Bots kassieren für israelische Regierungsdienste
Von: Gon Avnon
Zusammenfassung
Akamai-Forscher haben eine Situation beobachtet, bei der Bots israelische Bürger über verschiedene Regierungsbehörden ausgenutzt haben.
Mehr als 700.000 Israelis suchen um einen Termin für die Erneuerung ihres Reisepasses an, was zu einem monatelangen Rückstau im Innenministerium führt.
Eine Gruppe von Entwicklern entwickelte einen Bot zur Sicherung von Terminen über MyVisit, die von einigen israelischen Behörden genutzte Terminplanungsplattform, und gab ihn zur kostenlosen öffentlichen Nutzung frei.
Bald darauf entwickelte eine andere Gruppe ihren eigenen Bot, um MyVisit-Termine für verschiedene Regierungsstellen unzulässig gegen Gebühr zu verkaufen, darunter das Innenministerium, das Verkehrsministerium, die Sozialversicherung, die israelische Post, die Elektrizitätsgesellschaft und andere. Jeder Termin kostet mehr als 100 USD.
MyVisit versuchte, die Bots mit einem CAPTCHA auszuhebeln, das jedoch schnell vom Bot der Bedrohungsakteure überlistet wurde.
Um diese Bots wirksam zu behindern, ist eine umfassendere Lösung erforderlich, wie sie von Bot-Management-Produkten angeboten wird, die eine Vielzahl von Maßnahmen einsetzen: von Geräte-Fingerprinting, Browser-Validierung und JavaScript-Challenges bis hin zu fortschrittlichen Machine-Learning-Modellen, die die Daten im Backend analysieren und klassifizieren.
Einführung
Scalping-Bots sind eine berüchtigte Gefahr für E-Commerce-Kunden auf der ganzen Welt. Ob Spielkonsolen, gehypte Sneaker, Sammlerstücke oder Grafikkarten, jedes limitierte Produkt ist ein Ziel für Scalper, die davon profitieren, an technologisch schlechter ausgerüstete Verbraucher weiterzuverkaufen.
In Israel ist jedoch ein bedrohlicher neuer Scalping-Markt entstanden – für Regierungsdienste. Anstatt mit deutlich über dem Nennwert liegenden Konzertkarten abgezockt zu werden, werden die Israelis effektiv um Dienstleistungen des täglichen Lebens betrogen. Dieser Scalping-Markt hat das Potenzial, deutlich mehr Schaden zu verursachen, als nur einfach nicht in den Urlaub gehen zu können.
In diesem Blogbeitrag werde ich erklären, wo diese Bedrohung begann, wo sie derzeit steht und welche Gefahr sie für Israel und darüber hinaus darstellt.
Der Run auf Reisepässe
Eine der größten Auswirkungen, die COVID-19 auf unser Leben hatte, war die sofortige Einstellung von Freizeitreisen. Glücklicherweise sind wir an einem Punkt angelangt, an dem der Reisemarkt ein wenig wiederbelebt wurde, und hier beginnt unsere Geschichte. Nachdem sie in den letzten zwei Jahren praktisch zu Hause festsaßen, sehnen sich Millionen von Israelis danach, ins Ausland zu reisen, suchen nach ihren längst vergessenen Reisepässen, und Hunderttausende stellen fest, dass diese Pässe fast abgelaufen sind. Das unterbesetzte und unvorbereitete Innenministerium ist nach der Pandemie mit dem Ansturm der urlaubshungrigen Israelis überfordert. Mit einem Rückstand von mehr als 700.000 Anträgen, einem Arbeitskampf und einer nicht ausreichenden Zahl verfügbarer Reisepässe im Außenministerium ist es eine schwierige Zeit für Reisen in und aus Israel.
Wie erhalten Israelis also ihre begehrten Dokumente? Um einen Termin für die Erneuerung des Reisepasses zu bekommen, muss man immer wieder die Online-Terminvergabe-Website MyVisit besuchen, die um 7 Uhr morgens neue Termine freigibt, und hoffen, irgendwo einen freien Termin zu finden. Viele Menschen warteten monatelang und reisten quer durch das Land, um ihre notwendigen Termine wahrzunehmen.
Ein paar Entwickler haben jedoch eine bessere Lösung gefunden – einen Terminplanungs-Bot, genannt GamkenBot. Ausgestattet mit Ihren Kontaktdaten und Ihrem bevorzugten Standort verbindet sich der Termin-Bot mit dem Terminvergabesystem, um schnell einen freien Termin zu finden und zu sichern, sobald einer frei wird. Er wurde zur öffentlichen Nutzung freigegeben, fand großen Anklang, und die Entwickler wurden bald zu Volkshelden im Kampf gegen die Bürokratie.
Ein habgieriges Geschäft entsteht
Leider können die meisten Dinge, die positiv genutzt werden können, auch missbräuchlich verwendet werden. Schon bald begannen Leute, den gut gemeinten Bot auszunutzen, um die wertvollen Termine abzugrasen und sie an verzweifelte Bürger zu verkaufen.
Am 10. Mai, kurz nach dem Start von GamkenBot, wurde die MyVisit Appointments Group auf einem Telegram-Kanal gestartet. Offenbar ist das Innenministerium nicht die einzige Behörde, die das Terminsystem von MyVisit nutzt. So bietet die Telegram-Gruppe nicht nur Termine für die Erneuerung von Reisepässen an, sondern auch Termine für die Einwanderungsbehörde, die israelische Elektrizitätsgesellschaft, die Sozialversicherung, die israelische Post, das Verkehrsministerium und andere. Die Administratoren behaupten, eine Gruppe von Entwicklern zu sein, deren Bot offene Termine scannt und sofort bucht, die später zum Kauf erhältlich sind. Für Käufer von 2 oder mehr Terminen werden sogar Rabatte gewährt.
Somit sind wichtige Regierungsdienste zu einem Handelsgut geworden. Doch während die Erpressung von Bürgern, die Grunddienste in Anspruch nehmen wollen, schon schlimm genug ist, kann diese Schwachstelle noch viel schwerwiegendere Auswirkungen auf die nationale Sicherheit haben, auf die ich später in diesem Beitrag eingehen werde.
Die Entwickler dieser Bots behaupten, dass sie einen Service für ihre Kunden erbringen. In Wirklichkeit ist ihr Geschäft jedoch nicht anders als der Weiterverkauf von Sneakers oder Konzertkarten. Sie stellen sich zwischen den Anbieter und den Verbraucher und verlangen eine Entschädigungsgebühr für eine Transaktion, die auch ohne ihr Zutun hätte durchgeführt werden können.
MyVisit, das Terminplanungssystem, wird von den verschiedenen Regierungsstellen genutzt, um sie leichter zugänglich zu machen. Aufgrund der unsicheren Umsetzung hat dieses System jedoch genau das Problem verstärkt, das es zu lösen geschaffen hat. Dies hat zur Folge, dass Finanz-, Verwaltungs- und andere Dienstleistungen, die für das Leben der Menschen unerlässlich sind, praktisch nun gegen Lösegeld freigegeben werden.
Ein nationales Sicherheitsrisiko
Beunruhigenderweise enden die Auswirkungen nicht damit, dass die Bürger direkt um grundlegende Regierungsprogramme betrogen werden. Damit könnte jeder feindselige oder chaotische Akteur nicht nur die Passkontrolle des Innenministeriums, sondern auch die Registrierung von Lkw- und Busfahrern im Verkehrsministerium, jeden Besuch bei der Sozialversicherungsgesellschaft oder der Elektrizitätsgesellschaft und vieles mehr lahm legen. Was wäre, wenn diese Liste um Arzttermine oder Krankenhausaufenthalte erweitert würde?
Entschärfung der Bedrohung
MyVisit versuchte, die Bots durch Einbettung eines CAPTCHA auf der Buchungsseite zu blockieren,, doch die Bot-Entwickler benötigten nur wenige Tage, um es zu umgehen . Letztendlich ist CAPTCHA keine Anti-Bot-Lösung, da es mit relativ einfachen Techniken umgangen werden kann, z. B. mit automatisch generierten Resolvern, Handbuch-Farmen oder Sammeln von Tokens, je nach Schwierigkeitsgrad des CAPTCHA und der Motivation des Bedrohungsakteurs.
In den Anfangszeiten der Bots konnten viele durch einfache HTTP-Header-Anomalien erkannt werden. Heutzutage haben sich Bots jedoch so entwickelt, dass sie menschliche Interaktionen im Internet gekonnt imitieren. Um die modernen Bots von heute zu besiegen, werden von Bot-Management-Produkten weitaus fortschrittlichere Maßnahmen eingesetzt. Fingerprinting und Verhaltensanalyse von Geräten werden mit Modellen für maschinelles Lernen kombiniert, die täglich mit Milliarden von Anfragen zur Erkennung von Trends und Anomalien versorgt werden. Während Bot-Entwickler immer raffinierter beim Manipulieren der Browser-Umgebung und Imitieren menschlichen Verhaltens werden, arbeiten Bedrohungsforscher ständig daran, die Erkennungsmöglichkeiten zu verbessern, indem sie nach Manipulation von Attributen, Spuren von Automatisierung und neuen Umgehungsmöglichkeiten suchen.
Letztendlich kann jeder Anti-Bot-Schutz von einem Bedrohungsakteur mit genügend Motivation und Ressourcen umgangen werden, zumindest im kleinen Maßstab. Die Messlatte sollte jedoch so hoch wie möglich gelegt werden, und wir müssen sie immer höher legen. Zumindest in diesem Punkt scheinen einige Regierungsstellen den Sportschuhfirmen weit hinterher zu hinken.
Fazit
Bots haben in der modernen Gesellschaft einige bedeutende Vorteile. Der Bot, der beim Suchen von Terminen half, wurde beispielsweise von den Bürgern gut angenommen, weil er ihnen einen echten Nutzen brachte. Chatbots und Hilfe-Bots sind dafür konzipiert, unser Leben einfacher zu machen, und abgesehen von einigen kleinen Unannehmlichkeiten, die sie mit sich bringen, tun sie das auch oft.
Mit dem technologischen Fortschritt können zunehmend komplizierte Aufgaben automatisiert und an Bots delegiert werden. Diese Bots ersparen uns zwar mühsame Arbeit und unterstützen uns bei der Bewältigung größerer Herausforderungen, aber sie bieten auch Möglichkeiten für bösartige Handlungen. Um die Integrität unseres Online-Lebens zu schützen und zu gewährleisten, müssen wir in der Lage sein, Bots zu identifizieren und zu klassifizieren und sie von Bereichen fernzuhalten, in die sie nicht gehören.
