Einer der fünf weltweit führenden Kurierdienste („Anbieter“) mit einem Jahresumsatz von über 50 Milliarden US-Dollar wollte seine Kunden vor der Übernahme ihres Kontos schützen und die betrügerische Erstellung von Konten verhindern.
Der Anbieter wollte Kundenanmeldungen bei seinen Web- und Applications vor Credential Stuffing -Angriffen schützen. Beim Credential Stuffing handelt es sich um einen Angriff, bei dem Kriminelle massenhaft von Dritten gestohlene Anmeldeinformationen in Applications testen, um eine Kontoübernahme zu begehen. Angreifer verschaffen sich eine große Liste mit gestohlenen Anmeldeinformationen und stellen typischerweise fest, dass etwa 0,1–2 % der Liste auf einer Zielsite gültig sind, weil Benutzer Passwörter wiederverwenden.
Über einen Zeitraum von acht Monaten erlebte der Anbieter zusätzlich zu anhaltendem automatisiertem Datenverkehr drei separate Wellen mit großen Automatisierungsspitzen. In manchen Fällen betrug der Angriffsverkehr mehr als 100.000 POSTs an einem einzigen Tag, was einer Steigerung von 50 % gegenüber dem legitimen Verkehr entspricht. Der Anbieter veröffentlichte im Herbst 2017 außerdem ein umfangreiches natives mobiles API-Upgrade, das häufig das Ziel von Angreifern war.
Die Angriffe verursachten dem Anbieter hohe Kosten, da er seinen Kunden nicht nur die gestohlenen Gelder zurückerstatten, sondern auch etwaige Rückbuchungsgebühren für nicht autorisierte Transaktionen mit einer mit dem Konto verknüpften Kreditkarte zahlen musste. Schon die Credential Stuffing -Angriffe selbst waren für den Anbieter kostspielig. Kunden überschwemmten den Helpdesk mit Beschwerden über fehlende Pakete oder die Sperrung ihrer Konten (was aufgrund zu vieler fehlgeschlagener Anmeldeversuche eines Angreifers passierte).
Der Anbieter stand außerdem vor der Herausforderung zweier verschiedener Systeme, die auf der betrügerischen Erstellung von Konten basierten. Bei der ersten Masche erstellten die Kriminellen programmgesteuert gefälschte Konten mit Adressen in wohlhabenden Postleitzahlengebieten und beantworteten die wissensbasierten Authentifizierungsfragen korrekt mit öffentlich verfügbaren persönlichen Daten. Anschließend nutzten sie den kostenlosen Service des Anbieters, um Pakete zu verfolgen und Benachrichtigungen zu erhalten, wenn Pakete versendet wurden. Auf diese Weise konnten Diebe Pakete verfolgen und Sendungen abfangen, die häufig Waren enthielten, die sie weiterverkaufen konnten.
Bei der zweiten Masche erstellten die Angreifer gefälschte Konten und verknüpften diese mit gestohlenen Kreditkarten. Anschließend machten sie auf illegalen Marktplätzen Werbung für Dienste wie vergünstigten Versand und Paketweiterleitung und nutzten die gefälschten Konten, um Versandetiketten zu kaufen. Falls das Opfer des Kreditkartendiebstahls den Betrug entdeckt, muss der Kurier ihm die Versandkosten erstatten und möglicherweise auch Rückbuchungsgebühren an den Kreditkartenaussteller zahlen.
Um diese Herausforderungen zu bewältigen, versuchte der Anbieter zunächst eine eigene Lösung zu entwickeln. Zum Einsatz kam eine Kombination aus Web Application Firewall, Load Balancer und Analysetools, um das Problem durch die Korrelation von Helpdesk-Tickets mit Kundenbeschwerden und anschließende erzwungene Zurücksetzung des Passworts zu lösen. Dieser Do-it-yourself-Ansatz konnte die automatisierten Angriffe nicht abwehren und der Betrug ging weiter.
Da der Anbieter das Problem nicht allein lösen konnte, wandte er sich an F5 Distributed Cloud Bot Defense und beschloss, die Lösung in seinen Applications zur Anmeldung und Kontoerstellung sowohl im Web als auch auf Mobilgeräten bereitzustellen.
Eine typische Bereitstellung von Distributed Cloud Bot Defense besteht aus zwei Phasen: Beobachtungsmodus und Minderungsmodus. Im Beobachtungsmodus analysiert F5 alle eingehenden Anfragen an die Application , um ihre Abwehr anzupassen und automatisierten Datenverkehr zu kennzeichnen. Im Minderungsmodus ergreift F5 programmgesteuerte Maßnahmen basierend auf der Art der Automatisierung und den Anforderungen des Anbieters.
Sobald Distributed Cloud Bot Defense in den Beobachtungsmodus wechselte, konnte der Anbieter die gesamte Natur seines Anmeldeverkehrs sofort sehen und verstehen. Wie in Abbildung 1 dargestellt, unterschied der Dienst im Beobachtungsmodus bei der Application zwischen legitimem menschlichen Datenverkehr (grün) und unerwünschter Automatisierung (rot).
Distributed Cloud Bot Defense lieferte dem Anbieter außerdem erweiterte Bedrohungsinformationen, die Einblicke in die Quellen des automatisierten Datenverkehrs enthielten. So stellte der Dienst beispielsweise fest, dass die Hälfte der automatisierten Aktivitäten harmlos war, was dem Anbieter zuvor nicht bewusst war.
Darüber hinaus identifizierte Distributed Cloud Bot Defense im Beobachtungsmodus drei separate automatisierte Kampagnen, die im Diagramm mit 1, 2 und 3 gekennzeichnet sind. Auf diese Gruppen entfielen knapp die Hälfte aller automatisierten Transaktionen im gesamten Beobachtungszeitraum. Wenn eine Angriffsgruppe versucht, Distributed Cloud Bot Defense durch Umrüstungen zu umgehen, z. B. indem sie ihren Datenverkehr über neue Proxys umleitet oder einen anderen Browsertyp nachahmt, kann der Dienst die Angriffsgruppe dennoch anhand anderer Signale identifizieren.
Außerdem hat F5 jede Kampagne genau unter die Lupe genommen. Abbildung 2 ist eine fokussierte Ansicht der Kampagne Nr. 2, die dem Anbieter zur Verfügung gestellt wurde. Bei dieser Kampagne handelte es sich um einen stark verteilten Credential Stuffing -Angriff, der von über 25.000 IP-Adressen aus gestartet wurde. Die Angriffe machten während der dreitägigen Kampagne über 50 % des gesamten Datenverkehrs aus. Bemerkenswert an der Kampagne war auch, dass der Angreifer versuchte, einen Workflow zu manipulieren, der über den Anmeldevorgang hinausgeht.
Nach einer fast sechsmonatigen Beobachtungsphase hat der Anbieter Distributed Cloud Bot Defense in den Mitigationsmodus überführt. Der Dienst blockierte Credential Stuffing -Angriffe sofort und verhinderte so Tausende von Kontoübernahmen. Der Anbieter schätzte, dass er durch den Schutz seiner Applications zur Kundenanmeldung und Kontoerstellung durch F5 mindestens 3,5 Millionen US-Dollar pro Jahr an Betrugsverlusten einsparen konnte.
* F5 definiert eine Kampagne als eine Gruppe automatisierter Anfragen derselben Quelle, die durch Hunderte proprietärer Signale identifiziert werden.
Aufgrund des Erfolgs von Distributed Cloud Bot Defense beim Schutz der Verbraucheranmeldungen auf seiner Website und in seiner mobilen App erweitert der Anbieter den Einsatz, um neue Kontoregistrierungen für Geschäftskunden sowie andere Applications zu schützen, darunter Geschäftsanmeldungen sowie Versand-, Zahlungs- und Trackingdienste.
Der Anbieter arbeitet außerdem mit F5 zusammen, um legitime (harmlose) Automatisierung durch Geschäftskunden zu ermöglichen, die die Automatisierung der Verbraucher- Application nutzen, um ihre Produkte effizient zu versenden.