Laut dem Akamai „State of the Internet“-Report 2019 haben Hacker im vergangenen Jahr zwischen Mai und Dezember mehr als zehn Milliarden mal versucht, Anmeldedaten auf Einzelhandelswebsites zu missbrauchen. Damit ist der Einzelhandel die Branche innerhalb der untersuchten Wirtschaftszweige, die am häufigsten betroffen ist.
Akamai hat den Missbrauch von Anmeldedaten untersucht, der als „Credential Stuffing“ bezeichnet wird. Hacker verwenden hierbei systematisch Botnets und versuchen, gestohlene Anmeldedaten auf Webseiten auszuprobieren. Beispielsweise testen sie diese Logindaten auf Anmeldeseiten von Banken und Onlinehändlern und spekulieren darauf, dass der jeweilige Nutzer für mehrere Services dieselbe Kombination aus Usernamen und Passwort verwendet.
Das hohe Interesse am Einzelhandel liegt daran, dass hier schnell Gewinne erzielt werden können. Hacker kaufen über kompromittierte Konten Waren und verkaufen sie anschließend oftmals weiter. Gemäß dem Bericht sind die von Hackern eingesetzten heimtückischen AIO-Bots (AIO = all in one) multifunktionale Tools, die durch die Nutzung von Credential Stuffing und einer Reihe von Umgehungstechniken schnelle Käufe ermöglichen. Ein einzelner AIO-Bot kann mehr als 120 Einzelhändler gleichzeitig angreifen.
Unternehmen der Medien- und Unterhaltungsindustrie sind laut Bericht ebenfalls stark vom Missbrauch von Anmeldedaten betroffen. Sie sind begehrte Ziele, da sie viele personenbezogene Daten sammeln. Endnutzer geben beispielsweise Kreditkartendaten und demografische Informationen an, wenn sie sich für OTT-Onlinestreaming-Dienste (OTT = Over-the-Top) anmelden. Diese Daten haben auf dem Schwarzmarkt einen hohen Wert.
Akamai stellte zudem eine erhebliche Anzahl von Angriffen mit gestohlenen Anmeldedaten auf den Websites von Finanzdienstleistern, Hotel- und Reiseanbietern sowie Anbietern von Konsumgütern fest. Neben dem Bekleidungssegment beobachtete Akamai für den Einzelhandel Credential Stuffing-Versuche im Direkthandel, bei Kaufhäusern und bei Bürobedarf und Mode, darunter auch Schmuck und Uhren.
Zunehmender API-Traffic und potenziell unzureichendes IPv6-Reporting als Sicherheitsbedenken
Laut einer im Bericht beschriebenen Akamai Traffic-Überprüfung vom Oktober 2018 machen API-Aufrufe 83 Prozent des Webtraffics aus. Der Großteil des API-Traffics entfällt auf nutzerdefinierte Anwendungen, was auf digitale Transformationen und eine cloudbasierte Anwendungsbereitstellung zurückzuführen ist. Für Sicherheitsteams ist der zunehmende API-Traffic bei der Risikobetrachtung relevant, da einige Sicherheitstools mit API-Traffic nicht umgehen können.
Die im Bericht beschriebene DNS-Traffic-Analyse weist darauf hin, dass der IPv6-Traffic unterrepräsentiert ist, da viele Systeme, die IPv6 unterstützen, immer noch IPv4 bevorzugen. Dies könnte auf eine fehlerhafte Gerätekonfiguration oder eine unsachgemäße Überwachung und Schwachstellen im Netzwerk hinweisen, was wiederum ein Sicherheitsrisiko darstellt. Da IPv6 nach wie vor nur einen geringen Teil des Webtraffics ausmacht, gilt es bei vielen Sicherheitstools nicht als wichtiges Verkaufsargument.
Methodik
Der Akamai „State of the Internet“-Sicherheitsbericht: Angriffe im Einzelhandel und API-Traffic von 2019 kombiniert Angriffsdaten aus der globalen Infrastruktur von Akamai und spiegelt die Forschung verschiedenster Teams im gesamten Unternehmen wider. Darüber hinaus bietet der Bericht Analysen zur aktuellen Cloudsicherheit und Bedrohungslandschaft sowie Einblicke zu Angriffstrends basierend auf den Daten der Akamai Intelligent Platform.
Die am „State of the Internet“-Sicherheitsbericht beteiligten Personen sind Sicherheitsexperten aus den verschiedensten Abteilungen von Akamai. Hierzu zählen u. a. das Security Intelligence Response Team (SIRT), die Threat Research Unit sowie die Bereiche Information Security und Custom Analytics.