News | Trends Security | E-Commerce | Trends E-Commerce | Trends 2019 | IT-Security

E-Commerce: Bad-Bot-Angriffe auf dem Vormarsch

Der Bericht mit dem Titel »How Bots Affect E-Commerce« wurde vom Imperva Bot Management Threat Research Team (ehemals Distil Research Lab) entwickelt und stellt die erste branchenspezifische Studie über die Auswirkungen von Bad Bots auf die E-Commerce-Branche dar. Das Team analysierte im Juli 2019 16,4 Milliarden Anfragen aus 231 Domänen im Bereich E-Commerce. Das Ergebnis: Bot-Angriffe auf E-Commerce-Websites nehmen zu. Dabei sind fast vier Fünftel (79,2 Prozent) als moderat oder anspruchsvoll einzustufen. Im vorigen Jahr belief sich diese Zahl noch auf knapp drei Viertel (75,8 Prozent).

Wichtigste Ergebnisse

  • Bad Bots, Good Bots und Menschen: Der E-Commerce-Verkehr besteht aus 17,7 Prozent Bad Bots, 13,1 Prozent Good Bots und 69,2 Prozent menschlichem Traffic.
  • Ausgereiftes Niveau: Bad Bots auf E-Commerce-Seiten werden immer fortschrittlicher und schwieriger zu erkennen. Fast vier Fünftel (79,2 Prozent) werden als moderat oder anspruchsvoll eingestuft, gegenüber 75,8 Prozent im Jahr 2018. Infolgedessen ging die Zahl der als einfach eingestuften von 24,2 auf 20,8 Prozent zurück. Der Anstieg der Komplexität ist auf ein Wettrüsten zwischen Bot-Betreibern und Bot-Minderungstechnologien zurückzuführen.
  • Angriffsvielfalt: Die Fülle der Bot-Angriffe ist im E-Commerce vielfältiger als in den meisten anderen Branchen. Diese Angriffe umfassen unbefugtes Price- und Content Scraping, Bestandsverweigerung, Scalping durch Reseller, Übernahme von Kundenkonten, Kreditkartenbetrug und Geschenkgutscheinbetrug.
  • Herkunftsland: Die fünf Länder, aus denen die Bad Bots des E-Commerce stammen, sind die USA (63,6 Prozent), Deutschland (10,1 Prozent), Frankreich (6,2 Prozent), Kanada (5,5 Prozent) und China (4,9 Prozent). Jedes Land trägt im Vergleich zu anderen Branchen einen höheren Anteil am Bad Bot Traffic auf E-Commerce-Seiten bei.
  • Plattform-Imitation: Die fünf Plattformen, mit denen Bad Bots im E-Commerce ihre Identität am besten maskieren, sind Chrome (66 Prozent), Firefox (13,6 Prozent), Safari (6,8 Prozent), SEMRush (4,9 Prozent) und Android Webkit (2,2 Prozent). Das zeigt, dass die Mehrheit der E-Commerce-Bots versucht, sich durch die Darstellung der beliebtesten Plattformen deutlich zu verstecken.

»Unsere Studie zeigt, dass Bad Bots rund um die Uhr Schäden auf E-Commerce-Websites, APIs und mobilen Apps verursachen«, sagt Tiffany Olson Kleemann, VP of Bot Management bei Imperva und ehemaliger CEO von Distil. »Wir stimmen dem Ansatz des Grinch Bots Act zu, die Verwendung von Grinch-Bots und Sneaker-Bots zu verbieten, mit denen limitierte Auflagen und Bestände mit hoher Nachfrage blockiert werden. Doch wir wissen aus eigener Erfahrung, dass rechtliche Schritte allein nicht ausreichen. Online-Händler müssen auch eine gute Web-Sicherheitshygiene praktizieren und die ihnen zur Verfügung stehenden Technologien zum Schutz ihrer Websites und Kundendaten nutzen. Ein detailliertes Verständnis über Bot-Bedrohungen zu erlangen, ist ein entscheidender erster Schritt in die richtige Richtung.«

E-Commerce-Unternehmen leiden unter einer ständigen Flut von Bad Bots. Kriminelle sowie Konkurrenten, Wiederverkäufer und Investmentgesellschaften verwenden diese, um unbefugte Preisabweichungen, Bestandskontrolle, Bestandsverweigerung, Scalping durch Reseller, Kundenkontoübernahme, Geschenkkartenmissbrauch, Spam-Kommentare, Transaktionsbetrug und mehr durchzuführen. Diese Aktivitäten schaden nicht nur dem Kundenerlebnis und der Marke. Sie führen vor allem zu schlechter Website-Performance und sogar -Ausfallzeiten, was letztendlich zu Umsatzeinbußen in Spitzenverkehrszeiten wie Black Friday und Cyber Monday führt.

[1] Den gesamten Report können Sie sich hier herunterladen: https://www.imperva.com/resources/resource-library/reports/how-bots-affect-e-commerce/
Imperva wird am Dienstag, den 1. Oktober um 19 Uhr ein Webinar veranstalten, um die Ergebnisse des Berichts zu diskutieren. Registrieren können Sie sich hier: https://www.brighttalk.com/webcast/12349/370569?
Für weitere Informationen, besuchen Sie den Imperva-Blog: https://www.imperva.com/blog/e-commerce-are-you-ready-for-black-friday-because-bad-bots-are-targeting-your-website

 

Webtraffic: Bots produzieren mehr Traffic als Menschen

48,2 Prozent des Webtraffics gehen laut Bot Traffic Report von Incapsula, einem Anbieter für Website-Security, direkt auf menschliche Aktivitäten zurück. Weitere 22,9 Prozent werden durch harmlose Bots verursacht. Ein Beispiel hierfür sind automatische Computerprogramme, die für Suchmaschinen Inhalte von Web-Angeboten indexieren. Der Rest des nichtmenschlichen Traffics wird durch schädliche Bots wie Impersonator (führen etwa DDoS-Attacken aus oder verbreiten Propaganda), Content-Scraper (kopieren Inhalte von Seiten), Hacking-Tools oder Spam-Bots verursacht. Mathias Brandt

https://de.statista.com/infografik/164/traffic-auf-websites-nach-herkunft/

 

Wie viel Website-Traffic wird durch Bots erzeugt?

 

Wie werden bösartige Bots bei Cyberattacken eingesetzt? Welche Faktoren stehen hinter den Besuchen gutartiger Bots bei verschiedenen Websites und Diensten? Welches sind die aktivsten, bösartigsten und gutartigsten Bots?

Die Antworten auf diese Fragen finden sich im fünften Imperva Incapsula Bot Traffic Report [1]. Dieser ist eine fortlaufende, statistische Untersuchung des Bot-Aufkommens. Für diesen Bericht wurden über 16,7 Milliarden Besuche auf 100.000 zufällig ausgewählten Domänen im Incapsula-Netzwerk analysiert und dabei folgende Fragen gestellt:

 

 

Die meisten Website-Besucher sind Bots

 

grafik imperva

 

 

2015 ist ein Rückgang der Bot-Aktivität im Incapsula-Netzwerk dokumentiert worden. Zum ersten Mal seit Jahren fiel diese Aktivität unterhalb der 50-Prozent-Marke. 2016 wurde nun eine Umkehrung dieses Trends beobachtet. Der Bot-Traffic stieg wieder auf 51,8 Prozent und liegt damit leicht über dem Wert von 2012.

Wie in der oben stehenden Grafik zu sehen, ist diese Veränderung auf eine Zunahme der Aktivität gutartiger Bots zurückzuführen. 2016 sind 504 einzelne, gutartige Bots erfasst worden, von denen 278 so aktiv waren, dass sie mindestens 1.000 tägliche Besuche im Netzwerk des Unternehmens generiert haben. Davon haben 57,2 Prozent ihre Aktivität erhöht, während nur 29,4 Prozent eine im Jahresvergleich geringere Aktivität aufwiesen.

Dies hätte zu einem stärkeren Anstieg geführt, wenn sich die meisten Änderungen (66,7 Prozent) nicht im Bereich von -0,01 bis 0,01 Prozent abgespielt hätten. Das belegt die Vorhersehbarkeit des Bot-Traffic, vor allem mit Blick auf die unterschiedliche Natur der verglichenen Proben.

Dies spiegelte sich auch in den Zahlen zu den bösartigen Bots wider, deren Aktivität sich weiterhin um die 30-Prozent-Marke bewegte, wie auch in den vergangenen fünf Jahren.

Hier ist zu erwähnen, dass die relative Anzahl der Besuche bösartiger Bots (sowie der Bot-Besuche allgemein) bei weniger frequentierten Websites höher ist. So lag bei den am wenigsten frequentierten Websites − die pro Tag von maximal zehn menschlichen Besuchern aufgesucht wurden − der Anteil der bösartigen Bots bei 47,7 Prozent der Besuche, während sich der Bot-Traffic insgesamt auf 93,3 Prozent belief.

Diese überproportional hohen Zahlen sind das Ergebnis der willkürlichen Aktivität gutartiger und bösartiger Bots, wie in früheren Berichten beschrieben (https://ap-verlag.de/bot-traffic-report-2015-menschen-erobern-das-web-zurueck/16580/), auf die im letzten Abschnitt dieses Beitrags noch eingegangen wird. Einfach ausgedrückt, durchforsten gutartige Bots Websites, während bösartige Bots diese zu hacken versuchen, unabhängig von der Beliebtheit der Website bei menschlichen Besuchern. Sie besuchen sogar immer wieder Domänen, die gar keinen menschlichen Traffic aufweisen.

Impersonator: Ein bösartiger Bot, wie er im Buche steht

grafik imperva

 

In der Kategorie bösartige Bots sind die Impersonators das fünfte Jahr in Folge die aktivsten Angreifer. 2016 waren sie für 24,3 Prozent des gesamten Traffic im Incapsula-Netzwerk und für 84 Prozent aller Attacken bösartiger Bots gegen Incapsula-geschützte Domänen verantwortlich.

Diese unangefochtene Spitzenposition ist auf die folgenden beiden Faktoren zurückzuführen:

  • Imitieren ist einfach und lohnt sich

Impersonators sind Angreifer-Bots, die sich als legitime Besucher ausgeben, um Sicherheitslösungen zu umgehen. Natürlich sind solche Umgehungsfähigkeiten eine ideale Ergänzung zu allen anderen bösartigen Aktivitäten, weshalb Impersonators auch die »Waffe der Wahl« für die Mehrzahl der automatisierten Angriffe bilden. Dies gilt vor allem, weil ein rudimentäres Maß an Verschleierung relativ einfach zu erreichen ist.

So sind die primitiveren Impersonators einfach Bots, die sich hinter einem gefälschten »Benutzeragenten« verbergen – ein HTTP/S-Header, der die Identität des Besuchers der Anwendung mitteilt. Indem sie den Inhalt dieses Headers verändern, geben sich diese Angreifer entweder als gutartige Bots oder als Menschen aus, in der Hoffnung, dass dies genügt, um Zugang zu erlangen.

Versiertere Angreifer gehen noch einen Schritt weiter und verändern ihre HTTP/S-Signaturen so aufwändig, dass ein browserartiges Verhalten nachgeahmt wird – darunter auch die Fähigkeit, Cookies zu erfassen und JavaScript zu parsen. Häufig tun sie beides zugleich.

 

Typisches Beispiel: Die Ticket-Bots

Im vergangenen Dezember wurde durch das US-Gesetz »Better Online Ticket Sales (BOTS) Act 2016« die Verwendung von Bots zum Kauf beliebter Veranstaltungstickets unter Umgehung fairer Verkaufsregeln verboten.

Die Ticket-Bots, auf die dieses Gesetz abzielen, sind ein klassisches Beispiel für Impersonator-Bots: Nicht menschliche Programme, die legitime Besucher imitieren und menschliche Aufgaben automatisieren. Wie die unten erwähnten DDoS-Bots werden diese als bösartig eingestuft.

 

  • Impersonators eignen sich perfekt für DDoS-Attacken

Die Verschleierungsmethoden der Impersonators passen genau zu dem Ziel, das DDoS-Angreifer erreichen wollen: Einen Server mit einer hohen Anzahl scheinbar legitimer Anfragen zu überlasten. Der Server wird zum Beispiel aufgefordert, die Homepage 50.000 Mal pro Sekunde zu laden.

Darin liegt ein weiterer Grund für das enorme Aktivitätsvolumen der Impersonators. Während bei einer anderen Angriffsart ein einzelner Bot-Besuch (Sitzung) ausreichen würde, muss ein DDoS-Angreifer viele Tausend Bots versenden, um sein Ziel auszuschalten.

Die aktivsten, bösartigsten Bots sind alle Impersonators, die für DDoS-Attacken eingesetzt werden. Einer davon ist die Malware Nitol, der am häufigsten auftretende, bösartige Einzel-Bot, der für 0,12 Prozent des gesamten Website-Traffic verantwortlich ist. 2016 wurde der Großteil der Nitol-Angriffe durch Impersonator-Bots gestartet, die mit älteren Versionen des Internet Explorer browsen.

 

Mozilla/4.0 (kompatibel; MSIE 7.0; Windows NT 5.1; SV1)Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

Beispiel für durch Nitol DDoS-Bots verwendete IE-Benutzeragenten
Cyclone, der zweithäufigste bösartige Bot, wurde oft zur Imitation von Suchmaschinencrawlern verwendet, vor allem von gutartigen Google- und Baidu-Bots.

Mozilla/5.0 (kompatibel; Googlebot/2.1; +https://www.google.com/bot.html)Mozilla/5.0 (kompatibel; Baiduspider/2.0; +https://www.baidu.com/search/spider.html)

Beispiel für durch Cyclone DDoS-Bots verwendete Suchmaschinen-Benutzeragenten
Ein weiteres Beispiel ist die Malware Mirai, die vor kurzem eingesetzt wurde, um einen der bislang schwersten DDos-Angriffe zu starten. Zum Start von HTTP-Flood-Attacken eingesetzt, wendet auch Mirai Nachahmungstaktiken an, wie beispielsweise die Imitation von Chrome-Browsern.

Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, wie Gecko) Chrome/51.0.2704.103 Safari/537.36Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, wie Gecko) Version/9.1.2 Safari/601.7.7

Beispiel für durch Mirai DDoS-Bots verwendete Chrome-Benutzeragenten

 

Hierbei ist anzumerken, dass die von Impersonator-Bots verwendeten Identitäten stark variieren können. So haben zum Beispiel die für diesen Bericht erfassten Nitol-Impersonators mehr als 14.000 verschiedene Varianten von Benutzeragenten sowie 17 verschiedene Identitäten verwendet.

 

Feed-Fetcher: gutartige Bots für mobile Anwendungen

Gutartige Bots unterstützen die verschiedenen geschäftlichen und operativen Ziele ihrer Besitzer – von Einzelbenutzern bis hin zu internationalen Konzernen – auf vielfältige Weise.

Sie lassen sich jedoch grob in die folgenden vier Gruppen einteilen:

  • Feed-Fetcher – Bots, die Website-Inhalte zu Mobil- und Web-Anwendungen transportieren, die diese dann den Benutzern anzeigen.
  • Suchmaschinen-Bots – Bots, die Informationen für Suchmaschinenalgorithmen sammeln, die dann für das Ranking verwendet werden.
  • Kommerzielle Crawler – für autorisierte Datenextraktionen eingesetzte Spider, meist für digitales Marketing.
  • Überwachungs-Bots – Bots, die die Verfügbarkeit von Websites sowie das einwandfreie Funktionieren verschiedener Online-Optionen überwachen.

 

grafik imperva

Die 45 aktivsten gutartigen Bots machen 84,2 Prozent des gesamten Traffics gutartiger Bots aus.

 

 

Von den vier Gruppen sind dem durchschnittlichen Internetbenutzer die Suchmaschinen-Bots wohl am meisten bekannt. Sie sind jedoch nicht annähernd so aktiv wie Feed-Fetcher, auf die 12,2 Prozent des gesamten Traffic von 2016 entfielen.

Der aktivste Feed-Fetcher – und zugleich aktivste Bot überhaupt gehört zur Mobil-App von Facebook. Er sammelt Website-Informationen, damit diese im Browser der App dargestellt werden können. Insgesamt machte er 4,4 Prozent des gesamten Website-Traffic im Incapsula-Netzwerk aus. Dies spiegelt die Zunahme der mobilen Benutzergruppe von Facebook wider, die neuen Untersuchungen zufolge im Vergleich zum Vorjahr um 19 Prozent gewachsen ist und im 3. Quartal 2016 über 1,6 Milliarden aktive Benutzer pro Monat vorweisen konnte.

 

Mobile Facebook-Nutzer weltweit

 

Bots folgen den Menschen

Die höhere Aktivität mobiler Bots ist die Folge eines allgemeinen Trends: Die Menschen surfen immer häufiger mobil. So hat StatCounter zufolge das mobile Datenverkehrsaufkommen im November 2016 erstmals den Desktop-Datenverkehr überholt und erreichte im Folgemonat einen Anteil von 50,31 Prozent.

Auch das Datenaufkommen von Imperva spiegelt diese Verlagerung wider. 2016 wurde eine Zunahme um 10,6 Prozent beim Website-Traffic durch mobile Benutzer festgestellt. Die Anzahl der Besuche durch Desktop-Benutzer ging gleichzeitig um 16 Prozent zurück. Allerdings bleiben in der erfassten Mustergruppe die Desktop-Benutzer in der Mehrzahl und machten 55,39 Prozent aller menschlichen Besuche aus.

 

Android-Framework, der zweitaktivste Feed-Fetcher, ist ebenfalls mit der mobilen Nutzung verknüpft, als Agent von Prozessen für Dalvik und Android Runtime. Gleiches gilt für den Bot CFNetwork, der dritthäufigste Feed-Fetcher-Bot, der in mobilen Apps für das iPhone verwendet wird.

Insgesamt machen mit mobilen Apps und Diensten verknüpfte Bots mehr als 69 Prozent des gesamten Feed-Fetcher-Traffics aus, woran man die Auswirkungen der mobilen Revolution auf die Bot-Aufkommen ablesen kann.

94,2 Prozent aller Websites haben eine Bot-Attacke verzeichnet

Die alarmierendste Statistik in diesem Bericht ist zugleich auch ein konstanter Trend, der beobachtet wurde: In den letzten fünf Jahren war jeder dritte Website-Besucher ein bösartiger Bot.

Die Auswirkungen dieses Trends bekommen zahlreiche Betreiber digitaler Plattformen zu spüren, von denen der Großteil regelmäßig mit nicht menschlichen Angreifern konfrontiert ist. So haben von den 100.000 in dieser Studie untersuchten Domains 94,2 Prozent in dem Studienzeitraum von 90 Tagen mindestens einen Bot-Angriff verzeichnet.

Oft sind diese Angriffe das Werk von Cyberkriminellen, die mit breit angelegten automatisierten Angriffen Tausende von Domänen zeitgleich ins Visier nehmen.

Diese wahllosen Attacken sind zwar nicht annähernd so gefährlich wie zielgerichtete Angriffe, dennoch haben sie das Potenzial, zahlreiche nicht geschützte Websites zu schädigen. Ironischerweise sind es gerade die Besitzer dieser Websites, die oft die Gefahr von Bots ignorieren. Sie verzichten auf grundlegende Sicherheitsmaßnahmen, da sie fälschlicherweise meinen, zu klein zu sein, um die Aufmerksamkeit von Angreifern auf sich zu ziehen.

Diese Einstellung trägt zum Erfolg von Bot-Attacken bei und ermutigt damit Cyberkriminelle, immer größere und ausgefeiltere automatisierte Angriffe zu starten.

 

[1] Die hier präsentierten Angaben beruhen auf einer Probe von über 16,7 Milliarden Besuchen durch Bots und Menschen im Zeitraum vom 9. August 2016 bis zum 6. November 2016. Die Traffic-Daten stammen von 100.000 zufällig ausgewählten Domänen im Incapsula-Netzwerk.
Der Jahresvergleich wurde anhand von Daten durchgeführt, die für den vorangehenden Bot Traffic Report gesammelt wurden, also über 19 Milliarden Besuche durch Bots und Menschen in einem 90-Tage-Zeitraum vom 24. Juli 2015 bis zum 21. Oktober 2015. Die Probe wurde aus 35.000 Incapsula-geschützten Websites gesammelt, die pro Tag von mindestens zehn menschlichen Besuchern aufgesucht wurden.
Geografisch betrachtet, deckt der beobachtete Traffic alle 249 Länder der Welt, abhängige Gebiete und Gebiete von geopolitischem Interesse ab (anhand der Codes aus dem Standard ISO 3166-1).
Die Analyse wurde mithilfe der Incapsula Client Classification-Engine durchgeführt. Einer proprietären Technologie, die Quervergleiche zwischen Faktoren wie HTTP-Fingerabdruck, Ursprung von IP-Adressen sowie Verhaltensmuster erlaubt, um so eingehenden Web-Traffic identifizieren und klassifizieren zu können.

Mehr über Bots

 

 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

Zur Startseite →

← Zurück