stuffing-Angriffen, also Brute-Force-Attacken mit zuvor erbeuteten Login-Daten, sprechen eine deutliche Sprache. Während solcher Angriffe ist es nicht ungewöhnlich, dass insgesamt 80 bis 99 Prozent des erzeugten Datenverkehrs als schadhaft eingestuft werden. Das macht es schwierig, die tatsächliche Quelle des Angriffs zu lokalisieren und Gegenmaßnahmen zu ergreifen.
„Großvolumige Attacken schaden nicht nur dem Ruf einer Marke und dem Umsatz“, erklärt **Philippe Borloz, Vice President Sales EMEA bei Kudelski Security . „Sie belasten zudem die Backend-Systeme extrem und können zusätzliche Kosten im Rahmen eingesetzter Betrugspräventionstools erzeugen.“
Wie sich Angreifer verraten und worauf Anbieter achten sollten, beschreibt der Experte in sechs Punkten:
1. Abweichungen von gewöhnlichen Verkehrsmustern
Dies ist der erste Hinweis darauf, dass mit der Web- oder Mobilanwendung etwas nicht stimmt. Im Laufe der Zeit sollten Nutzer bestimmte Muster im Datenverkehr feststellen können – häufig folgt er beispielsweise einer tageszeitlichen Abhängigkeit. Wenn der Datenverkehr keinem tageszeitlichen Muster folgt – also tagsüber ansteigt und nachts abfällt – kann dies ein Anzeichen dafür sein, dass eine bösartige Aktivität stattfindet. Des Weiteren können auch Traffic-Spitzen die sich nicht mit Marketing-Aktivitäten wie E-Mail-Kampagnen oder Fernsehwerbung in Verbindung bringen lassen ein weiteres Zeichen dafür sein, dass die eigene Anwendung eine hohe Menge bösartiger Daten empfängt.
2. Künstliche oder fehlende Benutzerinteraktionen
Bei der Analyse von In-App-Interaktionen wie Tastenanschlägen und Mausklicks zeigt sich, dass Menschen dazu neigen, ungeschickt und ineffizient zu agieren. Dagegen ist automatisierte Interaktion fehlerlos und kann innerhalb von Millisekunden stattfinden. Lässt sich beispielsweise feststellen, dass ein Benutzer immer wieder auf denselben Punkt, also eine XY-Koordinate klickt, ist dies ein Hinweis auf ein automatisiertes Ereignis und damit für einen Angriff, denn für Menschen ist dies extrem schwer zu replizieren. Selbst wenn der Angreifer bzw. Bot jedes Mal auf eine andere XY-Koordinate klickt, verrät er sich durch eine Art formelhafte Beziehung zwischen den verschiedenen Koordinaten.
Im Falle eines Malware-Angriffs können aber auch fehlende Interaktionen ein Indikator sein. Wird beispielsweise ein Benutzer erkannt, der sich bei seinem Vielfliegerkonto anmeldet und Punkte für eine Geschenkkarte einlöst, ohne die Tastatur, die Maus oder den Touchscreen seines Smartphones zu berühren, deutet dies auf einen im Hintergrund laufenden Malware-Angriff hin.
3. Änderungen im Muster oder der Häufigkeit von Passworteingaben
Ein betrügerischer Anmeldeversuch wird mit großer Wahrscheinlichkeit ein ganz anderes Muster und eine andere Häufigkeit aufweisen als ein menschlicher. Wenn sie von einem echten Benutzer wiederholt werden, sollten die Kennworttastenereignisse in etwa dem gleichen Muster und Zeitrahmen folgen. Geben Menschen ein Kennwort wiederholt falsch ein, entwickeln sie bei erneuten Versuchen einen Rhythmus, den Betrüger nicht nachahmen können.
4. Hocheffiziente Benutzerinteraktionen
Eine weitere Möglichkeit, den Unterschied zwischen gutem und bösartigem Datenverkehr zu erkennen, ist die Effizienz der Interaktionen. Echte menschliche Interaktionen sind oft willkürlich. Manchmal klickt ein Benutzer auch dann, wenn es gar nichts zu klicken gibt. Er liest vielleicht am Bildschirm, bewegt die Maus und klickt nur, um sich die Zeit zu vertreiben. Bot-Interaktionen hingegen verlaufen oft in vollkommen geraden Linien. Selbst wenn der Bot Entropie hinzufügt, zeigt sich dies normalerweise in der Zeichnung weicher Bögen. Bei einem Anmeldeformular beispielsweise hat ein Bot keinen Anreiz, irgendwo anders als auf die Felder für den Benutzernamen und das Kennwort sowie auf die Schaltfläche „Senden“ zu klicken. Betrügerische manuelle Interaktionen liegen in puncto Effizienz genau in der Mitte. Sie werden effizienter sein als gutwillige menschliche Interaktionen, aber nicht so effizient wie Bot-Interaktionen. Ein hypothetisches Beispiel: Ein Benutzer loggt sich in seine Finanzanwendung ein, um einen Zahlungsempfänger hinzuzufügen und eine Geldsumme zu senden. Ein echter Benutzer müsste wahrscheinlich die Schaltfläche „Zahlungsempfänger hinzufügen“ suchen, weil er nicht jeden Tag einen Zahlungsempfänger hinzufügt, was den Workflow um ein oder zwei Sekunden verlängern würde. Es ist möglich, dass ein Betrüger hunderte Male pro Tag Zahlungsempfänger hinzufügt, so dass er in der Lage wäre, diesen Workflow extrem schnell zu durchlaufen.
5. Gefälschte User-Agent-Zeichenkette
Neben der Erfassung verhaltensbiometrischer Daten ist es auch wichtig, die Umgebung zu betrachten, aus der der Datenverkehr stammt. So lässt sich mithilfe geeigneter Fraud Detection Tools wie Shape feststellen, ob der Traffic gefälscht ist oder nicht. Beispielsweise werden Emojis auf verschiedenen Plattformen und Anwendungen unterschiedlich dargestellt. Wenn also eine User-Agent-Zeichenkette in einer URL vorgibt, aus Chrome zu stammen, der Browser aber Emojis wie Firefox rendert, handelt es sich wahrscheinlich um einen betrügerischen Datenstrom. Ein echter Benutzer hätte keinen Anreiz, seine tatsächliche User-Agent-Zeichenkette abzuändern oder zu verschleiern.
Auf ähnliche Weise können sehr große hexadezimale Zahlen genutzt werden, denn auch diese werden auf jeder Plattform konvertiert. Shape nutzt hierzu einen JavaScript-Code, der den Browser auffordert, eine Hexadezimalzahl in eine Dezimalzahl umzuwandeln. Verschiedene Browser liefern hierfür unterschiedliche Ergebnisse aufgrund der Art und Weise, wie sie die Rundung vornehmen. Der Unterschied ist vernachlässigbar, aber ausreichend, um zu erkennen, von welchem Browser der Datenverkehr stammt. Auch hier gilt: Wenn die User-Agent-Zeichenkette sagt, dass der Traffic von Chrome kommt, aber die Hexadezimalzahl wie bei Firefox konvertiert wird, ist von Betrug auszugehen.
6. Gefälschte HTTP-Header-Daten
Oft versuchen Angreifer, den HTTP-Header einer Website oder Anwendung zu fälschen, was ihnen aber nur fast nie perfekt gelingt. Daher kann der Header eine Menge nützlicher Signale zu betrügerischem Datenverkehr liefern. Viele dieser Indikatoren können mit den integrierten Möglichkeiten zur Überwachung der Anwendungssicherheit nicht aufgedeckt werden. Auch hier bietet der Markt zahlreiche Lösungen, die helfen, die fortgeschrittene clientseitige Signale, verhaltensbiometrische Daten, Netzwerksignale, maschinelles Lernen und künstliche Intelligenz nutzen, um die Effizienz und die Effektivität zur Erkennung und Bekämpfung von Anwendungsbetrug zu verbessern.
„Wir empfehlen allen Unternehmen, die ihren Kunden Webservices und Mobilapplikationen zur Verfügung stellen, diese dringend in ihr IT-Security-Konzept einzubeziehen. Denn der Angriff auf und der Verlust von sensiblen Daten kann nicht nur den Ruf, sondern auch das eigene Geschäftsmodell nachhaltig schädigen“, ergänzt Borloz. „Geeignete Maßnahmen lassen sich im Rahmen von Managed Security Services schnell und effizient implementieren.“