Treuepunkte zu verkaufen - Akamai
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
(Band 6, Ausgabe 3)
„State of the Internet“-Sicherheitsbericht
Treuepunkte
zu verkaufen
Betrug im Einzelhandel und
Gastgewerbe
Inhaltsverzeichnis
2 Mitteilung des Herausgebers
3 Gastbeitrag: „Investitionen in Cybersicherheit
rentieren sich nicht – bis der Ernstfall eintritt“ von
Jeff Borman, travelINNsights
5 Einführung
7 Missbrauch von Anmeldedaten
10 Fallstudie zum Missbrauch von Anmeldedaten
12 Fallstudie aus der Reisebranche
13 WAF
15 WAF-Fallstudie
16 DDoS
17 Fazit
18 Methodik
20 Herausgeber- und Mitarbeiterverzeichnis
Mitteilung des Herausgebers
Willkommen beim „State of the Internet“-Sicherheitsbericht von Akamai Treuepunkte zu
verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3).
Waren Sie auf 2020 vorbereitet? Das ist wohl eher eine rhetorische Frage. Fast niemand
war auf dieses Jahr vorbereitet. Unternehmen in allen Branchen mussten sich auf die
neuen Gegebenheiten einstellen, wobei Einzelhandel, Reisebranche und Gastgewerbe
aber am meisten betroffen waren.
Die in unserem Titel (fast wörtlich) zum Verkauf angebotene Treue ist in diesen Zeiten
ein wichtiges Thema. Ihre Treue zu einem Händler, einer Fluggesellschaft oder einer
Hotelkette steht zwar nicht buchstäblich zum Verkauf, es besteht jedoch eine hohe
Wahrscheinlichkeit, dass das Konto, mit dem Sie am Treueprogramm teilnehmen, zum
Verkauf steht. Und sehr wahrscheinlich haben viele von uns sogar Konten bei mehreren
konkurrierenden Unternehmen. Mit jedem Konto können wir von dem Programm
profitieren, das den besten Rabatt für eine bestimmte Transaktion gewährt. Sich nach
dem jeweils besten Angebot umzusehen, ist zwar kein Treuebruch, könnte aber dazu
führen, dass die Vorteile der Treueprogramme etwas verwässert werden.
Kriminelle scheuen sich nicht, unsere Treue gegen uns zu verwenden. Wie bereits
in vorherigen Berichten erwähnt, stellt die Wiederverwendung von Passwörtern in
allen Branchen ein großes Problem dar. Bei Treueprogrammen kommt als weiteres
Problem hinzu, dass sie als relativ risikolos wahrgenommen werden. Daher verwenden
Verbraucher eher schwache Passwörter oder solche, die sie bereits bei einem anderen
Unternehmen verwenden. Selbst wenn Ihr kompromittiertes Konto nicht zur Buchung
von Reisen verwendet wird oder Ihre Punkte nicht für Produkte ausgegeben werden,
sind auch die Konten selbst ein wertvolles Produkt, das an andere Kriminelle im
Dark Web verkauft werden kann.
Es mag zwar kein angenehmer Gedanke sein, aber kriminelle Unternehmen sind
Unternehmen wie jedes andere und folgen vielfach den gleichen Mustern, wie es bei
legitimen Geschäften der Fall ist. „As a Service“ ist im Untergrund genauso fest wie
in legalen Diensten verankert – beispielsweise im „DDoS‑for‑hire“-Markt, bei Botnet-
Anmietungen und bei Phishing-Services. Es dürfte also nicht überraschen, dass
Kontenlisten zum Verkauf angeboten werden und die Tools zu ihrer Nutzung gemietet
werden können.
Alle Unternehmen müssen sich auf externe Ereignisse einrichten, ganz gleich, ob es sich
dabei um eine Pandemie, einen Wettbewerber oder einen aktiven und intelligenten
Angreifer handelt. Wir haben über die letzten zwei Jahre eine Weiterentwicklung beim
Missbrauch von Anmeldedaten und auf den entsprechenden Märkten beobachtet.
Und wir sind immer mehr davon überzeugt, dass sich solche Angriffe nur mit einem
umfassenden Überblick über das Problem und die beteiligten Akteure abwehren lassen.
Martin McKeay
Editorial Director
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 2GASTBEITRAG
Investitionen in Cybersicherheit rentieren
sich nicht – bis der Ernstfall eintritt
von Jeff Borman
Zehntausende von Gebäuden rund um den solcher Hotels dafür, dass die wertvollsten Gäste
Globus sind zwar als Marriott, Hyatt oder Hilton weltweit nur innerhalb ihres ausgewählten
ausgewiesen, aber die jeweiligen Grundbesitzer Markenportfolios buchen. Marriott verfügt
sind fast immer börsennotierte Immobilienfonds beispielsweise über 32 Marken, von Fairfield Inn bis
oder Privateigentümer. Außerdem sind solche hin zu Ritz‑Carlton, sodass Vielreisende im Angebot
großen Hotelketten zu 85 % Franchises, sodass auf marriott.com immer etwas Passendes finden.
das Betreiberunternehmen eines Hotels dem Dank 120 Millionen Mitgliedern beim firmeneigenen
Gast mit ziemlicher Sicherheit unbekannt ist. Das Treueprogramm Bonvoy erreicht ein Unternehmen
Empfangspersonal trägt vielleicht ein Namensschild wie Marriott eine um 10 Prozentpunkte höhere
des Holiday Inn, ist aber nur sehr selten bei Zimmerbelegung als ein vergleichbarer Wettbewerber
InterContinental (IHG) – Muttergesellschaft und ohne Markenbezug – und das mehr als doppelt so
Eigentümer der Marke Holiday Inn – beschäftigt. schnell ab der Eröffnung. Die Zuverlässigkeit des
Große Markenunternehmen konzentrieren sich Angebots sowie die Vorteile der Treueprogramme
meist nur auf die lukrativsten Hotels, in der Regel führen zum Aufbau eines riesigen Kundenstamms, auf
im Luxus- und Konferenzsektor. Im Grunde haben den sich das gesamte Geschäftsmodell der großen
sich die Branchenriesen in den letzten 25 Jahren zu Marken im Wesentlichen begründet.
Markenunternehmen mit riesigen Treueprogrammen
entwickelt. Kosteneinsparungen bei Betrieb und Support
bieten großen Unternehmen im Gastgewerbe zwar
Für potenzielle Immobilienbesitzer sind erheblichen Mehrwert, Dreh- und Angelpunkt ihres
diese Giganten sehr attraktiv, da sie bessere Geschäftsmodells sind aber die Treueprogramme.
Renditen bieten. Hedgefonds-Manager und Die Kundenbindung wird durch direkte Interaktion
Risikokapitalgeber haben meist keine Erfahrung mit dem bevorzugten Unternehmen gefördert. Treue
im Hotelmanagement und bezahlen daher Marriott-Kunden geben sich gar nicht erst mit Trivago
für das Fachwissen der Branchenriesen. Ein ab – sie gehen direkt zu marriott.com. Markenlose
Markenmanagement-Unternehmen wie IHG bietet Hotels zahlen Online-Reiseagenturen wie Hotels.com
eine Unternehmensstruktur sowie ein Designteam, das pro Buchung oft bis zu 25 % Provision, während
Bauunternehmern sozusagen eine „Hotel‑in‑a‑Box“- dieselbe Transaktion bei einer großen Marke nur
Option bereitstellt. die Hälfte kostet. Zudem kosten Reservierungen
auf der Website großer Hotelmarken vielfach
Um die von Investoren geforderte höhere Rendite zu 90 % weniger als die gleiche Buchung über ein
erzielen, müssen die großen Marken mehr Kunden zwischengeschaltetes Unternehmen. Treueprogramme
anziehen als die markenlosen Alternativen. Zum fördern Direktbuchungen, da die Programmvorteile
einen versprechen Markenhotels Reisenden ein auf Gäste beschränkt sind, die direkt buchen.
gleichbleibendes Erlebnis über ihr gesamtes Portfolio
hinweg. Genau wie ein Big Mac bei jedem McDonald's
gleich schmeckt, läuft der Check‑in bei allen Hotels
einer Marke genau auf die gleiche Weise ab. Zum
anderen sorgen die umfangreichen Treueprogramme
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 3Vor zwanzig Jahren haben führende Marken Hotels Digitalteam engagiert sich für mehr Geldmittel für
verwaltet. Heute verwalten sie ihren Kundenstamm. die Suchmaschinenoptimierung. Die Hotelbetreiber
Ein Nachteil dieses „Asset‑Light“-Ansatzes ist, dass treten für Investitionen in Gebäude und Einrichtung
sich die großen Unternehmen im Gastgewerbe darauf ein. Gewinner sind meist die Initiativen, die am
verlassen müssen, dass die Immobilieneigentümer wahrscheinlichsten zu Umsatzsteigerungen führen –
weiterhin in ihre Hotels investieren. Die Investitionen das Hauptziel von Markenmanagement-Unternehmen.
reichen von der Ausstattung der Gebäude mit neuen
Möbeldesigns bis hin zur Hotelverwaltungssoftware. Laut US‑amerikanischen Gesetzesvorschriften müssen
Als Hilton 2016 den Digital Key einführte, den Franchisegeber jedes Jahr ein „Franchise Disclosure
ersten kontaktlosen Check-in-Prozess der Branche, Document“ veröffentlichen, in dem alle neuen für
musste es sicherstellen, dass jeder Hotelbesitzer Franchisenehmer vorgeschriebenen Kosten und
die richtigen Türschlösser installiert und die Regeln aufgeführt sind. Da nahezu unbegrenzte
richtigen Systemverfahren durchgeführt hat. Solche Möglichkeiten bestehen, auf diese Weise das Geld
Verbesserungen verursachen hohe Kosten, daher anderer Leute auszugeben, ist es nicht ungewöhnlich,
muss ein Unternehmen wie Hilton sehr sorgfältig dass 90 % der „guten Ideen“ erst gar nicht
entscheiden, welche Initiativen vorgeschrieben umgesetzt werden. Schließlich sollen die Gewinne
werden. der Besitzer ja nicht jedes Jahr durch neue Projekte
aufgezehrt werden. Die Rendite ist im Vergleich zur
Die großen Unternehmen im Gastgewerbe führen Risikominimierung immer der dominante Faktor.
jedes Jahr ein Priorisierungsverfahren durch, So erhalten nicht-kommerzielle Investitionen, z. B.
um zu bestimmen, welche Investitionen am Initiativen zum Schutz des Markenimages, niedrigere
wichtigsten sind und den Eigentümern auferlegt Priorität als Projekte, die zu Ertragssteigerungen
werden können. Dabei wetteifern unterschiedliche führen. Und so verschlafen Hotelbetreiber nur allzu oft
Abteilungen um die verfügbaren Investitionen. Das das Thema Cybersicherheit. Das mag für eine Branche,
Ertragsmanagement beispielsweise argumentiert für die ihren Gästen zu erholsamem Schlaf verhelfen will,
die Finanzierung besserer Preisfindungsalgorithmen. attraktiv klingen – doch wer schläft, kann auch von
Die Marketingteams setzen sich für höhere Albträumen heimgesucht werden.
Beiträge im Bereich Markenwerbung ein. Das
Jeff Borman ist Gründer und Leiter von Neben seiner beruflichen Unterstützung der
travelINNsights, einem Beratungsunternehmen Reisebranche ist er auch als Kunde aktiv, der
für Gastgewerbe und Tourismus, das Investoren bereits über 70 Länder und 45 US‑Bundesstaaten
und Akademiker aus dem Reisesektor betreut. bereist hat. In seinem Haus in Alexandria im
TravelINNsights veröffentlicht außerdem Studien US‑Bundesstaat Virginia ist er meist in der Küche
zu wirtschaftlichen Aspekten der Reisebranche für (am liebsten in der Outdoor-Küche) oder im
die Öffentlichkeit. Borman hat den Großteil seiner Weinkeller anzutreffen, wo er seine erst kürzlich
20‑jährigen Tätigkeit im Gastgewerbe als führender erworbenen Sommelier-Kenntnisse unter Beweis
Mitarbeiter im Ertragsmanagement bei Marriott und stellt.
Hilton verbracht und verfügt über Fachkenntnisse
in den Bereichen Analyse, Preisgestaltung und
Bestandsmanagement.
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 4Einführung
Die folgende Tatsache lässt sich nicht ignorieren:
Einzelhandel, Reisebranche und Gastgewerbe sind
äußerst stark von der COVID‑19-Pandemie betroffen.
Diese Branchen sind bekannt für ihren Fokus auf
Kundenservice und persönliche Interaktion und
haben einige Kundenprogramme geschaffen oder
erweitert, um ihre Kunden zu unterstützen. Diese
Maßnahmen, einschließlich der Punkteverlängerung
für verschiedene Treueprogramme, Bonusprämien
usw., konnten jedoch den starken Rückgang des
Geschäfts in der ersten Hälfte des Jahres 2020 nicht
aufhalten. Als die Welt auf einmal mehrere Monate
lang stillstand, kam es zu Kürzungen bei Personal und
Betrieb.
Kriminelle machten sich das schnell zunutze und
starteten Angriffe aller Art und Größe auf Einzelhandel,
Reisebranche und Gastgewerbe. Zwischen Juli 2018
und Juni 2020 beobachtete Akamai mehr als
100 Milliarden Credential-Stuffing-Angriffe, von denen
über 63 Milliarden auf Einzelhandel, Reisebranche und
Gastgewerbe abzielten.
Während der Lockdowns im 1. Quartal 2020 brachten Akamai verwendet den Begriff „Handel“ zur
Kriminelle Dutzende von Passwort-Kombinationslisten Kategorisierung von Kunden in Einzelhandel,
in Umlauf und nahmen dabei alle Handelsbranchen Reisebranche und Gastgewerbe. Die
ins Visier. In dieser Zeit begannen Kriminelle damit, Unterkategorie namens „Handel, Sonstiges“
alte Listen mit Anmeldedaten in Umlauf zu bringen, bezieht sich auf Großhändler und Distributoren
um neue anfällige Konten zu identifizieren, was zu ohne direkten Verkaufskanal zum Verbraucher.
einem Anstieg der Verkäufe im Zusammenhang mit In diesem Bericht verwenden wir in den
Treueprogrammen führte. Diagrammen die Begriffe „Handel“ und
„Sonstiges“. Beim Erörtern von Angriffen und
Bereitstellen von Kontext beziehen wir uns aber
direkt auf die Branche.
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 5Credential Stuffing war nur eine Art von Angriff. Diese Branchen sind die Top-Ziele für Kriminelle,
Kriminelle zielten auch online an der Quelle auf da sie vielerlei Nutzen bringen, von persönlichen
Einzelhandel, Reisebranche und Gastgewerbe ab, und Informationen bis hin zu ganzen Konten randvoll
zwar mit SQL-Injection-(SQLi-) und Local-File-Inclusion- mit Prämien und Treuepunkten, die ausgezahlt oder
(LFI-)Angriffen. Tatsächlich beobachtete Akamai gehandelt werden können.
zwischen Juli 2018 und Juni 2020 über 4 Milliarden
Webangriffe im Einzelhandel, in der Reisebranche
und im Gastgewerbe. Diese Angriffe machten 41 %
des gesamten Angriffsvolumens aus. Innerhalb dieses
Datensatzes zielten 83 % der Webangriffe auf den
Einzelhandel ab.
Zwischen Juli 2018 und Juni 2020 beobachtete Akamai
mehr als 100 Milliarden Credential-Stuffing-Angriffe,
von denen über 63 Milliarden auf Einzelhandel,
Reisebranche und Gastgewerbe abzielten.“
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 6Missbrauch von
Anmeldedaten
Dem Missbrauch von Anmeldedaten (oder Wenn zum Beispiel bei einer vorherigen
„Credential Stuffing“) liegt ein einziges Problem Datenschutzverletzung das Passwort „Patriots05“
zugrunde: Passwörter. Mehrfach verwendete, ausgenutzt wurde, könnte ein Krimineller, der sich
gemeinsam genutzte oder leicht zu erratende im American Football auskennt, seine Sammlung um
Passwörter befeuern einen erfolgreichen leicht zu erratende Varianten wie „Patriots17“ oder
Credential-Stuffing-Angriff. „Patriots283“ ergänzen. Aus diesem Grund ist es keine
gute Idee, Wörter aus dem Wörterbuch oder Muster
Im Lauf der Jahre haben Kriminelle auf die zu verwenden, und daher sind Passwortmanager
veränderten Vorgänge im Internet reagiert. Daher heutzutage unverzichtbar.
zielen sie für diese Angriffe heute vielfach direkt
auf APIs ab. Normale Anmeldeportale sind aber Passwortmanager, mit denen Sie lange, zufällige und
weiterhin ein beliebtes Angriffsziel. Darüber hinaus für jede Website eindeutige Passwörter generieren
erweitern bestimmte Kriminelle ihre Sammlungen von können, sind tatsächlich die beste Möglichkeit,
Anmeldedaten, indem sie Varianten eines bestimmten Credential-Stuffing-Angriffe zu stoppen. In
Passworts testen und so ihre Chancen auf Erfolg Kombination mit der Multi-Faktor-Authentifizierung
steigern. werden passive Credential-Stuffing-Angriffe dadurch
zwecklos.
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 7Tägliche Versuche des Missbrauchs von Anmeldedaten (Juli 2018 bis Juni 2020)
300 Mio.
Schädliche Anmeldeversuche (Millionen)
15. Juni 2020
229.552.603
14. Jan. 2020
17. Sept. 2019 190.931.368
200 Mio. 189.086.267
27. Apr. 2019
172.497.571
100 Mio.
0 Mio.
1. Juli 1. Oktober 1. Januar 1. April 1. Juli 1. Oktober 1. Januar 1. April 1. Juli
2018 2018 2019 2019 2019 2019 2020 2020 2020
Alle Branchen Handel
Abb. 1: Credential-Stuffing-Angriffe sind im Lauf der Zeit konstant geblieben, mit einer deutlichen Spitze gegen Ende des
2. Quartals 2020.
In Abbildung 1 sehen Sie die protokollierten bekannten Onlinehändler (der seit den Anfängen
Credential-Stuffing-Angriffe zwischen Juli 2018 des Internets aktiv ist), es kommen aber auch Angriffe
und Juni 2020. Wir haben allerdings einen Kunden, auf Einzelhändler für Musik und Bekleidung hinzu.
der nicht in die Handelsbranche fällt, aus dem Am 17. September 2019 teilten sich die Angriffe auf
Datensatz entfernt, da sein Angriffsvolumen zu Bekleidungsunternehmen (34 %), den zuvor erwähnten
erheblichem Traffic geführt hat und zum Zeitpunkt der bekannten Einzelhändler (14 %), Reiseanbieter (5 %)
Berichterstellung nur Daten für sechs Monate vorlagen. und Einzelhändler für Bürobedarf (9 %) auf.
Zunächst lässt sich beobachten, wie konsistent die
Angriffe in allen Bereichen sind. Im Einzelhandel, Im Januar 2020 wurde die Wirkung der globalen
in der Reisebranche und im Gastgewerbe wurden Lockdowns deutlich, da die Angriffe auf einen der
insgesamt 63.828.642.449 Credential-Stuffing-Angriffe weltweit größten Onlinehändler (18 %) sowie einen
erfasst. Insgesamt sind es mehr als 100 Milliarden. beliebten Einzelhändler für Heimwerkerbedarf (4 %)
Mehr als 90 % der Angriffe im Handel zielten auf den abzielten. Darüber hinaus gab es an diesem Tag
Einzelhandel ab. Attacken auf die Sektoren Bürobedarf (6 %), Fast Food
(3 %) und Bekleidung (17 %). Am 15. Juni 2020 lag
In der Zeitleiste wurden verschiedene Spitzen der Schwerpunkt der Angriffe auf Bekleidung und
hervorgehoben. Am 27. April 2019 richteten sich Kosmetik (43 %), gefolgt von Online-Einzelhandel
39 % der aufgezeichneten Angriffe gegen einen (17 %), Bürobedarf (4 %) und Fast Food (3 %).
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 8Top-Quellen beim Missbrauch von Anmeldedaten – Handel
Juli 2018 bis Juni 2020
QUELLE SCHÄDLICHE ANMELDEVERSUCHE GLOBALER RANG
USA 23.160.331.758 1
China 3.416.134.923 2
Thailand 2.885.486.429 5
Brasilien 2.844.012.210 4
Indonesien 2.333.147.171 7
Abb. 2: Die USA und China sind die Top-Quellen von Credential-Stuffing-Angriffen.
Der Großteil dieser Angriffe, wie in Abbildung 2 Wenn es um das Ziel der Angriffe geht, also den
gezeigt, stammt aus den USA, gefolgt von China, Kundenstandort, wie in Abbildung 3 zu sehen, sind die
Thailand, Brasilien und Indonesien als Top 5. Akamai USA nach wie vor das oberste Ziel, gefolgt von China,
kann nur den letzten Hop in der Angriffskette sehen, Indien, Brasilien und Kanada.
aber Proxy- und Bot-Services sind in diesen Bereichen
gefragt und beliebt, insbesondere in China, wo Bots
spottbillig pro Minute gemietet werden können.
Top-Ziele beim Missbrauch von Anmeldedaten – Handel
Juli 2018 bis Juni 2020
ZIEL SCHÄDLICHE ANMELDEVERSUCHE GLOBALER RANG
USA 46.515.587.176 1
China 5.129.941.553 3
Indien 3.801.260.736 2
Brasilien 1.950.460.737 6
Kanada 1.276.859.184 5
Abb. 3: Die USA und China sind auch die Top-Ziele für Credential-Stuffing-Angriffe.
„State of
of the
the Internet“-Sicherheitsbericht
Internet“-Sicherheitsbericht Treuepunkte
Treuepunktezuzuverkaufen
verkaufen – Betrug
– Betrug imim Einzelhandel
Einzelhandel und
und Gastgewerbe
Gastgewerbe (Band
(Band 6, Ausgabe
6, Ausgabe 3) 3) 9Fallstudie zum Missbrauch von
Anmeldedaten
Kriminelle sind nicht wählerisch. Sie machen sich Wie in Abbildung 4 gezeigt, hat sich ein bestimmter
alles, worauf zugegriffen werden kann, auf irgendeine Krimineller seit 2019 auf Tankstellenpunkte
Weise zunutze. Daher ist Credential Stuffing über die konzentriert. Als von Kriminellen durch Credential
letzten Jahre so beliebt geworden. Einzelhandels- Stuffing verkaufter Artikel mag dieses Beispiel seltsam
und Treueprofile enthalten heute eine Fülle von und völlig untypisch erscheinen; es zeigt aber klar
persönlichen Informationen (die gesammelt, auf, dass keine Daten tabu sind. Das Produkt wird mit
zusammengestellt und verkauft werden können) sowie einem finanziellen Anreiz beworben: Für nur 13 USD
Zugang zu finanziellen Daten (gespeicherte Kredit-/ wird eine theoretische Einsparung auf Treibstoff in
Debitkarten oder Prämienguthaben, die stückweise Höhe von 30 USD versprochen.
gehandelt oder verkauft werden können). Beispiele
hierfür sind Tankstellenpunkte und Prämienguthaben
von Hotels.
Abb. 4: Kriminelle bieten Prämienkonten mit Rabatten auf Treibstoff an.
In Abbildung 5 bietet derselbe Kriminelle auch Konten mit Kreditkartendaten an, mit denen nicht nur vorhandene
Prämienpunkte für Treibstoff eingelöst, sondern auch Lebensmittel zur Abholung bestellt werden können. Dabei
besteht ein gewisses Risiko, aber der Verkäufer des Kontos braucht sich darum keine Gedanken zu machen.
Abb. 5: Kriminelle verkaufen alles, einschließlich der von Tankstellen und Lebensmittelgeschäften
geführten Prämienkonten.
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 10Hotelprämienkonten sind ebenfalls beliebt, darunter auch die von großen Ketten wie Hilton. Die Konten werden
nach ihrem Punktewert sortiert und verkauft. Abbildung 6 zeigt eine Werbeanzeige für Konten mit mindestens
10.000 Punkten für jeweils 3 USD, während Konten mit 40.000 Punkten für 30 USD verkauft werden. Dieser
Verkäufer bietet auch Konten mit 100.000 – 550.000 Punkten sowie 600.000 – 1.000.000 Punkten an, von denen
das teuerste 850 USD kostet.
Abb. 6: Hotelprämienkonten werden häufig auf Darknet-Märkten gehandelt und verkauft.
Einzelhandels- und Treueprofile enthalten heute eine
Fülle von persönlichen Informationen (die gesammelt,
zusammengestellt und verkauft werden können) sowie Zugang
zu finanziellen Daten (gespeicherte Kredit-/Debitkarten oder
Prämienguthaben, die stückweise gehandelt oder verkauft
werden können).“
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 11Fallstudie aus der Reisebranche
Wussten Sie schon, dass Kriminelle Reiseagenturen Eine weitere Behauptung ist: „Wir haben in all den
haben? Sie sind schon seit Jahren im Einsatz. Ihr Jahren immer die gleiche Methode verwendet und
Geschäft besteht weniger in der Ausnutzung des wir bemühen uns mehr als andere, Ihre Sicherheit zu
Gastgewerbes und der Reisebranche, sondern eher gewährleisten. Bei uns gibt es keinen Kreditkarten-
in der Nutzung der vorhandenen Workflows und oder Prämienpunktebetrug, sondern bei unserem
Lieferketten. Betrugsverfahren behält das Unternehmen (der
Anbieter) immer sein Geld. Und es gibt keine
In manchen Fällen führen kriminelle Reiseagenturen Rückbuchungen, was bedeutet, dass keine
Buchungen anhand gestohlener Kreditkarten Untersuchungen zu dem von Ihnen bestellten Service
oder kompromittierter Flugmeilen oder erfolgen.“ [sic]
Hotelprämienpunkte durch, aber meist ist das gar
nicht nötig. Treuepunkte können gemeinsam genutzt Wie bereits erwähnt, buchen einige Kriminelle
werden, daher werden sie häufig zwischen Konten Reisen für ihre Kunden über kompromittierte Karten,
übertragen. Weiterhin lassen sich Rabattprogramme, kompromittierte Prämienkonten oder eine Mischung
Insider-Zugänge und Drittanbieterdienste ausnutzen. aus beidem. Das Risiko wird vollständig von der Person
übernommen, die die Reise tätigt.
Bei vielen Reiseangeboten im Darknet wird ein
Prozentsatz der Gesamtreisekosten als Gebühr Viele der erfolgreichsten Verkäufer, die nach
erhoben, in der Regel zwischen 25 % und 35 %. Stornierungen und Problemen eingestuft werden
Eine Reisebuchung in Höhe von 2.000 USD auf (je weniger, desto besser), zielen aber auf externe
einer bekannten Preisvergleichs-/Buchungswebsite Agenturen ab oder brüsten sich damit, dass Insider
würde im Darknet somit etwa 700 USD kosten, wie in Buchungen einschleusen.
Abbildung 7 gezeigt.
Die Kriminellen, die diese Reiseagenturen leiten,
sehen sich aber selbst als Teil der Servicebranche
an. In ihren Anzeigen werden insbesondere
guter Kundensupport und ein problemloser
Buchungsvorgang hervorgehoben.
„Wir haben über Jahre hinweg mehr als
8.500 Transaktionen durchgeführt und dabei
durchweg positives Feedback zu den von uns
bereitgestellten Services erhalten. Zwar stellen wir
mehr als der durchschnittliche ‚Reiseanbieter’ in
Rechnung, dafür können Sie sich aber auf unseren
guten Namen und unsere Erfahrung verlassen. Bei
einer Buchung mit uns gibt es für Ihre Reise keine
Stornierungen, Sicherheitsbelange oder anderen Abb. 7: Eine maßgeschneiderte Buchung für einen unbekannten Käufer
Probleme“ [sic], erklärt ein Reiseanbieter im Darknet. im Darknet
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 12WAF
Credential Stuffing ist nicht die einzige Methode, mit Der Zugriff.
der Kriminelle den Einzelhandel, die Reisebranche
und das Gastgewerbe angreifen. Sie nehmen Kriminelle greifen Datenbanken an, um auf
Organisationen in diesen Branchen an der Quelle persönliche Informationen, Finanzdaten, Passwort-
ins Visier, indem sie SQLi- (SQL Injection) und LFI- Hashes und andere gespeicherte Daten zuzugreifen.
Angriffe (Local File Inclusion) verwenden. Zwischen Dabei können SQLi-Attacken zu vollständigen
Juli 2018 und Juni 2020 beobachtete Akamai Kontoübernahmen führen, aber bei den meisten
4.375.711.860 Webangriffe im Einzelhandel, in der Angriffen geht es um Daten-Dumping zwecks
Reisebranche und im Gastgewerbe. Diese Angriffe schneller Abwicklung.
machen 41 % des gesamten Angriffsvolumens in allen
Die Ziele der von uns aufgezeichneten Webangriffe
Branchen aus. Innerhalb dieses Datensatzes zielten
sind die üblichen Standorte, wobei die USA den
83 % der Webangriffe auf den Einzelhandel ab.
ersten Platz einnehmen, gefolgt vom Vereinigten
In Abbildung 8 sehen Sie eine Aufschlüsselung der Königreich, Deutschland, China und Italien
Webangriffe in der Kategorie „Handel“. Während des (Abbildung 9). Es handelt sich um „die üblichen
Aufzeichnungszeitraums gab es mehr als 3,4 Milliarden Standorte“, da dort mehrere beliebte Einzelhändler
SQLi-Angriffe und mehr als 610 Millionen LFI-Angriffe. und Gastgewerbeunternehmen angesiedelt sind und
Die Unterschiede zwischen den Angriffen sind klar die Rangfolge somit nicht überrascht.
erkennbar und SQLi ist eindeutig die bevorzugte
Methode für Kriminelle, aber was ist der Grund dafür?
Top-Vektoren für Webangriffe – Handel
Juli 2018 bis Juni 2020
78,971 %
3 Mrd.
Angriffe (Milliarden)
2 Mrd.
1 Mrd.
13,956 %
2,344 % 1,805 % 1,181 % 1,742 %
0 Mrd.
SQLi LFI Upload schädlicher XSS RFI Sonstiges
Datei
Angriffsvektor
Abb. 8: SQLi-Attacken sind bei Kriminellen eindeutig bevorzugt und machen 78 % der Angriffe auf Einzelhandel, Reisebranche
und Gastgewerbe aus.
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 13Top-Ziele für Angriffe auf Webanwendungen – Handel
Juli 2018 bis Juni 2020
ZIEL ANGRIFFE INSGESAMT GLOBALER RANG
USA 3.254.388.815 1
Vereinigtes Königreich 213.941.278 2
Deutschland 101.055.323 4
China 89.718.070 9
Italien 89.008.029 12
Indien 79.656.341 3
Japan 78.784.298 6
Brasilien 72.290.365 13
Spanien 58.100.405 8
Frankreich 54.359.137 5
Abb. 9: Die USA sind nach wie vor das Hauptziel von Webangriffen in der Kategorie „Handel“.
In Abbildung 10 ist die Liste für Quellen von Webangriffen etwas verändert, wobei Russland den ersten Platz
einnimmt, gefolgt von den USA, der Ukraine, China und den Niederlanden als Top 5. Diese Standorte stellen den
letzten Hop in der Angriffskette dar, sind aber kein Hinweis auf die Ursprungsquelle, da Kriminelle Proxyserver und
VPNs zur Weiterleitung von Angriffen einsetzen.
Top-Quellen für Angriffe auf Webanwendungen – Handel
Juli 2018 bis Juni 2020
QUELLE ANGRIFFE INSGESAMT GLOBALER RANG
Russland 991.460.523 2
USA 824.268.280 1
Ukraine 226.722.689 5
China 203.910.633 4
Niederlande 192.644.127 3
Brasilien 158.750.288 9
Indien 120.168.099 6
Thailand 117.005.532 12
Deutschland 85.055.475 8
Frankreich 77.354.726 14
Abb. 10: Russland ist die wichtigste Quelle für Angriffe auf Webanwendungen, gefolgt von den USA.
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 14WAF-Fallstudie
SQLi-Angriffe zielen auf Datenbanken und die darin enthaltenen Daten ab. Abbildung 11 zeigt eine
neuere Anzeige auf einem Darknet-Marktplatz für eine kompromittierte Datenbank einer Reise- und
Hotelbuchungswebsite. Die Datenbank mit rund 17 Millionen Datensätzen enthält Gerätedaten, E‑Mail-Adressen,
Passwörter, Nutzernamen und andere persönliche Informationen.
Abb. 11: Kriminelle kompromittieren Datenbanken über SQLi, um die darin enthaltenen Daten auszunutzen
und die Datenbank selbst zu verkaufen.
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 15DDoS
DDoS-Angriffe (Distributed Denial of Service) sind Wie in Abbildung 12 dargestellt, erfolgten in
von Einzelhändlern gefürchtet, denn wenn ihr Online- der Kategorie „Handel“ zwischen Juli 2019 und
Handelsportal unter der Last von Unmengen von Juni 2020 125 DDoS-Angriffe. 90 % davon betrafen
Paketen und schädlichem Traffic zusammenbricht, Unternehmen, die im Einzelhandel tätig sind, der Rest
kann dies Tausende von Dollar pro Sekunde kosten. davon die Reisebranche und das Gastgewerbe.
Wöchentliche DDoS-Angriffe
Juli 2019 bis Juni 2020
150
100
DDoS-Angriffe
50
0
1. Juli 1. August 1. September 1. Oktober 1. November 1. Dezember 1. Januar 1. Februar 1. März 1. April 1. Mai 1. Juni
2019 2019 2019 2019 2019 2019 2020 2020 2020 2020 2020 2020
Alle Branchen Handel
Abb. 12: Der Großteil der beobachteten DDoS-Angriffe im Bereich „Handel“ zielte auf den Einzelhandelssektor ab, der bei
Nichtverteidigung enorme finanzielle Verluste erleidet.
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 16Fazit
Der Einzelhandel, die Reisebranche und das besseren Identitätskontrollen und Gegenmaßnahmen,
Gastgewerbe sind immer wieder das Ziel von um Angriffe auf APIs und Serverressourcen zu
Kriminellen, da sie Zugang zu Assets haben, die leicht verhindern.
in Güter umgewandelt werden können. Dabei kann
es sich um personenbezogene Daten, finanzielle Der ständige Kampf zwischen Kriminellen und den
Informationen, markenbasierte Treueprogramme oder Verteidigungsstrategien in Einzelhandel, Reisebranche
um alle diese Daten zusammen handeln. und Gastgewerbe wird nicht einfach verschwinden. Es
obliegt den Unternehmen selbst und ihren internen
Sicherheitsanbieter haben im Lauf der Jahre immer Teams, sich abzustimmen und daran zu arbeiten,
bessere Verteidigungsstrategien und -produkte immer einen Schritt voraus zu sein.
entwickelt, um Angriffe abzuwehren. Aber Kriminelle
sind genauso innovativ und kreativ und die Angriffe Sicherheit kann nicht als einmalige Anschaffung
lassen nicht ab. oder Steuerungsmaßnahme angesehen werden.
Es handelt sich dabei vielmehr um einen sich
Daher ist es unerlässlich, Kunden durch starke ständig weiterentwickelnden Prozess, um den
Passwörter und Multi-Faktor-Authentifizierung zu Geschäftsbetrieb aufrechtzuerhalten oder bei einem
schützen. Einige der beliebtesten Treueprogramme Vorfall so schnell wie möglich wiederherzustellen.
erfordern lediglich eine Handynummer und ein Somit wird der Bereich Sicherheit selbst zu einer
numerisches Passwort, andere verlassen sich bei Servicebranche unter der breiter gefassten
der Authentifizierung auf Informationen, die leicht Überkategorie IT.
zugänglich sind. Es besteht ein dringender Bedarf an
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 17Methodik
Allgemeine Hinweise
Die Daten in allen Abschnitten beziehen sich auf nutzt sein riesiges Netzwerk und seine detaillierten
denselben Zeitraum von 24 Monaten, vom 1. Juli 2018 Einblicke, um Standortdaten zu überprüfen und zu
bis zum 30. Juni 2020, sofern nicht anderweitig unten verwalten, die auf Länderebene zu 99 Prozent genau
angegeben. sind.
Verwechseln Sie die Quelle des Traffics nicht mit
„Quellen“ und „Ziele“ von dem tatsächlichen Aufenthaltsort des Angreifers.
Denn hierfür müsste der Standort der Person oder
Angriffen der Organisation bestimmt werden, die den Angriff
steuert. Es ist relativ einfach zu erkennen, woher der
Bei Anfragen, die als Anwendungsangriff oder Traffic stammt. Ohne ein spezielles Forschungsteam
versuchter Missbrauch von Anmeldedaten ist es jedoch sehr schwierig zu ermitteln, wer den
gekennzeichnet sind, wird die Quelle anhand der Traffic eigentlich verursacht hat. Und selbst mit einem
Quell-IP-Adresse ermittelt, die mit einem der Edge- solchen Team ist es in großem Maßstab nahezu
Server von Akamai sowie mit unserem internen unmöglich.
Standortdienst EdgeScape verbunden ist. Akamai
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 18Angesichts unserer Definition von Quelle könnte man
fälschlicherweise annehmen, das Ziel würde durch
DDoS
die IP-Adresse bestimmt, die die böswillige Anfrage Prolexic Routed schützt Unternehmen vor DDoS-
erhalten hat. Wenn dies der Fall wäre, würde die Liste Angriffen, indem der Netzwerktraffic über
der Top-Ziele sehr ähnlich aussehen, da in den meisten Scrubbing-Zentren von Akamai umgeleitet und nur
Ländern Edge-Server von Akamai eingesetzt werden. unbedenklicher Datentraffic weitergeleitet wird.
Stattdessen werden Ziele von Angriffen als der Experten im Security Operations Center (SOC)
primäre Standort des angegriffenen Kunden definiert. von Akamai legen aktive Abwehrmechanismen
Viele Unternehmen verfügen über eine weit verteilte so an, dass Angriffe sofort erkannt und gestoppt
Netzwerk- und Serviceumgebung. Deshalb wäre die werden. Außerdem führen sie eine Live-Analyse
Erfassung von Daten basierend auf dem Ort, von dem des verbleibenden Datentraffics durch, um bei
aus die Daten bereitgestellt werden, aus mehreren Bedarf weitere Abwehrmaßnahmen einzusetzen.
Gründen problematisch. DDoS-Angriffe werden je nach gewähltem
Bereitstellungsmodell – Always-On oder On-Demand –
Die globale Rangfolge für die Quellen und Ziele dieser entweder vom SOC oder vom Unternehmen selbst
Angriffe wird unter Berücksichtigung aller Branchen erkannt. Das SOC zeichnet jedoch Daten für alle
berechnet und nicht durch Filterung nach einer abgewehrten Angriffe auf. Ähnlich wie beim Traffic von
bestimmten Branche wie „Handel“. Webanwendungen wird die Quelle anhand der Quelle
des IP-Traffics vor dem Akamai-Netzwerk bestimmt.
Angriffe auf Diese Daten decken einen Zeitraum von 12 Monaten
ab: vom 1. Juli 2019 bis zum 30. Juni 2020.
Webanwendungen
Diese Daten beschreiben Warnungen auf
Anwendungsebene, die von Kona Site Defender Missbrauch von
und Web Application Protector generiert werden.
Die Produkte lösen diese Warnungen aus, wenn
Anmeldedaten
sie innerhalb einer Anfrage an eine geschützte Versuche, Anmeldedaten zu missbrauchen, wurden
Website oder Anwendung eine schädliche Payload als fehlgeschlagene Anmeldeversuche für Konten
erkennen. Die Warnungen bedeuten nicht, dass die identifiziert, bei denen eine E‑Mail-Adresse als
Kompromittierung erfolgreich war. Obwohl diese Nutzername verwendet wird. Wir verwenden zwei
Produkte ein hohes Maß an Anpassung ermöglichen, Algorithmen, um zwischen Missbrauchsversuchen
haben wir die hier dargestellten Daten auf eine und echten Nutzern zu unterscheiden, die sich nur
Weise erfasst, bei der keine nutzerdefinierten vertippen. Der erste ist eine einfache volumetrische
Konfigurationen der geschützten Ressourcen Regel, die die Anzahl der fehlgeschlagenen
berücksichtigt werden. Anmeldeversuche für eine bestimmte Adresse zählt.
Dieser Vorgang unterscheidet sich insofern von dem,
Die Daten wurden aus Cloud Security Intelligence was ein einzelnes Unternehmen ermitteln könnte, als
(CSI) gewonnen, einem internen Tool zur Speicherung dass Akamai Daten über Hunderte von Unternehmen
und Analyse von Sicherheitsereignissen, die auf hinweg korreliert.
der Akamai Intelligent Edge Platform erkannt
wurden. Hierbei handelt es sich um ein Netzwerk Der zweite Algorithmus verwendet Daten aus
von ca. 300.000 Servern an 4.000 Standorten in unseren Bot-Erkennungsservices, um Missbrauch
1.400 Netzwerken und 135 Ländern. Diese Daten von Anmeldedaten durch bekannte Botnets und
werden in Petabyte pro Monat gemessen und von Tools zu identifizieren. Mit einem gut konfigurierten
unserem Sicherheitsteam verwendet, um Angriffe zu Botnet kann eine volumetrische Erkennung
untersuchen, schädliches Verhalten aufzudecken und vermieden werden, indem der Traffic auf viele Ziele
zusätzliche Informationen in die Lösungen von Akamai verteilt wird. Erreicht wird dies beispielsweise durch
einzuspeisen. Ausweichtechniken wie eine große Anzahl von
Systemen im Scan oder durch Verteilen des Traffics auf
einen bestimmten Zeitraum.
Diese Daten wurden auch aus dem CSI-Repository
entnommen.
„State of the Internet“-Sicherheitsbericht Treuepunkte zu verkaufen – Betrug im Einzelhandel und Gastgewerbe (Band 6, Ausgabe 3) 19Herausgeber- und
Mitarbeiterverzeichnis
Mitwirkende am „State of the Internet“-Sicherheitsbericht
Redaktionsteam
Martin McKeay Steve Ragan
Editorial Director Senior Technical Writer, Editor
Amanda Goedde Chelsea Tuttle
Senior Technical Writer, Managing Editor Data Scientist
Marketing
Georgina Morales Hampe Murali Venukumar
Project Management, Creative Program Management, Marketing
Weitere „State of the Internet“-Sicherheitsberichte
Lesen Sie vorherige Ausgaben und informieren Sie sich über bevorstehende Veröffentlichungen der
renommierten „State of the Internet“-Sicherheitsberichte von Akamai. akamai.com/soti
Weitere Informationen zur Bedrohungsforschung bei Akamai
Halten Sie sich unter diesem Link zu neuesten Threat-Intelligence-Analysen, Sicherheitsberichten und
Cybersicherheitsforschung auf dem Laufenden. akamai.com/threatresearch
Greifen Sie auf Daten aus diesem Bericht zu
Zeigen Sie qualitativ hochwertige Versionen der Diagramme und Grafiken an, auf die in diesem Bericht
verwiesen wird. Diese Bilder können kostenlos verwendet und referenziert werden, vorausgesetzt, Akamai
wird ordnungsgemäß als Quelle genannt und das Akamai-Logo wird beibehalten. akamai.com/sotidata
Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform umgibt
alles – vom Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und sicher agieren
können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud-
Architekturen zu optimieren. Akamai bietet Schutz vor Angriffen und Bedrohungen, beschleunigt Entscheidungen und
Anwendungen und liefert herausragende Online-Erlebnisse. Das Akamai-Portfolio für Website- und Anwendungsperformance,
Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden Kundenservice, Analysen
und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie
unter www.akamai.com, im Blog blogs.akamai.com oder auf Twitter unter @Akamai. Unsere globalen Standorte finden Sie unter
www.akamai.com/locations. Veröffentlicht: Oktober 2020
20Sie können auch lesen
