Vor einigen Jahren begannen Forschungsagenturen und Anbieter von Informationssicherheitsdiensten zu berichten Anzahl der DDoS-Angriffe. Doch bereits im 1. Quartal 2019 meldeten dieselben Forscher ihre Betäubung um 84 %. Und dann ging alles immer stärker. Selbst die Pandemie trug nicht zur Friedensatmosphäre bei – im Gegenteil, Cyberkriminelle und Spammer betrachteten dies als hervorragendes Signal für einen Angriff, und das DDoS-Volumen nahm zu .
Wir glauben, dass die Zeit einfacher, leicht erkennbarer DDoS-Angriffe (und einfacher Tools, die sie verhindern können) vorbei ist. Cyberkriminelle sind immer besser darin geworden, diese Angriffe zu verbergen und sie immer raffinierter durchzuführen. Die dunkle Industrie ist von Brute-Force-Angriffen zu Angriffen auf Anwendungsebene übergegangen. Sie erhält ernsthafte Anweisungen zur Zerstörung von Geschäftsprozessen, auch von Offline-Prozessen.
Einbruch in die Realität
Im Jahr 2017 kam es zu einer Reihe von DDoS-Angriffen auf schwedische Transportdienste, die zu längeren Folgen führten . Im Jahr 2019 der nationale Eisenbahnbetreiber Dänemarks Vertriebssysteme fielen aus. Infolgedessen funktionierten Fahrkartenautomaten und automatische Schranken an den Bahnhöfen nicht und mehr als 15 Passagiere konnten den Bahnhof nicht verlassen. Ebenfalls im Jahr 2019 verursachte ein schwerer Cyberangriff einen Stromausfall .
Die Folgen von DDoS-Angriffen erleben mittlerweile nicht nur Online-Nutzer, sondern auch Menschen, wie sie sagen, im wirklichen Leben. Während Angreifer in der Vergangenheit nur Online-Dienste ins Visier genommen haben, besteht ihr Ziel heute häufig darin, jegliche Geschäftsabläufe zu stören. Wir schätzen, dass heute mehr als 60 % der Angriffe einen solchen Zweck haben – Erpressung oder unlauteren Wettbewerb. Besonders gefährdet sind Transaktionen und Logistik.
Intelligenter und teurer
DDoS gilt weiterhin als eine der häufigsten und am schnellsten wachsenden Formen der Cyberkriminalität. Experten zufolge wird ihre Zahl ab 2020 nur noch zunehmen. Dies hat verschiedene Gründe – mit einer noch stärkeren Verlagerung des Online-Geschäfts aufgrund der Pandemie und mit der Entwicklung der Schattenindustrie der Cyberkriminalität und sogar mit .
DDoS-Angriffe wurden einst aufgrund ihrer einfachen Implementierung und geringen Kosten „populär“: Noch vor ein paar Jahren konnten sie für 50 US-Dollar pro Tag gestartet werden. Heutzutage haben sich sowohl Angriffsziele als auch -methoden verändert, wodurch ihre Komplexität und damit auch die Kosten zugenommen haben. Nein, in den Preislisten stehen immer noch Preise ab 5 US-Dollar pro Stunde (ja, Cyberkriminelle haben Preislisten und Tarifpläne), aber für eine Website mit Schutz verlangen sie bereits ab 400 US-Dollar pro Tag und die Kosten für „einzelne“ Bestellungen für große Unternehmen erreicht mehrere tausend Dollar.
Derzeit gibt es zwei Haupttypen von DDoS-Angriffen. Das erste Ziel besteht darin, eine Online-Ressource für einen bestimmten Zeitraum nicht verfügbar zu machen. Angreifer fordern sie während des Angriffs selbst auf. In diesem Fall interessiert sich der DDoS-Betreiber nicht für ein bestimmtes Ergebnis, und der Kunde zahlt tatsächlich im Voraus, um den Angriff zu starten. Solche Methoden sind recht günstig.
Die zweite Art sind Angriffe, die nur bezahlt werden, wenn ein bestimmtes Ergebnis erreicht wird. Mit ihnen ist es interessanter. Sie sind wesentlich schwieriger umzusetzen und daher deutlich teurer, da Angreifer die effektivsten Methoden wählen müssen, um ihre Ziele zu erreichen. Bei Variti spielen wir manchmal ganze Schachpartien mit Cyberkriminellen, bei denen sie sofort ihre Taktiken und Tools ändern und versuchen, gleichzeitig in mehrere Schwachstellen auf mehreren Ebenen einzudringen. Dabei handelt es sich eindeutig um Teamangriffe, bei denen die Hacker genau wissen, wie sie reagieren und den Aktionen der Verteidiger entgegenwirken müssen. Der Umgang mit ihnen ist für Unternehmen nicht nur schwierig, sondern auch sehr kostspielig. Beispielsweise unterhielt einer unserer Kunden, ein großer Online-Händler, fast drei Jahre lang ein 30-köpfiges Team, dessen Aufgabe es war, DDoS-Angriffe zu bekämpfen.
Laut Variti machen einfache DDoS-Angriffe, die nur aus Langeweile, Trolling oder Unzufriedenheit mit einem bestimmten Unternehmen ausgeführt werden, derzeit weniger als 10 % aller DDoS-Angriffe aus (ungeschützte Ressourcen können natürlich andere Statistiken haben, wir schauen uns unsere Kundendaten an). . Alles andere ist die Arbeit professioneller Teams. Allerdings sind drei Viertel aller „bösen“ Bots komplexe Bots, die mit den meisten modernen Marktlösungen nur schwer zu erkennen sind. Sie ahmen das Verhalten echter Benutzer oder Browser nach und führen Muster ein, die es schwierig machen, zwischen „guten“ und „schlechten“ Anfragen zu unterscheiden. Dadurch werden Angriffe weniger auffällig und damit effektiver.
Daten von GlobalDots
Neue DDoS-Ziele
Bericht Analysten von GlobalDots sagen, dass Bots mittlerweile 50 % des gesamten Webverkehrs erzeugen und 17,5 % davon bösartige Bots sind.
Bots wissen, wie sie das Leben von Unternehmen auf unterschiedliche Weise ruinieren können: Neben der Tatsache, dass sie Websites zum Absturz bringen, sind sie jetzt auch damit beschäftigt, die Werbekosten zu erhöhen, auf Anzeigen zu klicken, Preise zu analysieren, um sie einen Cent weniger zu machen, und Käufer weglocken und Inhalte für verschiedene schlechte Zwecke stehlen (z. B. haben wir kürzlich über Websites mit gestohlenen Inhalten, die Benutzer dazu zwingen, die Captchas anderer Personen zu lösen). Bots verzerren verschiedene Unternehmensstatistiken stark, sodass Entscheidungen auf der Grundlage falscher Daten getroffen werden. Ein DDoS-Angriff dient oft als Vorwand für noch schwerwiegendere Straftaten wie Hacking und Datendiebstahl. Und jetzt sehen wir, dass eine ganz neue Klasse von Cyber-Bedrohungen hinzugekommen ist – es handelt sich um eine Störung der Arbeit bestimmter Geschäftsprozesse des Unternehmens, oft offline (da in unserer Zeit nichts vollständig „offline“ sein kann). Besonders häufig erleben wir, dass Logistikprozesse und die Kommunikation mit Kunden zusammenbrechen.
"Nicht zugestellt"
Logistikgeschäftsprozesse sind für die meisten Unternehmen von zentraler Bedeutung und werden daher häufig angegriffen. Hier sind die möglichen Angriffsszenarien.
Нет в наличии
Wenn Sie im Online-Handel tätig sind, kennen Sie das Problem gefälschter Bestellungen wahrscheinlich bereits. Bei einem Angriff überlasten Bots die Logistikressourcen und machen Waren für andere Käufer nicht verfügbar. Zu diesem Zweck geben sie eine große Anzahl gefälschter Bestellungen auf, die der maximalen Anzahl an Produkten auf Lager entspricht. Diese Ware wird dann nicht bezahlt und nach einiger Zeit an den Standort zurückgegeben. Doch die Tat ist bereits geschehen: Sie wurden als „ausverkauft“ markiert und einige Käufer sind bereits zur Konkurrenz übergegangen. Diese Taktik ist in der Flugticketbranche bekannt, wo Bots manchmal sofort alle Tickets „ausverkaufen“, fast sobald sie verfügbar sind. Einer unserer Kunden, eine große Fluggesellschaft, wurde beispielsweise von einem solchen Angriff chinesischer Konkurrenten betroffen. In nur zwei Stunden bestellten ihre Bots 100 % der Tickets zu bestimmten Zielen.
Sneakers-Bots
Das nächste beliebte Szenario: Bots kaufen sofort eine ganze Produktlinie und ihre Besitzer verkaufen sie später zu einem überhöhten Preis (im Durchschnitt 200 % Aufschlag). Solche Bots werden Sneaker-Bots genannt, da dieses Problem in der Mode-Sneaker-Branche, insbesondere bei limitierten Kollektionen, bekannt ist. Bots kauften in fast wenigen Minuten neue Leitungen auf, die gerade erschienen waren, und blockierten gleichzeitig die Ressource, sodass echte Benutzer nicht dorthin gelangen konnten. Dies ist ein seltener Fall, wenn in modischen Hochglanzmagazinen über Bots geschrieben wurde. Obwohl Wiederverkäufer von Tickets für coole Events wie Fußballspiele im Allgemeinen das gleiche Szenario verwenden.
Andere Szenarien
Aber das ist nicht alles. Es gibt eine noch komplexere Variante von Angriffen auf die Logistik, die mit schweren Verlusten drohen. Dies ist möglich, wenn der Dienst über die Option „Zahlung bei Erhalt der Ware“ verfügt. Bots hinterlassen gefälschte Bestellungen für solche Waren und geben dabei gefälschte oder sogar echte Adressen ahnungsloser Personen an. Und den Unternehmen entstehen enorme Kosten für Lieferung, Lagerung und Informationsbeschaffung. Zu diesem Zeitpunkt stehen die Waren anderen Kunden nicht zur Verfügung und beanspruchen auch Platz im Lager.
Was sonst? Bots hinterlassen massiv vorgetäuschte schlechte Produktbewertungen, blockieren die „Zahlungsrückgabe“-Funktion, blockieren Transaktionen, stehlen Kundendaten, spammen echte Kunden – die Möglichkeiten sind vielfältig. Ein gutes Beispiel ist der jüngste Angriff auf DHL, Hermes, AldiTalk, Freenet und Snipes.com. Hacker , dass sie „DDoS-Schutzsysteme testen“, aber am Ende haben sie das Geschäftskundenportal des Unternehmens und alle APIs deaktiviert. Dadurch kam es zu erheblichen Unterbrechungen bei der Warenlieferung an die Kunden.
Ruf Morgen an
Im vergangenen Jahr meldete die Federal Trade Commission (FTC) eine Verdoppelung der Beschwerden von Unternehmen und Nutzern über Spam und betrügerische Telefon-Bot-Anrufe. Nach einigen Schätzungen belaufen sie sich auf alle Anrufe.
Wie bei DDoS reichen die Ziele von TDoS – massive Bot-Angriffe auf Telefone – von „Hoaxes“ bis hin zu skrupellosem Wettbewerb. Bots können Contact Center überlasten und verhindern, dass echte Kunden übersehen werden. Diese Methode ist nicht nur für Callcenter mit „Live“-Mitarbeitern effektiv, sondern auch dort, wo AVR-Systeme verwendet werden. Bots können auch andere Kommunikationskanäle mit Kunden (Chat, E-Mails) massiv angreifen, den Betrieb von CRM-Systemen stören und teilweise sogar das Personalmanagement negativ beeinflussen, weil die Betreiber mit der Krisenbewältigung überlastet sind. Die Angriffe können auch mit einem herkömmlichen DDoS-Angriff auf die Online-Ressourcen des Opfers synchronisiert werden.
Kürzlich störte ein ähnlicher Angriff die Arbeit des Rettungsdienstes In den USA konnten normale Menschen, die dringend Hilfe brauchten, einfach nicht durchkommen. Ungefähr zur gleichen Zeit erlitt der Dubliner Zoo das gleiche Schicksal, als mindestens 5000 Menschen Spam-SMS-Nachrichten erhielten, in denen sie aufgefordert wurden, dringend die Telefonnummer des Zoos anzurufen und nach einer fiktiven Person zu fragen.
Es wird kein WLAN geben
Cyberkriminelle können auch problemlos ein ganzes Unternehmensnetzwerk blockieren. IP-Blocking wird häufig zur Bekämpfung von DDoS-Angriffen eingesetzt. Dies ist jedoch nicht nur eine ineffektive, sondern auch eine sehr gefährliche Praxis. Die IP-Adresse ist leicht zu finden (z. B. durch Ressourcenüberwachung) und leicht zu ersetzen (oder zu fälschen). Bevor wir zu Variti kamen, hatten wir Kunden, bei denen das Blockieren einer bestimmten IP einfach das WLAN in ihren eigenen Büros ausschaltete. Es gab einen Fall, in dem einem Client die erforderliche IP „verrutscht“ wurde und er den Zugriff auf seine Ressource für Benutzer aus einer ganzen Region blockierte und dies lange Zeit nicht bemerkte, da die gesamte Ressource ansonsten einwandfrei funktionierte.
Was gibt's Neues?
Neue Bedrohungen erfordern neue Sicherheitslösungen. Diese neue Marktnische entsteht jedoch gerade erst. Es gibt viele Lösungen, um einfache Bot-Angriffe effektiv abzuwehren, doch bei komplexen ist es nicht so einfach. Viele Lösungen nutzen immer noch IP-Blockierungstechniken. Andere brauchen Zeit, um die ersten Daten zu sammeln, und diese 10–15 Minuten können zu einer Schwachstelle werden. Es gibt Lösungen, die auf maschinellem Lernen basieren und es Ihnen ermöglichen, einen Bot anhand seines Verhaltens zu identifizieren. Und gleichzeitig prahlen Teams von der „anderen“ Seite damit, dass sie bereits über Bots verfügen, die echte Muster nachahmen können, die von menschlichen nicht zu unterscheiden sind. Es ist noch nicht klar, wer gewinnen wird.
Was tun, wenn man es mit professionellen Bot-Teams und komplexen, mehrstufigen Angriffen auf mehreren Ebenen gleichzeitig zu tun hat?
Unsere Erfahrung zeigt, dass Sie sich auf das Filtern unzulässiger Anfragen konzentrieren müssen, ohne IP-Adressen zu blockieren. Komplexe DDoS-Angriffe erfordern eine Filterung auf mehreren Ebenen gleichzeitig, einschließlich der Transportebene, der Anwendungsebene und den API-Schnittstellen. Dadurch ist es möglich, auch niederfrequente Angriffe abzuwehren, die normalerweise unsichtbar sind und daher oft übersehen werden. Schließlich müssen alle echten Benutzer durchgelassen werden, auch während der Angriff aktiv ist.
Zweitens benötigen Unternehmen die Möglichkeit, eigene mehrstufige Schutzsysteme zu erstellen, die neben Tools zur Verhinderung von DDoS-Angriffen auch über integrierte Systeme gegen Betrug, Datendiebstahl, Inhaltsschutz usw. verfügen.
Drittens müssen sie von der ersten Anfrage an in Echtzeit funktionieren – die Fähigkeit, sofort auf Sicherheitsvorfälle zu reagieren, erhöht die Chancen, einen Angriff zu verhindern oder seine Zerstörungskraft zu verringern, erheblich.
Nahe Zukunft: Reputationsmanagement und Big-Data-Sammlung mithilfe von Bots
Die Geschichte von DDoS hat sich von einfach zu komplex entwickelt. Das Ziel der Angreifer bestand zunächst darin, die Funktion der Website zu unterbinden. Sie finden es jetzt effizienter, sich auf Kerngeschäftsprozesse zu konzentrieren.
Die Komplexität der Angriffe wird weiter zunehmen, das ist unvermeidlich. Und was schlechte Bots jetzt tun – Datendiebstahl und -verfälschung, Erpressung, Spam –, sammeln Bots Daten aus einer Vielzahl von Quellen (Big Data) und erstellen „robuste“ gefälschte Konten für Einflussmanagement, Reputation oder Massen-Phishing.
Derzeit können es sich nur große Unternehmen leisten, in DDoS- und Bot-Schutz zu investieren, aber selbst sie können den von Bots generierten Datenverkehr nicht immer vollständig überwachen und filtern. Das einzig Positive an der Tatsache, dass Bot-Angriffe immer komplexer werden, besteht darin, dass sie den Markt dazu anregen, intelligentere und fortschrittlichere Sicherheitslösungen zu entwickeln.
Was denken Sie – wie wird sich die Bot-Schutz-Branche entwickeln und welche Lösungen werden derzeit auf dem Markt benötigt?
Source: habr.com