Aufstieg der Bots (Dan Woods Q&A Teil 2)
Von der Verbreitung von Lügen und Manipulation von Social-Media-Nutzern bis hin zur Störung globaler Unternehmen sind Bots ein zunehmend heißes Thema.
Im zweiten Teil unserer Frage-und-Antwort-Runde mit Dan Woods, Global Head of Intelligence bei F5, untersuchen wir, was Bots tun, welche Risiken zu beachten sind und wie sich Unternehmen an neue Bedrohungen anpassen können. ( Link zum ersten Teil )
Was sind Bots und warum sind sie potenziell gefährlich?
Bots sind Codeschnipsel, die Aufgaben automatisieren. Ein Beispiel hierfür ist die Überprüfung des Guthabens von Geschenkkarten.
Warum sollte jemand so etwas tun? Um den auf einer Geschenkkarte gespeicherten Betrag zu stehlen, benötigt ein Krimineller lediglich die 16-stellige Kartennummer und die PIN. Sie könnten eine modifizierte Version des oben genannten Bots verwenden, um den Kontostand von Millionen, sogar Milliarden von Kartennummer-PIN-Paaren zu überprüfen. Wenn sie ein Kartennummer-PIN-Paar mit einem Guthaben finden, können sie dieses an Dritte verkaufen. Der wahre Besitzer der Geschenkkarte bemerkt den Diebstahl des Guthabens erst, wenn er versucht, es zu verwenden.
Bots werden auch zum Scrapen der Websites von Versicherungsunternehmen eingesetzt. Wenn Sie ein Angebot für eine Lebensversicherung wünschen, müssen Sie einen Prozess durchlaufen, bei dem Sie nach Ihrem Alter, Ihrem Wohnort, Ihrer Berufstätigkeit usw. gefragt werden. Wettbewerber und Dritte können mithilfe eines Bots durch denselben Arbeitsablauf navigieren und jedes Mal unterschiedliche Antworten liefern. Dadurch können sie den Preisalgorithmus der Versicherungsgesellschaft zurückentwickeln.
Eines der größten Probleme besteht darin, dass bösartige Bots eingesetzt werden, um erbeutete Benutzernamen und Passwörter – aus dem Darknet oder durch einen Angriff in einem Unternehmen – bei den Anmeldeanwendungen anderer Unternehmen auszuprobieren. Da Verbraucher häufig Benutzernamen und Passwörter wiederverwenden, werden bei diesen Angriffen typischerweise mehr als 0,1 bis 3 % der Konten betroffen sein. Wenn also ein böswilliger Akteur Hunderte Millionen Benutzernamen/Passwort-Paare ausprobiert, gefährdet er letztlich Dutzende Millionen Konten.
Weitere disruptive Beispiele sind etwa ein Bot, der innerhalb von 30 Sekunden nach Verkaufsstart viele zeitlich befristet angebotene Turnschuhe oder Konzertkarten aufkauft und sie dann auf dem Zweitmarkt zu überhöhten Preisen weiterverkauft. Oder wenn ein Unternehmen für die Eröffnung eines Online-Kontos einen Wertgegenstand wie eine kostenlose Tasse Kaffee anbietet, könnte ein Bot Tausende von Konten erstellen, um in den Genuss von Tausenden kostenlosen Tassen Kaffee zu kommen. Oder vielleicht benötigt eine kriminelle Organisation viele Online-Konten, um Geldwäsche zu betreiben.
Sind alle Bots schlecht?
Nicht alle Bots sind schlecht. Beispielsweise durchsucht und indiziert Googlebot Milliarden von Websites, um Suchvorgänge zu ermöglichen. Kayak und andere Online-Reisebüros vergleichen die Flug- und Hotelpreise vieler Reiseunternehmen, um ihren Kunden die besten Angebote zu unterbreiten.
Welche Auswirkungen haben Bots auf Social-Media-Unternehmen?
Vor einigen Jahren beauftragte ein Social-Media-Unternehmen F5, um die Bots besser zu verstehen, die seine Web- und Mobilanwendungen attackierten. Als wir unsere clientseitigen Signale einsetzten (die Signale, die uns bei der Identifizierung von Bots helfen), stellten wir fest, dass über 90 % aller ihrer Anmeldungen Bot-bezogen waren. Aufgrund der hohen Erfolgsquote beim Login und der Gespräche mit dem Kunden wurde bei diesen Konten von Sweetheart-Betrug ausgegangen. Leider sind einige Social-Media-Unternehmen nicht daran interessiert, die Wahrheit über ihren Bot-Verkehr zu erfahren, da sich die Wahrheit negativ auf ihre DAU und ihren Aktienkurs/ihre Bewertung auswirken würde.
Wie können Bots die öffentliche Meinung beeinflussen und Social-Media-Nutzer manipulieren?
Stellen Sie sich vor, welchen Einfluss ein böswilliger Akteur ausüben könnte, wenn er die Programmkontrolle über Millionen von Twitter-, TikTok-, Facebook- oder Instagram-Konten hätte? Zunächst einmal könnten sie eine erhebliche Menge an Nachrichten und Inhalten verbreiten, um die öffentliche Meinung zu beeinflussen.
Immer wenn ich in den letzten sechs bis sieben Jahren vor dem Übergang in die Inline-Phase einen Anreiz und ein Mittel sah, aber eine sinnvolle Gegenmaßnahme fehlte, beobachtete ich nach dem Übergang in die Inline-Phase die von mir erwartete Automatisierung. Für mich besteht kein Zweifel daran, dass politische und staatliche Akteure soziale Medienplattformen nutzen, um die öffentliche Meinung und sogar Wahlen zu beeinflussen.
Jeder ist beeinflussbar. Manche mehr als andere. Wenn ein Komiker einen Witz erzählt und Sie nicht lachen, alle anderen aber lachen, könnten Sie anfangen zu glauben, dass der Witz tatsächlich lustig war. Aus diesem Grund werden in Sitcoms Lachkonserven verwendet. Je beeinflussbarer jemand ist, desto wahrscheinlicher ist es, dass er seine Meinung aufgrund des Drucks von Gleichaltrigen ändert – selbst wenn es sich bei diesen Gleichaltrigen in Wirklichkeit um Bots handelt.
Warum unterschätzen die Unternehmen das Bot-Problem?
Viele Bots erhöhen die Verluste durch Betrug. Doch damit ist der Schaden noch nicht erschöpft: Je nach Menge der Bots können auch die Kosten für CDNs oder Betrugstools steigen, die auf der Anzahl der Transaktionen basieren. Darüber hinaus können sie die Latenz negativ beeinflussen und das Benutzererlebnis für legitime Kunden ruinieren. Die verzerrten Kennzahlen könnten sich auch negativ auf die Ausgaben und Entscheidungen des Unternehmens auswirken.
Die meisten Unternehmen wollen die Wahrheit wissen. Wer F5 einsetzt, erfährt die Wahrheit. Wer jedoch versucht, Bots als Heimwerkerprojekt zu erkennen, unterschätzt aus mehreren Gründen fast immer das Ausmaß des Problems.
Erstens verwenden Bots mittlerweile Hunderttausende oder sogar Millionen von IP-Adressen. Sicherheitsteams können normalerweise die paar Hundert oder Tausend IPs mit dem höchsten Störpegel identifizieren. Allerdings übersehen sie den Longtail an IPs, die vom Bot nur wenige Male verwendet werden. Zweitens treten Angriffe durch Bots oft schleichend im Laufe der Zeit auf, wodurch sie schwieriger zu erkennen sind und nicht mit organischem Wachstum verwechselt werden können. Nach der Zusammenarbeit mit F5 finden Organisationen die Ergebnisse oft schockierend und unglaublich, aber wenn sie die Daten sehen, sind sie schnell überzeugt.
Was sollten Organisationen tun, um das Bot-Problem auf ihren Websites zu reduzieren?
Zwei Dinge: Sie müssen clientseitige Signale erfassen (vom Benutzer, dem Benutzeragenten, dem Gerät und dem Netzwerk) und sie müssen über zwei Verteidigungsstufen verfügen.
Beispiele für clientseitige Signale sind etwa das Timing von Tastenanschlägen und Mausklicks/-bewegungen, Plug-Ins, Schriftarten, Bildschirmauslastung, Anzahl der Kerne, wie der Benutzeragent Gleitkommaberechnungen durchführt oder Emojis rendert und Dutzende mehr.
Sie benötigen keine Hunderte oder Tausende von Signalen. Sie benötigen lediglich einige Dutzend qualitativ hochwertige Signale, die nur sehr schwer zu fälschen sind. Diese Signale werden normalerweise mithilfe von JavaScript in Web- und Mobilbrowsern und mithilfe eines SDK erfasst, das zusammen mit der nativen App installiert wird. Wenn Angreifer im Web geschwächt werden, gehen sie dazu über, die mobile API anzugreifen. JavaScript und SDK müssen außerdem gut geschützt sein, um Reverse Engineering extrem schwierig zu machen.
Schauen wir uns nun die beiden Phasen der Verteidigung an.
Die erste Phase erfolgt nahezu in Echtzeit (unter 10 ms) und nutzt die Signale, die mit einer einzelnen Transaktion verbunden sind. Wenn Signale darauf hinweisen, dass es sich um einen unerwünschten Bot handelt, ergreifen Sie Gegenmaßnahmen. Wenn Signale darauf hinweisen, dass die Transaktion von einem Menschen stammt, leiten Sie sie zur normalen Verarbeitung an den Ursprung weiter. In dieser ersten Phase werden zwar fast alle Bots identifiziert, sie kann jedoch nicht mit den Umrüstungen Schritt halten (wenn ein Angreifer erkennt, dass sein Angriff abgeschwächt wird, und sich daher entscheidet, seinen Bot zu verbessern, um die Gegenmaßnahme zu überwinden).
Aufgrund von Umrüstungen benötigen Unternehmen eine zweite Verteidigungsstufe. Während die erste Phase nahezu in Echtzeit erfolgt, ist die zweite Phase retrospektiv. Hier verarbeiten KI/ML-Modelle aggregierte Transaktionen (alle Transaktionen, die in den letzten 30 Sekunden, Minuten, Stunden, Tagen, wenigen Tagen usw. eingegangen sind). Dennoch können sich Unternehmen bei der Umrüstung nicht ausschließlich auf KI/ML verlassen. Sie müssen Menschen haben, die die von den KI-/ML-Systemen ausgelösten Warnungen überprüfen, um Fehlalarme auszusortieren. Und stellen Sie sicher, dass die KI/ML-Modelle richtig lernen. Wenn Unternehmen in der zweiten Phase unerwünschten Bot-Verkehr feststellen, müssen sie außerdem in der Lage sein, ihre Abwehrmaßnahmen in Echtzeit zu aktualisieren, um neu entdeckten Bot-Verkehr einzudämmen, ohne den Verkehr legitimer Kunden zu beeinträchtigen.
F5 bietet beide Verteidigungsstufen, die KI/ML und die Menschen, als verwalteten Dienst an. Der Kampf gegen Bots sollte niemals ein Heimwerkerprojekt sein.
Wird die Bot-Bedrohung schlimmer?
Es lässt sich nicht quantifizieren, aber das Bot-Problem hat in den letzten sechs bis sieben Jahren sicherlich zugenommen. In dieser Zeit habe ich erlebt, wie bösartige und lästige Bots automatisierte Angriffe gegen Unternehmen in praktisch allen Branchen starteten. Gerade wenn ich denke, ich hätte alle Anwendungsfälle gesehen, taucht ein neuer auf. Sie dürfen den Ball niemals aus den Augen verlieren!