
AppSec prognostiziert 2021: Angriffe auf die Lieferketten stellen eine größere Bedrohung für alle Branchen dar
Dies ist die letzte einer dreiteiligen Reihe von AppSec-Prognosen für 2021. Die komplette Serie können Sie hier nachlesen.
(Fast) jedes Jahr veröffentliche ich unsere AppSec-Prognosen über die drei Bedrohungen, die im kommenden Jahr eine besonders große Herausforderung darstellen könnten. In den vergangenen zwei Jahren lauteten die Prognosen: Credential-Stuffing/Account-Takeover-Angriffe, API-Angriffe und Supply-Chain-Angriffe. Dieses Jahr kommen die Informationen für unsere Vorhersagen von unserem erweiterten Threat Intelligence Service, einem Teil von Barracuda Advanced Bot Protection. Kurz, unsere Schlussfolgerungen werden von deutlich mehr Daten untermauert.
Lieferkettenangriffe mehren sich und stellen branchenübergreifend eine wachsende Bedrohung dar
Lieferkettenangriffe sind im Grunde Angriffe auf die Lieferkette einer Software. Sie können vielerlei Gestalt annehmen, doch in diesem Webinar möchten wir uns Angriffen auf Webanwendungen widmen. Derartige Angriffe wurden erstmals um 2018 herum festgestellt und werden Magecart genannt, da sie zunächst auf Online-Shops abzielten, die mit Magento arbeiteten. Die Angreifer identifizierten zunächst JavaScript von Drittanbietern, das auf Checkout-Seiten häufig verwendet wurde. Anschließend hackten sie die JS-Quelldateien und implementierten ihren Card-Skimming-Code. Wenn ein User die entsprechende Seite lud, wurde das nun bösartige JavaScript geladen. So konnten dann die Zugangsdaten des Users gestohlen werden.
2019 und 2020 führte diese Gruppe mehrere größere Angriffe durch und traf damit auch einige hochkarätige Unternehmen wie British Airways. Zu diesem Zeitpunkt waren bereits tausende Fälle von geschädigten Shops bekannt, da viele cyberkriminelle Gruppen mit dieser Angriffsmethode arbeiteten. Einige dieser geschädigten Skripte sind recht raffiniert. So führen sie bei der Anwendung eines Web Vulnerability Scanners ihren Malicious Code nicht aus und geben somit vor, normal zu funktionieren, um nicht entdeckt zu werden. Hier sind also ziemlich fortschrittliche und gut organisierte Gruppen am Werk. Darüber hinaus werden auch Inter Skimmer eingesetzt, die bei Angreifern, die derartige Angriffe vornehmen möchten, mittlerweile ein beliebtes Tool sind. Es handelt sich hierbei wie bei Bots um echte Support-Kanäle mit entsprechender Forschung und Entwicklung hinter den Produkten. Es hat sich hier eine regelrechte Untergrundwirtschaft entwickelt.
Hier sehen wir ein Beispiel eines Skimmers, den Visa im August 2020 identifizieren konnte. Wie Sie sehen können, haben die Verantwortlichen große Anstrengungen unternommen, um nicht entdeckt und von den Websites entfernt zu werden, die das anfällige JavaScript verwendeten.

Diese Kurve aus dem HTTP-Archiv veranschaulicht das Ausmaß des Problems: Etwa 80 % der gescannten Sites verwendeten anfällige JavaScripts von Drittanbietern.

AppSec wird auch 2021 interessant sein
In puncto Bots und Wiederverkauf stellen wir fest, dass sich die Gesetzgeber langsam einschalten. Im Vereinigten Königreich etwa wird versucht, den Weiterverkauf von Produkten über dem empfohlenen Verkaufspreis zu unterbinden. Und dies ist kein Präzedenzfall. Bereits 2015 wurde in den USA ein Gesetz gegen den Wiederverkauf von Tickets verabschiedet, nachdem die Anzahl an Beschwerden über Schwarzmarkthändler massiv angestiegen war. Ob diese neuen Gesetze funktionieren oder ob die Bot-Entwickler weiterhin elterliche Regeln untergraben, um an ihre Cookies zu kommen, bleibt abzuwarten.

