Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing - Fortschrittliche Bot-Management-Technologie zur Abwehr von Bedrohungen - Akamai
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
E‑BOOK Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing Fortschrittliche Bot-Management-Technologie zur Abwehr von Bedrohungen
„
Die durch Credential Stuffing verursachten
Kosten – z. B. Verluste durch Betrug, Ausgaben für
die betriebliche Sicherheit, Anwendungsausfälle
und Kundenabwanderung – können zwischen
6 und 54 Millionen Dollar pro Jahr liegen.“
Quelle: The Cost of Credential Stuffing, Ponemon Institute
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 2
CREDENTIAL STUFFING KONTOÜBERNAHME
BETRÜGER NUTZT BOTS FÜR ANMELDUNG UND KONTOÜBERNAHMEN
ANMELDUNG
Nutzername SHOPPING
Passwort
ANMELDUNG
Nutzername KONTEN
Passwort
ANMELDUNG
Nutzername
DATEN
Passwort
So funktioniert Credential Stuffing
Ein Angreifer nutzt Bots, um Ihre Webseiten (in der Regel Kundenkonten, tätigen Einkäufe oder führen andere
die Anmeldungs- oder Kontoseite) kontinuierlich mit betrügerische Aktivitäten aus. In der Regel erwirtschaften
Nutzeranmeldedaten anzupingen, die über das Dark sie dabei einen hohen Gewinn – auf Ihre Kosten. Sie büßen
Web erworben wurden. Der Angreifer verfolgt, welche Umsätze, Kunden und Ihren guten Ruf ein. Sie können
Anmeldedaten funktionieren, und verkauft die validierten sogar noch weitere finanzielle Verluste erleiden, wenn Sie
Anmeldedaten dann an andere Betrüger. Damit melden die gesetzlichen Vorschriften nicht einhalten und dafür
diese sich auf Ihrer Website an und übernehmen Strafgelder und Rechtskosten zahlen müssen.
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 3
Durch die weite Verbreitung von Onlineanwendungen achten die Akamai beobachtete
meisten Nutzer nicht besonders auf die Sicherheit im Internet: So
verwenden sie beispielsweise oftmals dieselben Anmeldedaten für 26,95 Milliarden
unterschiedliche Konten. Und damit wird jedes Onlineunternehmen
mit Anmeldeseite zu einer potenziellen Zielscheibe für Credential
Stuffing – egal, ob zuvor eine Datenschutzverletzung erfolgt ist
Credential-Stuffing-
oder nicht.
Versuche im Laufe
Zwar können Sie Ihr Netzwerk und Ihre Daten mit einem Schutzwall
umgeben. Aber wenn Sie Credential Stuffing nicht erkennen und des ersten
aufhalten können, bevor Hacker eine erfolgreiche Kombination
finden, bleibt Ihr Unternehmen weiterhin angreifbar. Bei einer Quartals 2020 –
Umfrage des Ponemon Institute nannte mehr als die Hälfte der
Teilnehmer Credential Stuffing als Sicherheitsherausforderung für
ihr Unternehmen. Darüber hinaus gaben nahezu 70 Prozent der
ein Anstieg um
Befragten an, sie glauben nicht (oder hätten nicht das Gefühl), dass ihr
Unternehmen entsprechende Angriffe ausreichend erkennen könne.
256 % gegenüber
Dies deckt sich mit den neuesten Schätzungen der Branche,
dass Milliarden gestohlener Anmeldedaten (Nutzernamen, dem ersten
Quartal 2019.
Passwörter und E‑Mail-Adressen) derzeit im Dark Web im
Umlauf sind.
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 4Credential Stuffing
läuft automatisiert ab –
Bot-Management ist damit
Ihre beste Verteidigung
Leider haben Anmeldeanfragen im Zuge von Credential
Laut Akamai machen Stuffing keine Muster, die sich leicht erkennen und blockieren
lassen. Verifizierte Anmeldedaten führen zu gültigen Anfragen:
Bots 30 bis 70 % des Die Anmeldeinformationen sind legitim, selbst wenn die
sich anmeldende Person kriminell ist. So sind entsprechende
gesamten Website- Anfragen nahezu unmöglich zu erkennen.
Traffics aus.
Glücklicherweise wird Credential Stuffing nicht manuell
durchgeführt. Die Validierung erfolgt in der Regel automatisiert.
Somit bietet effektives Bot-Management die beste Verteidigung
gegen dieses Problem.
Wenn Sie Bots gut erkennen und blockieren können, ist die
halbe Miete zum Schutz vor Credential-Stuffing-Angriffen
schon erreicht.
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 5Mit Bot-Managementsoftware haben Sie folgende Möglichkeiten:
• Sie vereinfachen die Erkennung von automatisierten
Betrugsversuchen, da von Bots generierte Anmeldeanfragen
einfacher zu ermitteln sind als Kontoübernahmen durch
Menschen.
Bots sind intelligent
• Sie verringern die Anzahl versuchter Kontoübernahmen und hartnäckig – Ihr
dank Reduzierung der für Betrüger verfügbaren validierten
Anmeldedaten. Bot-Management
• Sie sorgen dafür, dass Ihre Website für Angreifer weniger
interessant ist, da diese sich oft einfacheren Zielen zuwenden.
muss sich daher
Wenn ein Betrüger feststellt, dass Sie den Bot erkannt haben, genauso schnell
wird er versuchen, Ihrem Erkennungsmechanismus auf die
Spur zu kommen. Anschließend aktualisiert er die Software,
um diesen zu umgehen, und versucht es erneut. Durch
weiterentwickeln.
die vielversprechenden Gewinnaussichten ruft Credential
Stuffing einige der raffiniertesten Bot-Betreiber auf den Plan.
Dementsprechend schreitet die Bot-Entwicklung in diesem
Bereich schnell voran. Um Ihr Unternehmen und Ihre Kunden
zu schützen, müssen Sie daher mit der Bot-Entwicklung
Schritt halten.
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 6Aufgezeichnetes
menschliches
Verhalten
Browser-
Fingerabdruck-
Spoofing
JavaScript-
Unterstützung
Vollständige
Cookie-
Unterstützung
Sitzungs
wiederholung
Browser-
Imitation
Randomisierter
Geringe Nutzeragent
Mehrere Anfragerate
Einzelne IPs
IP
Bot-Technologien und -Funktionen nach Komplexität
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 7Niedrige Komplexität
Hohe stündliche Anstiege der Versuche
Mittlere Komplexität
Verborgen im normalen Traffic
nach Geschäftsschluss
Hohe Komplexität
Ständige Aktivität
Menschen Bots
Verschiedene Level von Bot-Komplexität nach Trafficmuster in einem 24-Stunden-Zeitraum
Und es ist nicht nur der Bot selbst, sondern sein Ein Brute-Force-Angriff mit einer Handvoll von
Angriffsansatz. Wenn Sie beispielsweise nur auf einen IP-Adressen erfordert eine andere Strategie als ein Bot,
kurzfristigen, sprunghaften Anstieg der Anmeldeversuche der aufgezeichnetes menschliches Verhalten mit wenigen
achten, können schwerwiegendere Aktivitäten unerkannt und sporadischen Anfragen pro IP-Adresse nutzt.
bleiben. Die meisten Websites interagieren täglich mit
vielen verschiedenen Bedrohungen: von offensichtlicher
Automatisierung bis hin zu schwer zu erkennendem
Bot-Verhalten.
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 8FALLSTUDIE
Nach einem großen Angriff mit mehr als 131.000 Anfragen pro Stunde blockierte ein führender Modehändler den
Bot-Traffic mit Akamai Bot Manager Premier. Durch die Lösung sank der erkannte Bot-Anmeldungstraffic auf einen
statistisch nicht signifikanten Wert, während sich der Traffic aus menschlichen Anmeldungen nicht änderte.
Menschen Bots
Anzahl der Anmeldeversuche von Menschen und Bots auf der Seite eines führenden Modehändlers im
Zeitraum von acht Tagen
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 9FALLSTUDIE
Ein Finanzdienstleister der Global 500 stellte fest, dass seine Rentenseite, die für gewöhnlich 20.000 ungültige
Anmeldeversuche pro Tag verarbeitete, plötzlich alle fünf Minuten 50.000 ungültige Anmeldeversuche empfing.
Durch diesen Angriff wurde die Infrastruktur überlastet, und Nutzer erhielten Sitzungs-Timeouts oder konnten
sich nicht bei ihren Konten anmelden. Durch die schnelle Implementierung von Akamai Bot Manager Premier
konnte die Attacke schnell aufgehalten werden, und der Bot-Betreiber konnte keine Darlehen über fremde
Kundenkonten beantragen.
250.000
200.000
204.398
Anmeldeversuche
150.000
100.000
50.000
16.359
Anmeldeversuche
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
Transparenz über mehrere Kunden hinweg Transparenz eines einzelnen Kunden
Ein umfangreicherer Überblick über Internettraffic bedeutet auch mehr Einblicke in die Aktivität komplexer Bots.
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 10Blockieren Sie Bot-Anmeldungen ohne
Einbußen beim Kundenerlebnis
Bei einer Umfrage des Ponemon Institute gaben 70 Prozent Durch den Einsatz von künstlicher Intelligenz und
der Befragten an, dass sich die Verhinderung von Credential- Technologien zur Verhaltensanalyse lässt sich bei diesen
Stuffing-Angriffen schwierig gestalte, da durch Lösungen, komplexeren Bedrohungen eine höhere Präzision erreichen.
die Kriminelle aufhalten, auch das Erlebnis legitimer Nutzer Je genauer ein Algorithmus eingestellt ist, desto präziser
eingeschränkt werde. ist die Analyse. So lassen sich Auswirkungen auf die
Endnutzerperformance verhindern und False Positives
minimieren, durch die die Anmeldeversuche legitimer
Nutzer blockiert werden können.
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 11Berechnen Sie die Kosten
durch Credential Stuffing Wenn pro Monat 20 Ihrer
Sie können die Auswirkungen abschätzen, indem Sie den Aktivitätsumfang Nutzerkonten
quantifizieren und ihn mit folgenden bekannten Kennzahlen verknüpfen:
kompromittiert werden,
• Durch Betrug verlorenes Geld: Der durchschnittliche Wert von
Betrugstransaktionen mit gestohlenen Anmeldedaten. verliert Ihr Unternehmen
• Kosten für Betrugsprävention: Durch Reduzierung der Anzahl in einem Jahr
kompromittierter Konten sinken auch die Kosten für Lösungen zum
Schutz vor Betrug, die Ihr Unternehmen möglicherweise verwendet. schätzungsweise
• Wiederherstellungskosten: Kunden darüber zu informieren, dass sie ihr 576.000 $.
Passwort ändern müssen, ist deutlich günstiger, als einen Mitarbeiter mit
Der Durchschnitt basiert auf folgenden Annahmen:
der Untersuchung des Betrugsfalls zu beauftragen. 1.000.000 betrügerische Anmeldeversuche pro Monat
• 20 kompromittierte Konten pro Monat
• Verluste durch verlorene Kunden: Kunden, die Opfer von • 0,01 $ pro Abfrage für Lösungen für Betrugsschutz
• 500 $ durchschnittlicher Wert von Betrugstransaktionen
Kontoübernahmen wurden, könnten auf andere Anbieter umsteigen. • 1.000 $ Wiederherstellungskosten pro Konto
• 2.000 $ durchschnittlicher Customer Lifetime Value
• 20 % Schwundquote bei kompromittierten Konten
• 1.000.000 × 0,01 $ = 10.000 $ Einsparung bei der
Betrugsprävention pro Monat
• 20 × 500 $ = 10.000 $ Einsparung durch verhinderte
Betrugsversuche pro Monat
• 20 × 1.000 $ = 20.000 $ Einsparung für Wiederherstellung pro Monat
• 20 × 20 % × 2.000 $ = 8.000 $ Verlust durch verlorene
Kunden pro Monat
• 10.000 $ + 10.000 $ + 20.000 $ + 8.000 $ = 48.000 $
Gesamtwert pro Monat
Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 12Lernen Sie die Vorteile von Akamai kennen. Täglich durchläuft ein wesentlicher Anteil des gesamten Mit unserem umfassenden Portfolio für Onlinesicherheit Webtraffics das Akamai-Netzwerk, darunter einige der können unsere Kunden den Bot-Traffic auf der Plattform weltweit größten und am häufigsten angegriffenen Websites. für die Cloudbereitstellung von Akamai bewältigen, noch So erhält Akamai einzigartige, tief gehende Einblicke in die bevor er ihre Websites und Infrastrukturen erreicht. Akamai legitime Anwendungsnutzung sowie in das sich ständig unterstützt Unternehmen dabei, die Auswirkungen von Bot- weiterentwickelnde Angriffsverhalten schädlicher Bots. Traffic auf das Geschäft und die IT zu verwalten, um Kunden, Akamai verfügt über die neuesten Technologien zur Bot- Unternehmen und Marke zu schützen. Erkennung, die die derzeit komplexesten Bots erkennen. Schützen Sie Ihr Onlinegeschäft vor Credential Stuffing 13
„
Bei einem Angriff, bei dem Anmeldedaten missbraucht wurden, stieß
Akamai auf ein Botnet mit nahezu 13.000 IP-Adressen. Hierbei unternahm
jedes Mitglied durchschnittlich alle zwei Stunden einen Anmeldeversuch.
Insgesamt sendete das Botnet in 24 Stunden 167.039 Anmeldeversuche –
hiervon betroffen waren 123.909 verschiedene Konten.“
Quelle: Improving Credential Abuse Threat Mitigation
Weitere Informationen zur Verwaltung und Abwehr von
Bot-Bedrohungen, wie z. B. Credential Stuffing,
finden Sie unter akamai.com/bots.
Wenden Sie sich an einen Akamai-Mitarbeiter, um zu erfahren, wie die fortschrittlichen
Bot-Management-Lösungen von Akamai Ihre Strategie für Onlinesicherheit erweitern können.
Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt alles – vom Unternehmen bis zur Cloud –, damit unsere
Kunden und ihre Unternehmen schnell, intelligent und sicher agieren können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer
Multi-Cloud-Architekturen zu optimieren. Akamai bietet Schutz vor Angriffen und Bedrohungen, beschleunigt Entscheidungen und Anwendungen und liefert herausragende
Online-Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance, Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen
herausragenden Kundenservice, Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie unter
www.akamai.com, im Blog blogs.akamai.com oder auf Twitter unter @Akamai. Unsere globalen Standorte finden Sie unter www.akamai.com/locations. Veröffentlicht: Juli 2020.
14Sie können auch lesen
