Unlauterer Vorteil: Auswirkungen von Sneaker-Bots auf das Weihnachtsgeschäft
Video von Joseph Martinez
Einführung
Bots sind eines der besten Beispiele dafür, dass eine Technologie zum Wohl der Allgemeinheit – beispielsweise für die Bereitstellung einfacher Annehmlichkeiten wie Chatbots mit schnellen Antwortzeiten oder der Gewährleistung korrekter Suchmaschinenergebnisse – auch genutzt werden kann, um großen Schaden anzurichten.
Als Sicherheitsexperten denken wir bei Bots meist an DDoS-Angriffe (Distributed Denial of Service). DDoS-Angriffe haben in Unternehmen auf der ganzen Welt großen Schaden angerichtet, und die Kunden dieser Unternehmen haben die Auswirkungen zu spüren bekommen.
Einer der berüchtigtsten DDoS-Angriffe, der DynDNS-Angriff im Jahr 2016, betraf einige der größten IT-Unternehmen der Welt wie Facebook, Amazon, Apple, Netflix und Google (FAANG). Und die DDoS-Angriffe nehmen nicht ab. Im Gegenteil, die Angreifer entwickeln ihre DDoS-Strategien weiter und nutzen sie als weitere Erpressungsmethode im Bereich der Ransomware.
Verbraucher denken bei Bots in der Regel an Chatbots, mit denen sie kommunizieren (wie ChatGPT), und/oder an Kundenservice-Bots, die sie an die richtige Stelle weiterleiten, um ein Problem zu lösen. Solche Bots sind eher am harmlosen und nützlichen Ende des Spektrums angesiedelt.
Was die Verbraucher vielleicht nicht wissen, ist, dass Bots auch der Grund für überhöhte Preise sein können (und sehr oft sind) – wenn der gewünschte Artikel überhaupt noch verfügbar bleibt. Da Weihnachten schnell näher rückt, müssen die Verbraucher in dieser Zeit des Jahres noch wachsamer sein.
Cybersicherheit geht alle an
Normalerweise beschäftigt sich die Akamai Security Intelligence Group (SIG) mit tiefgreifenden technischen Sicherheitsanalysen. Im Rahmen des Cybersecurity Awareness Month im Oktober möchten wir uns aber direkt an Sie, die Verbraucher, zu wenden. Wir möchten Ihnen zeigen, warum es schwierig sein kann, an die heiß begehrten Konzerttickets oder limitierten Sneaker zu kommen.
Da draußen gibt es eine Vielzahl von Bots. In diesem Blogbeitrag konzentrieren wir uns auf die schädlichen „Sneaker-Bots“ oder „Scalper-Bots“: was sie sind, wie sie eingesetzt werden und welche Auswirkungen sie für die Verbraucher haben.
Was ist ein Sneaker-Bot?
Ein Sneaker-Bot ist ein schädlicher Code, der Websites durchforstet, um Artikel wie limitierte Sneaker zu abzugreifen. Daher auch der Name. Sneaker-Bots werden auch als „Scalper-Bots“ oder „Sniper-Bots“ bezeichnet. Und sie suchen nicht nur nach Schuhen. Sie tauchen auch immer mehr in Bereichen außerhalb des digitalen Handels auf, wie beispielsweise im Sommer 2022, als Bots in Israel für Regierungsdienste abkassierten.
Diese Art von Bots führt nicht nur zu großer Frustration bei potenziellen Kunden, sondern heizt auch den Preiswucher im Internet an. Wahrscheinlich haben wir alle schon einmal die Erfahrung gemacht, dass wir für etwas, das wir unbedingt haben wollten, bei Drittanbietern einen absolut überhöhten Preis bezahlt haben – wir reden hier über Gewinnmargen von bis zu 7.000 % .
Sind Sneaker-Bots illegal?
Wenn Sie einen Anwalt fragen: „Es kommt darauf an.“ Sie verstoßen allerdings gegen die Geschäftsbedingungen mehrerer großer Websites für digitalen Handel. Die Tatsache, dass sich solche Bots mit dem entsprechenden Know-how relativ einfach nutzen lassen, hat eine zusätzliche Subbranche hervorgebracht: Sneaker-Bots as a Service.
Gegen eine Gebühr können Sie fertige Bots nutzen. Sie können sie für eine dauerhafte Nutzung kaufen oder nach Bedarf mieten. Die Kosten sind teilweise ziemlich hoch – bis zu 500 US-Dollar in einigen Fällen – und die Nutzung solcher Services garantiert nicht, dass Sie den begehrten Artikel am Ende auch erhalten. Diese Services können Ihre Chancen erhöhen, aber der Erfolg ist keineswegs garantiert.
Riskant (und nicht wirklich lohnenswert)
Es kann sehr verlockend sein, auf einen solchen Service zurückzugreifen, insbesondere während der Weihnachtszeit. Sie wären Elternteil des Jahres, wenn Sie mit den limitierten Sneakern von Nike nach Hause kämen, über die Ihr Kind ständig redet. Aber 500 US-Dollar sind keine Kleinigkeit und – lassen Sie sich das von uns sagen, die wir eine enorme Menge an Bot-Traffic sehen – das Risiko einfach nicht wert.
Warum sind Bots so verbreitet?
Es gibt gute und böse Bots. Unabhängig davon, welche Art von Bot gemeint ist, spielt deren Schnelligkeit eine große Rolle bei ihrer Verbreitung. Wie schnell diese Bots Aufgaben erledigen, ist für einen Menschen unvorstellbar. Bots können Aufgaben so viel effizienter erledigen, dass ihr Einsatz für Unternehmen große Kosteneinsparungen bedeuten kann.
Bots können uns auch im Alltag mental entlasten: Sie senden Erinnerungen, Informationen, Benachrichtigungen usw. Einfach ausgedrückt: Gutartige Bots machen unser Leben einfacher. Daher ist es wichtig, zwischen gutartigen und bösartigen Bots zu unterscheiden. Bösartige Bots zielen darauf ab, Schaden anzurichten oder uns zu übervorteilen.
Wie viel Schaden können Bots für Verbraucher anrichten?
Wir bei Akamai kennen uns aus mit Bots. Noch wichtiger ist, dass wir das Ausmaß des Schadens kennen, den Bots verursachen können. Während des Cybersecurity Awareness Month möchten wir zeigen, wie schnell schädliche Bots den Betroffenen direkt schaden können (Abbildung).
Fragen Sie sich nicht länger, „ob“ Sie persönlich von einer Datenschutzverletzung betroffen sind – die Wahrscheinlichkeit, dass es so ist, ist bei weitem höher als die, dass Sie nicht betroffen sind. Wir alle geben unsere Daten überall weiter, oft gedankenlos: Hier eine kostenlose Testversion, dort ein Konto – das summiert sich, und Angreifer wissen das.
Credential Stuffing: der Serienkiller
Es ist kein Geheimnis, dass die Wiederverwendung von Passwörtern ein häufiges Phänomen ist, dessen sich die meisten von uns schon einmal schuldig gemacht haben. Obwohl überall davon abgeraten wird, können die immer komplexeren Anforderungen an Passwörter dazu führen, dass ihre Wiederverwendung für manche Menschen die einzige Option zu sein scheint. (Lesen Sie dazu auch den Abschnitt "3 Möglichkeiten, sich zu schützen" weiter unten.)
Die Wiederverwendung von Passwörtern ist eine Angewohnheit, die es unbedingt zu vermeiden gilt, insbesondere wegen des so genannten „Credential Stuffing“. Credential Stuffing bedeutet, dass ein Angreifer versucht, sich mit den ausgespähten Anmeldedaten der betroffenen Person bei anderen Websites zu authentifizieren.
Beispiel: Wenn Ihr Nutzername und Ihr Passwort für ein Social-Media-Konto kompromittiert werden, könnte ein Angreifer diese Daten nutzen, um sich bei Banking- oder anderen Websites mit vertraulichen Informationen anzumelden.
Es wäre schon schlimm genug, wenn ein Mensch diese Anmeldedaten manuell eingeben würde. Aber was, wenn ein Bot die ganze Arbeit macht … Wie Sie in der Abbildung sehen, kann ein Angreifer mit einem automatisierten Prozess innerhalb von Minuten Tausende von Anmeldedaten auf einer Website eingeben. Je mehr Websites dieselben Anmeldedaten haben, desto größer ist das Risiko, dass Sie gefährdet sind.
3 Möglichkeiten, sich zu schützen
Angreifer haben einen großen Vorteil gegenüber Verbrauchern, da sie sich der gängigen Abwehrmaßnahmen bewusst sind und wissen, wie sie diese umgehen können. Deshalb ist es unerlässlich, wachsam zu bleiben. Cybersicherheit geht alle an.
Es gibt drei grundlegende Möglichkeiten, sich selbst zu schützen: Widerstehen Sie der Versuchung, Sneaker-Bots zu nutzen, verwenden Sie einen Passwortmanager und nutzen Sie immer eine Multi-Faktor-Authentifizierung (MFA).
1. Widerstehen Sie der Versuchung, Sneaker-Bots für limitierte Sneaker, heiß begehrte Konzerttickets oder ähnliches zu nutzen.
Es kann sehr verlockend erscheinen, Ihre Chancen auf den Erhalt besonderer Artikel zu erhöhen, aber wenn Sie sich mit Sneaker-Bots einlassen, geben Sie Ihre Zahlungs- und Kontaktinformationen an jemanden weiter, über den Sie rein gar nichts wissen. Sie tragen dann auch direkt zu dem Problem bei, dass es Bots überhaupt erst gibt.
Denken Sie immer daran: Der Erhalt des Artikels ist nie garantiert. Tatsächlich könnte der Sneaker-Bot selbst sehr wahrscheinlich eine Betrugsmasche sein, um Ihr Geld zu stehlen.
2. Verwenden Sie einen Passwortmanager, um komplexe Passwörter zu erstellen und zu speichern.
Die Bedeutung von Passworthygiene kann nicht oft genug betont werden, denn sie ist ein entscheidender Faktor für die Sicherheit Ihrer Daten im Internet. Da sich die Anforderungen ständig ändern, ist es oft am besten, ein speziell für diesen Zweck entwickeltes Produkt die Arbeit machen zu lassen. Auf diese Weise ist es einfacher und sicherer: Sie müssen sich nur ein einziges Passwort merken, den Rest erledigt der Passwortmanager für Sie.
Vergessene Passwörter zu oft zu ändern, kann genauso schlimm sein wie sie nicht oft genug zu ändern.
3. Multi-Faktor-Authentifizierung ist das A und O.
Nutzen Sie eine Multi-Faktor-Authentifizierung, wo immer Sie können. Dies zwingt einen Angreifer dazu, für Kontoübernahmen mehrere Schritte zu durchlaufen und erhöht so die Chancen für ein Scheitern.
Es ist besser, dafür eine andere Methode als SMS (Textnachrichten) zu verwenden, aber die Zwei-Faktor-Authentifizierung per SMS ist immer noch besser als gar keine!
Und noch einmal
Es scheint, als würden die gleichen Ratschläge immer und immer wieder recycelt werden. Das liegt nicht daran, dass Sicherheitsexperten faul sind, sondern daran, dass diese Abwehrmaßnahmen noch nicht so weit verbreitet sind, wie sie sein sollten.
Phishing, Bots und Credential Stuffing existieren seit den ersten Tagen des Internets und zählen immer noch zu den effektivsten Möglichkeiten für Angreifer, Ihnen zu schaden.
Es sind auch nur Menschen
Die Angreifer sind Menschen. Ob Angreifer, die Ransomware oder Botnets nutzen, oder sogar staatliche Stellen – sie sind menschlich. Sie wollen ihren Lebensunterhalt verdienen, genau wie wir anderen. Es mag seltsam erscheinen, diese Schurken verstehen zu wollen, aber es ist notwendig, um einen wichtigen Punkt zu begreifen:
Die Angreifer suchen nach dem einfachsten Weg, ihr Ziel zu erreichen. Je schwieriger man es für Sie macht, desto höher ist die Chance, dass sie weiterziehen.
Die Bedeutung eines Bewusstseins für Cybersicherheit
Zum Ende des Jahres – mit den Bots, den Cyberkriminellen und dem sich ständig wandelnden Terrain des Terrors und der Freude, das wir das Internet nennen – sind Sie es sich selbst schuldig, sich mehr mit Cybersicherheit zu befassen. Je abhängiger wir von der Technologie werden, desto wichtiger ist es, dies zu beherzigen.
