Einzelhändler am häufigsten von Credential-Stuffing betroffen

Laut dem Akamai „State of the Internet“-Sicherheitsbericht 2019: „Angriffe im Einzelhandel und API-Traffic“ haben Hacker im vergangenen Jahr zwischen Mai und Dezember mehr als zehn Milliarden Mal versucht, Anmeldedaten auf Einzelhandelswebsites zu missbrauchen. Damit ist der Einzelhandel die Branche innerhalb der untersuchten Wirtschaftszweige, die am häufigsten betroffen ist. Der Bericht beleuchtet außerdem zwei weitere wichtige Sicherheitsaspekte: den ansteigenden API-Traffic im Internet und den offensichtlich unterrepräsentierten IPv6-Traffic.

Akamai hat den Missbrauch von Anmeldedaten untersucht, der als „Credential Stuffing“ bezeichnet wird. Hacker verwenden hierbei systematisch Botnets und versuchen, gestohlene Anmeldedaten auf Webseiten auszuprobieren. Beispielsweise testen sie diese Logindaten auf Anmeldeseiten von Banken und Onlinehändlern und spekulieren darauf, dass der jeweilige Nutzer für mehrere Services dieselbe Kombination aus Usernamen und Passwort verwendet. Das hohe Interesse am Einzelhandel liegt daran, dass hier schnell Gewinne erzielt werden können. Hacker kaufen über kompromittierte Konten Waren und verkaufen sie anschließend oftmals weiter.

Gemäß dem Bericht sind die von Hackern eingesetzten heimtückischen AIO-Bots (AIO = all in one) multifunktionale Tools, die durch die Nutzung von Credential-Stuffing und einer Reihe von Umgehungstechniken schnelle Käufe ermöglichen. Ein einzelner AIO-Bot kann mehr als 120 Einzelhändler gleichzeitig angreifen.

Unternehmen der Medien- und Unterhaltungsindustrie sind laut Bericht ebenfalls stark vom Missbrauch von Anmeldedaten betroffen. Sie sind begehrte Ziele, da sie viele personenbezogene Daten sammeln. Endnutzer geben beispielsweise Kreditkartendaten und demografische Informationen an, wenn sie sich für OTT-Onlinestreaming-Dienste (OTT = Over-the-Top) anmelden. Diese Daten haben auf dem Schwarzmarkt einen hohen Wert. Akamai stellte zudem eine erhebliche Anzahl von Angriffen mit gestohlenen Anmeldedaten auf den Websites von Finanzdienstleistern, Hotel- und Reiseanbietern sowie Anbietern von Konsumgütern fest.

„Die Methoden ändern sich, aber die Motivation bleibt gleich: Gier“, so Martin McKeay, Security Researcher und Editorial Director des „State of the Internet“-Sicherheitsberichts. „Einzelhändler bleiben das beliebteste Ziel, da gestohlene Waren schnell und lohnenswert weiterverkauft werden können. Die Daten zeigen, welche Waren den höchsten Wert haben: Bekleidungswebsites werden am häufigsten angegriffen.“

Neben dem Bekleidungssegment beobachtete Akamai für den Einzelhandel Credential-Stuffing-Versuche im Direkthandel, bei Kaufhäusern und bei Bürobedarf und Mode, darunter auch Schmuck und Uhren.

 

Zunehmender API-Traffic und potenziell unzureichendes IPv6-Reporting als Sicherheitsbedenken

Laut einer im Bericht beschriebenen Akamai-Traffic-Überprüfung vom Oktober 2018 machen API-Aufrufe 83 Prozent des Webtraffics aus. Der Großteil des API-Traffics entfällt auf nutzerdefinierte Anwendungen, was auf digitale Transformationen und eine cloudbasierte Anwendungsbereitstellung zurückzuführen ist. Für InfoSicherheitsteams ist der zunehmende API-Traffic bei der Risikobetrachtung relevant, da einige Sicherheitstools mit API-Traffic nicht umgehen können.

„Der Status von Webanwendungen ist fließend – viele API-Aufrufe sind anwendungs- oder unternehmensspezifisch und erfordern einen anderen Sicherheitsansatz als HTML-Traffic, der scheinbar statisch ist“, erklärt McKeay.

Die im Bericht beschriebene DNS-Traffic-Analyse weist darauf hin, dass der IPv6-Traffic unterrepräsentiert ist, da viele Systeme, die IPv6 unterstützen, immer noch IPv4 bevorzugen. Dies könnte auf eine fehlerhafte Gerätekonfiguration oder eine unsachgemäße Überwachung und Schwachstellen im Netzwerk hinweisen, was wiederum ein Sicherheitsrisiko darstellt. Da IPv6 nach wie vor nur einen geringen Teil des Webtraffics ausmacht, gilt es bei vielen Sicherheitstools nicht als wichtiges Verkaufsargument.

 

Methodik
Der Akamai „State of the Internet“-Sicherheitsbericht: Angriffe im Einzelhandel und API-Traffic von 2019 kombiniert Angriffsdaten aus der globalen Infrastruktur von Akamai und spiegelt die Forschung verschiedenster Teams im gesamten Unternehmen wider. Darüber hinaus bietet der Bericht Analysen zur aktuellen Cloudsicherheit und Bedrohungslandschaft sowie Einblicke zu Angriffstrends basierend auf den Daten der Akamai Intelligent Platform. Die am „State of the Internet“-Sicherheitsbericht beteiligten Personen sind Sicherheitsexperten aus den verschiedensten Abteilungen von Akamai. Hierzu zählen unter anderem das Security-Intelligence-Response-Team (SIRT), die Threat-Research-Unit sowie die Bereiche Information Security und Custom-Analytics.

Info: Ein kostenloses Exemplar des „State of the Internet“-Sicherheitsberichts 2019: Angriffe im Einzelhandel und API-Traffic lässt sich hier herunterladen.

#Netzpalaver #Akamai