Treueprogramme stehen bei Cyberkriminellen hoch im Kurs: Kunden-Identitäten können darüber leicht gestohlen und gehandelt werden. Besonders betroffen sind der Einzelhandel, das Hotel- und Gaststättengewerbe und die Reisebranche. Sie wurden in den vergangenen zwei Jahren mit über 63 Milliarden Credential-Stuffing-Attacken und vier Milliarden Angriffen auf Webanwendungen konfrontiert. [...]
Akamai hat seinen Sicherheitsbericht „2020 State of the Internet / Security Report: Loyalty for Sale – Betrug im Einzelhandel und Gastgewerbe“ veröffentlicht. Der Bericht enthält Einzelheiten zu kriminellen Aktivitäten im Einzelhandel, Reise- und Gastgewerbe mit Angriffen verschiedener Art und Größe zwischen Juli 2018 und Juni 2020. Zahlreiche Kampagnen aus dem Darknet veranschaulichen, wie Cyberkriminelle von den Ergebnissen erfolgreicher Angriffe und dem daraus resultierenden Datendiebstahl profitieren.
„Kriminelle sind nicht wählerisch – alles, was zugänglich ist, kann auch in irgendeiner Weise genutzt werden“, erläutert Steve Ragan, Akamai Security Researcher und Autor des Sicherheitsberichts. „Daher ist der unautorisierte Zugriff auf Nutzerkonten über gestohlene Logins – das sogenannte Credential Stuffing – auf Einzelhandelsseiten seit einigen Jahren besonders beliebt. Nutzer- und Bonusprogrammprofile enthalten viele verschiedene persönliche Informationen und manchmal sogar Finanzdaten. All diese Daten können gesammelt, verkauft und gehandelt oder sogar zu umfangreichen Profilen zusammengestellt werden, um damit Straftaten wie Identitätsdiebstahl zu begehen.“
Gerade während der Hochphase der Covid-19-Pandemie im ersten Quartal 2020 haben Kriminelle den Anstieg des Datenverkehrs für ihre Zwecke genutzt: Sie verbreiteten Listen mit User-Passwort-Kombinationen, wobei sie jede der im Bericht genannten Branchen ins Visier nahmen. Alte User-Login-Listen wurden erneut verbreitet, um neue gefährdete Konten zu identifizieren. Daraus resultierte ein immenser Anstieg von Straftaten im Zusammenhang mit Bonusprogrammen. Betroffene sind Kunden, die identische Username-Passwort-Kombinationen für unterschiedliche Benutzerkonten verwenden.
Credential Stuffing auf dem Vormarsch
Akamai stellte über 100 Milliarden Credential-Stuffing-Angriffe, das heißt unautorisierte, Bot-gesteuerte Zugriffe auf Nutzerkonten über gestohlene Logins, zwischen Juli 2018 und Juni 2020 fest: Allein im Handelssektor, der neben dem Einzelhandel das Reise- und Gaststättengewerbe umfasst, wurden rund 63,8 Milliarden Angriffe registriert. Mehr als 90 Prozent der Angriffe zielten auf Einzelhändler ab.
Credential Stuffing ist nicht die einzige Methode, mit der Cyberkriminelle diese Branche attackieren: Unternehmen sind auch Ziel von Angriffen auf Webanwendungen wie SQL-Injection (SQLi) und Local-File-Inclusion (LFI). Im gleichen Zeitraum stellte Akamai rund 4,4 Milliarden Web-Angriffe auf den Handelssektor fest: Das sind 41 Prozent des gesamten Angriffsvolumens in allen Branchen. Davon zielten 83 Prozent allein auf den Einzelhandel ab. SQLi-Angriffe kommen am häufigsten vor und machen knapp 79 Prozent der gesamten Web-Anwendungsangriffe auf den Handelssektor aus.
Treueprogramme spielen den Kriminellen in die Karten
Aktuell laufen weltweit die Vorbereitungen für das Weihnachtsgeschäft, das in diesem Jahr durch die Pandemie in einem radikal veränderten Umfeld stattfinden wird: Kunden werden – anstatt in den Fußgängerzonen nach neuesten Angebote zu suchen – noch mehr als bisher online einkaufen, Bonuspunkte sammeln und Treueprogramme nutzen, um Rabatte und Vergünstigungen zu erhalten.
Alles, was zu einem erfolgreichen Treueprogramm beiträgt, nutzt auch Kriminellen: Sie verwenden Kunden-Identitäten für Kontoübernahmen bis hin zu direktem Identitätsdiebstahl. Auch wenn die Loyalität eines Kunden gegenüber einem bestimmten Händler, einer Fluggesellschaft oder einem Hotel buchstäblich nicht käuflich ist, so gilt das nicht für das Mitgliedskonto.
Unternehmen müssen vorsorgen
„Alle Unternehmen müssen sich auf externe Gegebenheiten einstellen, egal ob es sich um eine Pandemie, Wettbewerber oder Cyberangriffe handelt“, schließt Ragan aus dem Sicherheitsbericht. „Selbst einige der Top-Treueprogramme verlangen nicht mehr als eine Handynummer und ein numerisches Passwort, andere verlassen sich auf leicht zugängliche Informationen zur Authentifizierung. Es besteht daher ein dringender Bedarf an besseren Identitätskontrollen und Gegenmaßnahmen, um Angriffe auf APIs und Server zu verhindern.“
Be the first to comment