Bot-Angriffen auf E-Commerce
Radware informiert über Vorgehensweise von Bad Bots
Die Übernahme von Kundenkonten, das Blockieren von Lagerbeständen oder das schlichte Abgreifen von Preisinformationen gehören neben der Blockade des gesamten Shops durch DDoS-Attacken zu den häufigsten Zielen von Angriffen auf E-Commerce-Sites weltweit. Immer häufiger erfolgt dafür der Einsatz bösartiger Bots. Radware, Lösungsanbieter für Cybersicherheit, hat ermittelt, dass im Jahr 2019 bereits 30 Prozent des Verkehrs auf Login-Seiten von E-Commerce-Sites auf solche Bots entfiel. Auf Produktseiten waren es bereits 27 Prozent und bei Warenkörben erfolgte jeder vierte Zugriff durch bösartige Bots. E-Commerce war damit das primäre Ziel von Bot-Attacken, vor der Reisebranche und den Sozialen Medien.
In vielen Fällen nutzen Cyberkriminelle dabei sehr ausgeklügelte Bots, um Sicherheitsmaßnahmen zu überwinden und Benutzerkonten zu übernehmen, die Dienstverfügbarkeit zu stören und Schwachstellen in Anwendungen und APIs auszunutzen. In anderen Fällen zielen Unternehmen direkt auf ihre Konkurrenten ab und setzen häufig bösartige Bots ein, um Inhalte und Preisinformationen zu sammeln.
Im E-Commerce sind Bad-Bot-Angriffe in allen Anwendungen verbreitet, von Zahlungsbetrug auf Kassenseiten über Content-Scraping (Preise oder Produktinformationen) auf Produktseiten, Coupon-Scraping, verwaiste Warenkörbe zur Blockade von Lagerbeständen bis hin zu verschiedenen Formen der Kontoübernahme bis hin zu Brute-Force-Angriffen. Da die meisten E-Commerce-Unternehmen stark in den Schutz ihrer Anwendungen investieren, um Umsatzausfälle zu vermeiden, rüsten laut Radware auch die Hacker immer weiter auf. So sollen im vergangenen Jahr bereits 58 Prozent aller Attacken auf verteilte, mutierende Bots entfallen sein, die menschliches Verhalten nachahmen, um Bot-Management-Techniken zu umgehen.
Die Daten über Angriffe böser Bots auf E-Commerce-Websites lassen eine Mischung aus verschiedenen Ausbaustufen erkennen, so Radware. Die Durchführung einiger Angriffe wie Scraping könne durch einfache Skripte oder Headless-Browser-Bots erfolgen. Bestandsverweigerungs- und Kontoübernahme-Angriffe erfordern fortgeschrittene Fähigkeiten, um sich als ein echter menschlicher Benutzer auszugeben. Allerdings sehen die Forscher von Radware auch bei den einfacheren Attacken bereits einen Anteil der menschenähnlichen Bots von über 50 Prozent.
Hochentwickelte Bots simulieren Mausbewegungen, führen zufällige Klicks aus und navigieren auf menschenähnliche Weise durch die Seiten. Dazu sagte Michael Tullius, Managing Director DACH bei Radware: "Herkömmliche Abwehrlösungen beschränken sich allerdings auf die Verfolgung gefälschter Cookies, User Agents und IP-Reputation.“ Er fügte hinzu: "Um diese Art von Angriffen zu verhindern, benötigt man speziell entwickelte Lösungen zur Bot-Abwehr, die ausgeklügelte automatisierte Aktivitäten erkennen und dabei helfen können, vorbeugende Maßnahmen zu ergreifen.“ Solche Lösungen sollen auf tiefgreifenden Verhaltensmodellen, Fingerabdrücken von Geräten und Browsern sowie Closed-Loop-Feedback-Systemen basieren, um sicherzustellen, dass bei der Abwehr von Bot-Attacken keine Blockade echter und legitimer Benutzer erfolgt.
Weitere Informationen stehen unter www.radware.com zur Verfügung.
Lesen Sie mehr zum Thema
