Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Wir präsentieren: Cloudflare Fraud Detection

15.03.2023

8 min. Lesezeit
Announcing Cloudflare Fraud Detection.

Mit Ausbruch der COVID-19-Pandemie veränderte sich die Welt. Alles verlagerte sich in viel stärkerem Maße ins Internet: Schule, Arbeit und – überraschenderweise – auch der Betrug. Online-Betrug gibt es in gewissem Maße schon seit Jahrzehnten. Doch die US-amerikanische Federal Trade Commission meldete zuletzt, dass Verbrauchern 2022 durch Betrug ein Schaden von knapp 8,8 Mrd. USD entstand (ein Anstieg von über 400 % seit 2019) und dass sich ein beunruhigender Trend fortsetzt. Die Menschen verbringen mehr Zeit allein als je zuvor. Dadurch können sie von Betrügern nicht nur besser ins Visier genommen werden, die Menschen werden dadurch auch anfälliger für Betrug. Unternehmen fallen diesen Trends ebenso zum Opfer wie Privatpersonen: Laut der Global Economic Crime and Fraud Survey von PWC war mehr als die Hälfte der Unternehmen mit einem Umsatz von mindestens 10 Mrd. US-Dollar von einer Art von digitalem Betrug betroffen.

Diese Situation kennen wir aus dem Bereich der Bot-Angriffe. Cloudflare Bot Management hilft Kunden, die automatisierten Tools hinter Online-Betrug zu identifizieren, aber es ist wichtig zu wissen, dass nicht jeder Betrugsfall von Bots begangen wird. Wenn das Ziel wertvoll genug ist, werden böse Akteure echte Menschen mit dem Missbrauch von Online-Anwendungen beauftragen. Sicherheitsteams müssen mehr als nur Bots in Betracht ziehen, um Online-Anwendungen besser zu schützen und modernen Online-Betrug zu bekämpfen.

Heute freuen wir uns, Cloudflare Fraud Detection ankündigen zu können. Mit Fraud Detection erhalten Sie präzise, einfach zu bedienende Tools, die innerhalb von Sekunden auf jeder Website im Cloudflare-Netzwerk eingesetzt werden können, um Betrug zu erkennen und zu kategorisieren. Für jede Art von Betrug, die wir auf Ihrer Website entdecken, können Sie die Maßnahmen wählen, die für Sie am sinnvollsten sind. Einige Kunden möchten den betrügerischen Datenverkehr an unserer Edge blockieren, während andere Kunden diese Informationen in den Headern weitergeben möchten, um Integrationen mit ihrer eigenen App zu erstellen oder unsere Cloudflare Workers-Plattform zu nutzen, um Benutzer mit hohem Risiko zum Laden einer alternativen Website mit weniger Funktionen zu leiten.

Online-Betrug: Der Status quo

Wenn wir mit Unternehmen sprechen, die von raffiniertem Online-Betrug betroffen sind, hören wir von frustrierten Sicherheitsteams als Erstes, dass sie genau wissen, welche Schritte sie setzen könnten, um Betrugsfälle zu verhindern: nämlich eine E-Mail-Verifizierung bei der Anmeldung zu verlangen, eine Zwei-Faktor-Authentifizierung für alle Logins durchzusetzen oder Online-Einkäufe von anonymisierenden VPNs oder aus Ländern zu blockieren, aus denen sie wiederholt eine unverhältnismäßig hohe Anzahl von Chargebacks verzeichnen. Alle diese Maßnahmen könnten den Betrug zweifellos verringern, aber sie würden auch das Benutzererlebnis verschlechtern. Jedes Unternehmen befürchtet, dass eine mangelnde Benutzerfreundlichkeit zu einer geringeren Akzeptanz und weniger Umsatz führt. Diesen Preis sollte man für die gängigsten Online-Betrügereien nicht zahlen müssen.

Entscheidet man sich dafür, dieses reibungslose Benutzererlebnis zu bewahren und damit auch die Kosten des Betrugs in Kauf zu nehmen, hat das zwei gravierende Konsequenzen: höhere Infrastrukturkosten und weniger effiziente Mitarbeiter. Böswillige Akteure, die Endpunkte für die Kontoerstellung oder die Verfügbarkeit von Diensten missbrauchen, machen dies oft mit einer Flut hochgradig verteilter HTTP-Anfragen, die sich schnell durch Proxies in Wohngebieten bewegen, um IP-basierte Regeln zur Durchsatzbegrenzung zu umgehen. Wenn Unternehmen nicht in der Lage sind, betrügerischen Datenverkehr mit Sicherheit zu identifizieren, sind sie gezwungen, ihre Infrastruktur zu erweitern, um neue Spitzen im Anfrage-Traffic zu bewältigen, selbst wenn sie wissen, dass es sich primär um illegitimen Traffic handelt. Die verantwortlichen Technik- und Sicherheitsabteilungen stehen plötzlich vor ganz neuen Aufgaben: Sie müssen regelmäßig IP-Adressen sperren, die wahrscheinlich nie wieder verwendet werden, betrügerische Daten routinemäßig aus überlasteten Datenbanken löschen und manchmal sogar de facto als Betrugsermittler agieren. Infolgedessen entstehen dem Unternehmen höhere Kosten, ohne Mehrwert für die Kunden zu schaffen.

Moderne Betrügereien verhindern – ohne die Nutzererfahrung zu beeinträchtigen

Unternehmen haben uns laut und deutlich gesagt, welche Anforderungen sie an eine effektive Lösung zur Betrugsbekämpfung stellen: Eine solche Lösung muss böswillige Akteure zuverlässig stoppen, bevor sie betrügerische Konten erstellen, gestohlene Kreditkarten verwenden oder Kundendaten stehlen können, und gleichzeitig ein reibungsloses Benutzererlebnis für echte Benutzer gewährleisten. Wir entwickeln neuartige und hochpräzise Erkennungsmethoden für die vier häufigsten Betrugsarten, nach denen wir von Unternehmen auf der ganzen Welt am meisten gefragt werden:

  • Erstellung von Fake-Konten: Böswillige Akteure, die sich mit vielen verschiedenen Konten anmelden, um Zugang zu Werbeprämien oder mehr Ressourcen zu erhalten, als einem einzelnen Nutzer eigentlich zur Verfügung stehen sollten.
  • Kontoübernahme: Unerlaubter Zugriff auf legitime Konten, z. B. durch die Verwendung gestohlener Kombinationen von Benutzernamen und Kennwörtern von anderen Websites, das Erraten schwacher Kennwörter oder den Missbrauch von Mechanismen zur Kontowiederherstellung.
  • Card-Testing und betrügerische Transaktionen: Überprüfung der Gültigkeit gestohlener Kreditkartendaten oder Verwendung derselben Daten zum Kauf von Waren oder Dienstleistungen.
  • Expediting: Beschaffung von Waren oder Dienstleistungen mit begrenzter Verfügbarkeit durch Umgehung des normalen Nutzerflusses, um Bestellungen schneller abzuschließen, als es möglich sein sollte.  

Um Ihrer Lösung für das Betrugsmanagement vertrauen zu können, müssen Unternehmen die Entscheidungen oder Vorhersagen verstehen, auf die sich die Betrugserkennung stützt. Dies wird als Erklärbarkeit bezeichnet. Es reicht zum Beispiel nicht aus, zu wissen, dass ein Anmeldeversuch als Betrug gewertet wurde. Sie müssen z. B. wissen, ob eine Anmeldung betrügerisch ist, welches Feld des Benutzers uns zu der Annahme veranlasst hat, dass es sich um ein Problem handelt, warum es ein Problem ist und ob es Teil eines größeren Musters war. Diese Details werden wir Ihnen mitteilen, wenn wir einen Betrug erkennen, damit Sie sicher sein können, dass wir nur die böswilligen Akteure fernhalten.

Jedes Unternehmen, das mit modernem Online-Betrug konfrontiert ist, hat eine andere Vorstellung davon, welche Risiken akzeptabel sind, und andere Präferenzen, wie mit Betrug umzugehen ist, sobald er erkannt wurde. Um unseren Kunden ein Höchstmaß an Flexibilität zu bieten, entwickeln wir die Betrugserkennungssignale von Cloudflare so, dass sie einzeln oder in Kombination mit anderen Sicherheitsprodukten von Cloudflare verwendet werden können. Und zwar so, wie es dem Risikoprofil und dem Anwendungsfall des jeweiligen Kunden am besten entspricht. Dabei nutzt Cloudflare Fraud Detection das vertraute Interface, das unsere Nutzer bereits von Cloudflare Firewall-Regeln kennen. Es werden vorgefertigte Regeln und Vorschläge zur Verfügung stehen, die den Kunden helfen sollen, sich mit den neuen Funktionen vertraut zu machen. Jeder Kunde kann jedoch den Schutz jeder einzelnen Internetanwendung ganz individuell anpassen. Kunden können Anfragen entweder an der Edge blockieren, eine Durchsatzbegrenzung einrichten oder Anfragen herausfordern. Es besteht auch die Möglichkeit, diese Signale in Anfrage-Headern an eine vorgelagerte Instanz zu senden, um ein individuelles Verhalten innerhalb der Anwendung auszulösen.

Cloudflare stellt für Millionen von Websites Dienste für Anwendungsperformance und Sicherheit bereit, und wir verzeichnen durchschnittlich 45 Millionen HTTP-Anfragen pro Sekunde. Die enorme Vielfalt und das Volumen dieses Datenverkehrs versetzt uns in eine einzigartige Position, um Online-Betrug zu analysieren und zu bekämpfen. Cloudflare Bot Management wurde bereits so entwickelt, dass es unser Machine Learning-Modell ausführt. Dieses ist in der Lage, für alle von uns verzeichneten Anfragen automatisierten Traffic zu erkennen. Um anspruchsvollere Anwendungsfälle wie Online-Betrug besser bewältigen zu können, haben wir unser blitzschnelles Machine Learning noch leistungsfähiger gemacht. Ein typisches Machine Learning-Modell wird jetzt in weniger als 0,2
Millisekunden ausgeführt. Damit verfügen wir über die Architektur, die wir benötigen, um mehrere spezifische Machine Learning-Modelle parallel auszuführen, ohne die Bereitstellung von Inhalten zu verlangsamen.

Die Erstellung von Fake-Konten stoppen und die von Cloudflare gebotene Tiefenverteidigung weiter stärken

Das erste Problem, das unsere Kunden gelöst haben möchten, ist die Erkennung der Erstellung von Fake-Konten. Cloudflare befindet sich in einer exzellenten Position, um dieses Problem zu lösen, da wir mehr Seiten zur Kontoerstellung einsehen als jeder andere. Hierfür haben wir uns stichprobenartig Daten von mit Fake-Konten durchgeführten Angriffen angesehen, die gegen unsere Kunden erfolgten. Durch die genaue Analyse der bei den Registrierungen eingegebenen Daten wollten wir ermitteln, wie die von unserem Cloudforce One-Team für Bedrohungsanalyse kuratierten Bedrohungsdaten hilfreich sein könnten. Wir stellten fest, dass die auch in unseren Cloudflare One-Produkten verwendeten Daten, bereits 72 % der Fake-Konten auf der Grundlage der vom bösen Akteur angegebenen Anmeldedaten (wie z. B. die E-Mail-Adresse oder die Domain, die er für den Angriff verwendet) identifizieren konnten. Wir arbeiten kontinuierlich daran, weitere Quellen von Bedrohungsdaten speziell für Fake-Konten hinzuzufügen, um den Wert auf nahezu 100 % zu erhöhen. Zusätzlich zu diesen auf Bedrohungsdaten basierenden Regeln trainieren wir auch neue Machine-Learning-Modelle auf diesen Daten, die Trends wie häufig für Betrug eingesetzte Domains erkennen werden – basierend auf den Informationen der Millionen von Domains, die wir im Cloudflare-Netzwerk einsehen.

Expediting erkennen, um Betrug unrentabel zu machen

Das zweite Problem, das unsere Kunden von uns gelöst haben wollten, war Expediting (Bot-Automatisierung). Zur Erinnerung: Expediting (Bot-Automatisierung) bedeutet, eine Reihe von Webseiten schneller zu besuchen, als es für einen normalen Nutzer möglich wäre, und manchmal die Reihenfolge der Webseiten zu überspringen, um eine Ressource effizient zu missbrauchen.

Nehmen wir an, Sie haben eine Seite zur Kontowiederherstellung, die von einer ausgeklügelten Gruppe bösartiger Akteure mit Spam-Mails bombardiert wird, die auf der Suche nach gefährdeten Nutzern sind, denen sie Reset-Tokens stehlen können. In diesem Fall haben die Betrüger Zugriff auf eine große Anzahl gültiger E-Mail-Adressen und testen, welche dieser Adressen auf Ihrer Website verwendet werden können. Um zu verhindern, dass Ihr Prozess der Kontowiederherstellung missbraucht wird, müssen wir sicherstellen, dass keine einzelne Person den Prozess der Kontowiederherstellung schneller oder in einer anderen Reihenfolge durchlaufen kann, als es eine echte Person tun würde.

Um einen gültigen Antrag auf Zurücksetzung eines Kennworts auf Ihrer Website abschließen zu können, müssen Sie wissen, dass ein Nutzer die folgenden Aktionen abgeschlossen haben sollte:

  • Eine GET-Anfrage zur Darstellung Ihrer Anmeldeseite
  • Eine POST-Anfrage an die Anmeldeseite (mindestens eine Sekunde nach dem Empfang der Anmeldeseiten-HTML)
  • Eine GET-Anfrage, um die Seite zur Kontowiederherstellung anzuzeigen (mindestens eine Sekunde nach Erhalt der POST-Antwort)
  • Eine POST-Anfrage an die Seite zum Zurücksetzen des Passworts (mindestens eine Sekunde nach dem Empfang der HTML-Seite zur Kontowiederherstellung)
  • Der Prozess hat insgesamt weniger als 5 Sekunden gedauert.

Um dieses Problem zu lösen, stützen wir uns auf verschlüsselte Daten, die vom Nutzer in einem Token gespeichert werden. Damit können wir feststellen, ob der Nutzer alle erforderlichen Seiten in einem angemessenen Zeitraum besucht hat, um vertrauliche Aktionen auf Ihrer Website durchzuführen. Wenn Ihr Prozess zur Kontowiederherstellung missbraucht wird, fungiert der von uns gelieferte verschlüsselte Token als VIP-Pass, der es nur autorisierten Nutzern ermöglicht, den Prozess zur Wiederherstellung des Passworts erfolgreich abzuschließen. Ohne eine Bestätigung, die anzeigt, dass der Nutzer den normalen Wiederherstellungsprozess in der richtigen Reihenfolge und zur richtigen Zeit durchlaufen hat, wird ihm der Zugang zur Passwortwiederherstellung verweigert. Indem wir den böswilligen Akteur dazu zwingen, sich wie ein legitimer Nutzer zu verhalten, machen wir es ihm unmöglich zu überprüfen, welche seiner kompromittierten E-Mail-Adressen auf Ihrer Website registriert sein könnten, und zwingen ihn, sich anderen Zielen zuzuwenden.

Dies sind nur zwei der ersten Techniken, die wir einsetzen, um Betrug zu erkennen und zu verhindern. Wir arbeiten auch an der Erkennung von Kontoübernahmen und Kartenmissbrauch, über die wir in Zukunft in diesem Blog berichten werden. Da sich der Online-Betrug weiter entwickelt, werden wir weiterhin neue und einzigartige Erkennungsmethoden entwickeln und die einzigartige Position von Cloudflare nutzen, um für ein sichereres Internet zu sorgen.

Wo kann ich mich registrieren?

Dazu gehört auch der Kampf gegen den modernen Online-Betrug. Wenn Sie Stunden damit verbringen, Betrugsfälle aufzuklären, oder es leid sind, dafür zu bezahlen, dass Web-Traffic an böswillige Akteure weitergeleitet wird, können Sie in der zweiten Jahreshälfte 2023 im Rahmen der Early Access-Phase frühzeitigen Zugang zu Cloudflare Fraud Detection erhalten. Geben Sie hierfür hier Ihre Kontaktdaten ein. Early Access-Kunden können sofort Trainingsdatensätze zur Verfügung stellen, damit unsere Modelle für ihre Anwendungsfälle noch effektiver werden. Außerdem erhalten Sie testweisen Zugang zu unseren neuesten Modellen und zukünftigen Features zum Schutz vor Betrug, sobald diese auf den Markt kommen.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Security Week (DE)Bots (DE)Security (DE)Fraud (DE)DeutschBot Management (DE)

Folgen auf X

Adam Martinetti|@adamemcf
Cloudflare|@cloudflare

Verwandte Beiträge

08. März 2024 um 14:05

Log Explorer: Überwachung von Sicherheitsereignissen ohne Speicherlösungen von Drittanbietern

Mit der kombinierten Leistungsfähigkeit von Security Analytics + Log Explorer können Sicherheitsteams Sicherheitsangriffe nativ innerhalb von Cloudflare analysieren, untersuchen und überwachen. Dadurch werden die Zeit bis zur Lösung und die Gesamtbetriebskosten für Kunden reduziert...