Foto: Shyntartanya - shutterstock.com
Nach Angaben des Content-Delivery-Network-(CDN-)Betreibers Fastly müssen Online-Händler über das gesamte Jahr hinweg 206.000 Cyberattacken pro Monat wegstecken. Die Vorweihnachtszeit hebt diesen Durchschnitt nochmal deutlich an. Das Unternehmen hat in einer Stichprobe unter 4,9 Millionen Angriffen auf E-Commerce-Seiten die fünf häufigsten Angriffstechniken analysiert. Hier sind die Ergebnisse:
1. Feindliche Übernahme des Accounts
Knapp ein Drittel der Angriffe verfolgt das Ziel, ein Kundenkonto zu übernehmen. Bei solch einem Account Takeover stehlen die Täter im Rahmen eines automatisierten Prozesses Anmeldeinformationen und kapern so den Account. Sie ändern dann die Einstellungen des Opfers so, dass die Nutzer aus ihrem eigenen Konto ausgesperrt werden. Fortan können die Betrüger Waren oder Dienstleistungen für sich bestellen.
An Kontodaten heranzukommen, wird immer einfacher. Angreifer kaufen im großen Stil gestohlene Nutzernamen und Passwörter im Darknet, die zuvor bei einem Breach abgegriffen wurden. Sie verwenden dann Bots, um die Zugangsdaten gegen die Authentifizierungsabläufe von Online-Händlern laufen zu lassen. Diesen Vorgang nennt man auch Credential Stuffing.
Anwender können versuchen, diesem Treiben mit sicheren und sich häufig ändernden Passwörtern (Buchstaben + Zahlen + Sonderzeichen) entgegenzuwirken. Auch Webshops können vorbeugen, indem sie herausfinden, was für sie das zu erwartende Traffic-Volumen über einen bestimmten Zeitraum ist. Dann haben sie einen Anhaltspunkt, um Abweichungen zu erkennen. Wenn Authentifizierungs- und Login-Versuche oder Passwort-Zurücksetzungen einen Schwellenwert überschreiten, können sie mit automatischen Blockierungsregeln dagegen vorgehen.
2. Bot-Imposter
Mit 24 Prozent sind Bot-Imposter die zweithäufigste Art der Angriffe. Dabei handelt es sich um bösartige Webanfragen, die sich gegenüber den E-Commerce-Seiten als Google- oder Bing-Suchbots tarnen. Via Content Scraping durchsuchen sie die Seiten von Online-Händlern nach Informationen zu Preisen und Lagerbeständen. So gewinnen Angreifer einen Überblick über knappe Waren, kaufen diese schnell auf und verkaufen sie dann zu höheren Preisen weiter.
Die dazu verwendeten Inventory Scraping Bots lassen sich häufig durch einen Abgleich mit vorab ermittelten bösartigen IP-Adressen identifizieren. Nicht selten kommt der Traffic aus einschlägigen Quellen, die den Sicherheitsfirmen gut bekannt sind.
3. Cross-Site-Scripting
Acht Prozent der Angriffe entfallen auf Cross-Site-Scripting (XSS). Entsprechende Vorfälle werden zu den Injection-Attacken gezählt und gehören schon seit vielen Jahren zum Standard-Instrumentarium der Cyberkriminellen. Die Angreifer schmuggeln einen bösartigen Javascript-Code in eine lückenhafte Web-Anwendung hinein. Wird dieser Code vom Nutzer aktiviert, kann der Täter an vertrauliche Daten gelangen (Identitätsdiebstahl) oder ganze Anwendungen übernehmen.
XSS ist dann erfolgreich, wenn Webanwendungen ankommende Daten nicht ausreichend überprüfen und einfach weiterverarbeiten. So werden Skripte an einen Webserver oder Browser durchgereicht, der sie dann ausführt.
4. SQL-Injections
Ebenfalls acht Prozent aller Angriffe machen SQL-Injections (SQL-Einschleusungen) aus. Sind sie erfolgreich, können Angreifer an sensible Daten gelangen. Bei SQL Injections wird die Kommunikation von Webanwendungen mit der SQL-Datenbank manipuliert, indem zusätzliche Befehle in Datenbankabfragen eingeschmuggelt werden, was die Logik der Abfrage verändert. Die Datenbankabfrage-Sprache SQL kommt bei Relationalen Datenbanksystemen zum Einsatz.
Mit SQL-Injections können Angreifer nicht nur die Authentifizierung eines Logins umgehen, sondern auch die Inhalte von Datenbanken auslesen und kopieren. Ein großer Teil der Datenleaks der letzten Jahre basiert daher auf erfolgreichen SQL-Injections. Natürlich lässt sich mit dem Löschen von Datenbankinhalten auch der Betrieb von Anwendungen lahmlegen. Gelingt es Tätern, eigenen Code in die Datenbank einzuschleusen, können sie das angegriffene System oft auch für die Verbreitung von Schadcode missbrauchen. Ebenso gibt es Fälle, in denen über SQL-Injections auf die Shell des Servers zugegriffen werden konnte, so dass Angreifer die Kontrolle über den Server gewinnen konnten.
Sicherheitsexperten empfehlen, durch den Einsatz von Prepared Statements die Benutzereingaben vom SQL-Interpreter fernzuhalten. Dabei handelt es sich um besondere Templates für Datenbankabfragen, die sich variabel anpassen lassen. Auf Seiten der Datenbank sollten die Benutzerprivilegien eingeschränkt werden. Je weniger Menschen Lese-, Ausführungs- und Löschberechtigungen haben, desto sicherer ist das System.
5. Backdoor Files
Angriffe über Backdoors machen sechs Prozent aller Attacken aus. Es handelt sich dabei um gut getarnte Schadsoftware, die Sicherheitslücken ausnutzt und Angreifern Zugang zum Computer verschafft. Dort können sie so ziemlich alles tun: Daten stehlen, die Server kapern und auch von dem rechner aus DDoS-Angriffe lancieren. Hacker installieren Backdoors, indem sie gezielt Schwachstellen mithilfe geeigneter Malware ausnutzen.
Um sich zu schützen, sollten Anwender Antivirussoftware nutzen, die Malware wie Trojaner, Cryptojackers, Spyware und Rootkits zuverlässig entdeckt und beseitigt. Gute Produkte bieten auch Tools für WLAN-Monitoring, eine Firewall für die Kontrolle des ein- und ausgehenden Traffics, Web Protection und Mikrofon- sowie Kamerakontrolle. Wie immer gilt: Vorsicht beim Download von Software, am besten man hält sich an vertrauenswürdige, bekannte Seiten. Zu empfehlen sind außerdem ein guter Passwort-Manager und natürlich das regelmäßige Patchen aller Systeme.
Ein automatisierter Prozess kann helfen
Sean Leach, Chief Product Architect bei Fastly, weiß, wie stressig der Weihnachts-Countdown für Händler und Kunden sein kann. Am wichtigsten sei es Sicherheitslösungen zu haben, die zwischen regulären Usern und Angreifern unterscheiden könnten. "Gerade Händler, die viele Daten haben, sollten auf einen automatisierten Prozess setzen." Leach empfiehlt Lösungen, die die gesamte Infrastruktur des Händlers abdecken und einen hohen Sicherheitsstandard haben. (hv)