Anzeige

Hacker Mobile

Der wachsende Online-Verkehr während der Pandemie bietet Betrügern mehr Möglichkeiten, in Anwendungen fürs Web und mobile Plattformen einzudringen.

Eine deutlich steigende Zahl von Betrugsfällen sowie Credential Stuffing-Angriffen, also Brute-Force-Attacken mit zuvor erbeuteten Login-Daten, sprechen eine deutliche Sprache. Während solcher Angriffe ist es nicht ungewöhnlich, dass insgesamt 80 bis 99 Prozent des erzeugten Datenverkehrs als schadhaft eingestuft werden. Das macht es schwierig, die tatsächliche Quelle des Angriffs zu lokalisieren und Gegenmaßnahmen zu ergreifen. „Großvolumige Attacken schaden nicht nur dem Ruf einer Marke und dem Umsatz“, erklärt Philippe Borloz, Vice President Sales EMEA bei Kudelski Security. „Sie belasten zudem die Backend-Systeme extrem und können zusätzliche Kosten im Rahmen eingesetzter Betrugspräventionstools erzeugen.“

Wie sich Angreifer verraten und worauf Anbieter achten sollten, beschreibt der Experte in sechs Punkten:

1. Abweichungen von gewöhnlichen Verkehrsmustern

Dies ist der erste Hinweis darauf, dass mit der Web- oder Mobilanwendung etwas nicht stimmt. Im Laufe der Zeit sollten Nutzer bestimmte Muster im Datenverkehr feststellen können – häufig folgt er beispielsweise einer tageszeitlichen Abhängigkeit. Wenn der Datenverkehr keinem tageszeitlichen Muster folgt – also tagsüber ansteigt und nachts abfällt – kann dies ein Anzeichen dafür sein, dass eine bösartige Aktivität stattfindet. Des Weiteren können auch Traffic-Spitzen die sich nicht mit Marketing-Aktivitäten wie E-Mail-Kampagnen oder Fernsehwerbung in Verbindung bringen lassen ein weiteres Zeichen dafür sein, dass die eigene Anwendung eine hohe Menge bösartiger Daten empfängt.

2. Künstliche oder fehlende Benutzerinteraktionen

Bei der Analyse von In-App-Interaktionen wie Tastenanschlägen und Mausklicks zeigt sich, dass Menschen dazu neigen, ungeschickt und ineffizient zu agieren. Dagegen ist automatisierte Interaktion fehlerlos und kann innerhalb von Millisekunden stattfinden. Lässt sich beispielsweise feststellen, dass ein Benutzer immer wieder auf denselben Punkt, also eine XY-Koordinate klickt, ist dies ein Hinweis auf ein automatisiertes Ereignis und damit für einen Angriff, denn für Menschen ist dies extrem schwer zu replizieren. Selbst wenn der Angreifer bzw. Bot jedes Mal auf eine andere XY-Koordinate klickt, verrät er sich durch eine Art formelhafte Beziehung zwischen den verschiedenen Koordinaten.

Im Falle eines Malware-Angriffs können aber auch fehlende Interaktionen ein Indikator sein. Wird beispielsweise ein Benutzer erkannt, der sich bei seinem Vielfliegerkonto anmeldet und Punkte für eine Geschenkkarte einlöst, ohne die Tastatur, die Maus oder den Touchscreen seines Smartphones zu berühren, deutet dies auf einen im Hintergrund laufenden Malware-Angriff hin.

3. Änderungen im Muster oder der Häufigkeit von Passworteingaben

Ein betrügerischer Anmeldeversuch wird mit großer Wahrscheinlichkeit ein ganz anderes Muster und eine andere Häufigkeit aufweisen als ein menschlicher. Wenn sie von einem echten Benutzer wiederholt werden, sollten die Kennworttastenereignisse in etwa dem gleichen Muster und Zeitrahmen folgen. Geben Menschen ein Kennwort wiederholt falsch ein, entwickeln sie bei erneuten Versuchen einen Rhythmus, den Betrüger nicht nachahmen können.


4. Hocheffiziente Benutzerinteraktionen

Eine weitere Möglichkeit, den Unterschied zwischen gutem und bösartigem Datenverkehr zu erkennen, ist die Effizienz der Interaktionen. Echte menschliche Interaktionen sind oft willkürlich. Manchmal klickt ein Benutzer auch dann, wenn es gar nichts zu klicken gibt. Er liest vielleicht am Bildschirm, bewegt die Maus und klickt nur, um sich die Zeit zu vertreiben. Bot-Interaktionen hingegen verlaufen oft in vollkommen geraden Linien. Selbst wenn der Bot Entropie hinzufügt, zeigt sich dies normalerweise in der Zeichnung weicher Bögen. Bei einem Anmeldeformular beispielsweise hat ein Bot keinen Anreiz, irgendwo anders als auf die Felder für den Benutzernamen und das Kennwort sowie auf die Schaltfläche „Senden“ zu klicken. Betrügerische manuelle Interaktionen liegen in puncto Effizienz genau in der Mitte. Sie werden effizienter sein als gutwillige menschliche Interaktionen, aber nicht so effizient wie Bot-Interaktionen. Ein hypothetisches Beispiel: Ein Benutzer loggt sich in seine Finanzanwendung ein, um einen Zahlungsempfänger hinzuzufügen und eine Geldsumme zu senden. Ein echter Benutzer müsste wahrscheinlich die Schaltfläche „Zahlungsempfänger hinzufügen“ suchen, weil er nicht jeden Tag einen Zahlungsempfänger hinzufügt, was den Workflow um ein oder zwei Sekunden verlängern würde. Es ist möglich, dass ein Betrüger hunderte Male pro Tag Zahlungsempfänger hinzufügt, so dass er in der Lage wäre, diesen Workflow extrem schnell zu durchlaufen.

5. Gefälschte User-Agent-Zeichenkette 

Neben der Erfassung verhaltensbiometrischer Daten ist es auch wichtig, die Umgebung zu betrachten, aus der der Datenverkehr stammt. So lässt sich mithilfe geeigneter Fraud Detection Tools wie Shape feststellen, ob der Traffic gefälscht ist oder nicht. Beispielsweise werden Emojis auf verschiedenen Plattformen und Anwendungen unterschiedlich dargestellt. Wenn also eine User-Agent-Zeichenkette in einer URL vorgibt, aus Chrome zu stammen, der Browser aber Emojis wie Firefox rendert, handelt es sich wahrscheinlich um einen betrügerischen Datenstrom. Ein echter Benutzer hätte keinen Anreiz, seine tatsächliche User-Agent-Zeichenkette abzuändern oder zu verschleiern.

Auf ähnliche Weise können sehr große hexadezimale Zahlen genutzt werden, denn auch diese werden auf jeder Plattform konvertiert. Shape nutzt hierzu einen JavaScript-Code, der den Browser auffordert, eine Hexadezimalzahl in eine Dezimalzahl umzuwandeln. Verschiedene Browser liefern hierfür unterschiedliche Ergebnisse aufgrund der Art und Weise, wie sie die Rundung vornehmen. Der Unterschied ist vernachlässigbar, aber ausreichend, um zu erkennen, von welchem Browser der Datenverkehr stammt. Auch hier gilt: Wenn die User-Agent-Zeichenkette sagt, dass der Traffic von Chrome kommt, aber die Hexadezimalzahl wie bei Firefox konvertiert wird, ist von Betrug auszugehen.

6. Gefälschte HTTP-Header-Daten

Oft versuchen Angreifer, den HTTP-Header einer Website oder Anwendung zu fälschen, was ihnen aber nur fast nie perfekt gelingt. Daher kann der Header eine Menge nützlicher Signale zu betrügerischem Datenverkehr liefern. Viele dieser Indikatoren können mit den integrierten Möglichkeiten zur Überwachung der Anwendungssicherheit nicht aufgedeckt werden. Auch hier bietet der Markt zahlreiche Lösungen, die helfen, die fortgeschrittene clientseitige Signale, verhaltensbiometrische Daten, Netzwerksignale, maschinelles Lernen und künstliche Intelligenz nutzen, um die Effizienz und die Effektivität zur Erkennung und Bekämpfung von Anwendungsbetrug zu verbessern.

www.kudelskisecurity.com/de


Artikel zu diesem Thema

Ransomware
Apr 12, 2021

Ransomware: Immer mehr Unternehmen zahlen Lösegeld

Wer das Lösegeld nach einer Ransomware-Attacke zahlt, erhöht die Attraktivität der…
Facebook
Apr 11, 2021

Datensicherheit bei Facebook: So können Sie das Risiko von Datendiebstahl verringern

Facebook-Mitglieder weltweit schreckten am Osterwochenende auf: Persönliche Daten von…
Machine Learning
Mär 25, 2021

Warum Datenkonsistenz so essenziell für Machine Learning ist

Im Kontext der Digitalisierung fällt immer wieder der Begriff Machine Learning. Aber wie…

Weitere Artikel

Gesundheitswesen IT

Neun Schwachstellen in Rohrpost-Software von Swisslog Healthcare

Sicherheitsforscher von Armis, dem Anbieter einer Unified Asset Visibility- und Sicherheitsplattform, geben die Entdeckung von neun kritischen Schwachstellen in der Nexus Control Panel-Software bekannt, die alle aktuellen Modelle der TransLogic Pneumatic…
Hacker

Hacker werden raffinierter und teilen sich Computer Vision-Tools

HP Inc. veröffentlicht mit dem neuen globalen „Threat Insights Report“ eine Analyse von realen Cybersecurity-Angriffen und Schwachstellen. Die Studie zeigt: Cybercrime-Aktivitäten nehmen rasant zu und werden immer raffinierter.
Phishing

Neuer Report zeigt Top Phishing-Maschen auf

Norton Labs, das globale Forschungs-Team von NortonLifeLock, veröffentlicht den zweiten Consumer Cyber Safety Pulse Report. Der quartalsweise erscheinende Report bietet wichtige Einblicke und Erkenntnisse in Cybersecurity-Vorfälle, die Verbraucher zum Ziel…
Hacker Russland

REvil-Ransomware – höfliche und russlandfreundliche Hacker

Vor allem jenseits des Atlantiks sorgte kürzlich ein Bericht der NBC für Furore: Dieser stellte fest, dass die REvil-Ransomware, die für die groß angelegte Kaseya-Supply-Chain-Attacke benutzt wurde, so programmiert ist, dass sie keine russischen Rechner…
Cyber Security

Phishing-Angriffe: 65 Prozent der Opfer machten Schulung

Cloudian veröffentlichte seinen 2021 Ransomware Victims Report. Die Umfrage ergab, dass 54 Prozent der Opfer zum Zeitpunkt des Angriffs bereits an einer Anti-Phishing-Schulung teilgenommen und 49 Prozent einen Perimeter-Schutz installiert hatten.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.