Inhalt
Inventory Hoarding, auch bekannt als Inventarverweigerung, ist eine kritische Bedrohung für Webanwendungen, insbesondere für solche, die Online-Käufe oder Reservierungen anbieten. Bei diesem Angriff manipulieren feindliche Bots das Inventar und versuchen, es für echte Kunden unzugänglich zu machen. Für den Betreiber der Website hat dies eine Reihe von nachteiligen Folgen.
Inventory Hoarding Angriffsszenario
Feindliche Bots greifen die Zielseiten an, indem sie den Verkaufsprozess beginnen, aber nicht abschließen. Bei einem Angriff auf eine Einzelhandelswebsite fügen die Bots beispielsweise Produkte in den Einkaufswagen, schließen den Kauf aber (absichtlich) nicht ab. Ironischerweise ist diese Taktik bei anspruchsvolleren Webanwendungen effektiver; einfache Einzelhandelswebsites aktualisieren ihren Bestand oft nicht in Echtzeit als Reaktion auf Kundenaktionen, während fortschrittlichere Websites dies tun. Bei Websites, die die Produktverfügbarkeit sofort anpassen, erzeugen Bots, die den Bestand verweigern, eine falsche Knappheit. Durch ihre Aktionen wird die Menge der für legitime Kunden zugänglichen Bestände reduziert.
Eine verwandte Bedrohung ist ein Scalping-Angriff, bei dem Bots die Käufe tatsächlich abschließen. In diesem Fall versuchen Shopping-Bots, so viel Inventar wie möglich zu kaufen, und der Angreifer verkauft die Produkte, Dienstleistungen oder Tickets dann zu einem (viel) höheren Preis an den breiten Markt weiter. Scalping findet nicht nur bei Eintrittskarten für Veranstaltungen statt, sondern auch bei seltenen Produkten, z. B. bei Turnschuhen und Spielzeug in limitierter Auflage.
Anfälligkeit der Branchen
Jeder eCommerce-Sektor, der auf Online-Reservierungen oder -Käufe angewiesen ist und nur über einen begrenzten Bestand an Waren oder Dienstleistungen verfügt, ist anfällig für Bestandsverweigerung. Am offensichtlichsten sind der Einzelhandel und die Reisebranche, aber auch andere Branchen können betroffen sein.
Verschiedene Sektoren können unterschiedliche Arten von Bots anziehen. Einfache Shopping-Bots können auf Einzelhandels-Websites abzielen, während Reise-Websites oft von ausgefeilterer Software heimgesucht werden. Reiseanwendungen haben zum Beispiel in der Regel eine „Time-to-Checkout“-Politik. Die Website reserviert die Tickets (und entfernt sie aus dem verfügbaren Bestand), wenn die Kunden sie auswählen, aber die Auswahl verfällt nach einem bestimmten Zeitrahmen (normalerweise 10-15 Minuten), wenn sie nicht gekauft wird. Fortgeschrittene Bots nutzen dies aus; sie beginnen mit der Reservierung, warten, bis sie abläuft, und wiederholen dann den Vorgang. Diese Endlosschleife hindert echte Kunden daran, sich Tickets zu sichern.
Auswirkungen von Inventory Hoarding
Finanzieller Verlust und Vertrauenschaden:
Die offensichtliche finanzielle Auswirkung von Inventory Hoarding ist der Verlust von Umsätzen mit echten Kunden. Die potenziellen Auswirkungen können jedoch weit über die Sperrung legitimer Nutzer hinausgehen.
So sind Reiseplattformen beispielsweise auf Datenaggregatoren angewiesen. Jede Suche nach Flügen ist mit einer kleinen finanziellen Verpflichtung verbunden, die gemeinhin als Datenabfragegebühr bezeichnet wird. Wenn der Suchende einen Kauf abschließt, erhält der Aggregator eine Provision. Wenn Bots jedoch ständig Suchvorgänge ohne tatsächliche Transaktionen durchführen, müssen die Website-Besitzer immer höhere Gebühren für den Datenabruf entrichten, ohne Einnahmen zu erzielen.
Die finanzielle Belastung beschränkt sich nicht auf die Gebühren für die Datensuche. Den Verkäufern können durch diese böswilligen Aktivitäten weitere Kosten entstehen, die sich erheblich auf ihr Endergebnis auswirken. Außerdem stehen das Vertrauen und der gute Wille der Verbraucher auf dem Spiel. Wenn legitime Nutzer immer wieder mit Bestandsengpässen oder überhöhter Nachfrage konfrontiert werden, kann dies ihr Vertrauen in die Plattform untergraben.
Denial-of-Service-Auswirkungen
Das Horten von Beständen funktioniert effektiv als Denial-of-Service-Angriff (DoS) auf der Anwendungsebene. Durch die Behinderung echter Transaktionen und die Schaffung künstlicher Knappheit wirkt sich dies direkt auf die Umsatzströme aus. Darüber hinaus kann es vorkommen, dass zeitkritische Bestände aufgrund der künstlichen Verknappung, die durch diese Angriffe entsteht, unverkauft bleiben. In anderen Situationen, wie z. B. beim Scalping, kann es zu Verärgerung der Verbraucher und erheblichem Unmut kommen.
Kontaktieren Sie unsere Experten und erfahren Sie, wie Ihr Geschäft mit einer automatisierten Sicherheitslösung geschützt werden kann.
Verteidigungsstrategien gegen Inventory Hoarding
Time-to-Checkout Policies
Einige Website-Besitzer versuchen, Angriffen auf den Warenbestand mit Taktiken wie der Anpassung von Time-to-Checkout-Richtlinien und der Änderung der Dauer für den Abschluss von Transaktionen zu begegnen. Dies kann zwar die Auswirkungen dieser Vorfälle abmildern, bringt aber nicht viel. Im besten Fall werden die Angriffe dadurch weniger effektiv.
Bot-Erkennung und -Abwehr
Eine Web-Sicherheitslösung mit robusten Bot-Erkennungsmethoden ist von entscheidender Bedeutung. Andernfalls sind die einzigen Anzeichen für einen Bestandsverweigerungsangriff eine Verschlechterung der Konversionsraten bei steigendem Traffic.
Eine gute Lösung umfasst mehrere Verteidigungsebenen für die Bot-Erkennung und -Screening, einschließlich Threat Intelligence Feeds, Blocklisting bekannter feindlicher Verkehrsquellen, Überprüfung der Browser-Umgebung, UEBA (User and Entity Behavioral Analysis) und mehr. Hochentwickelte Algorithmen und andere Tools können zwischen echtem Benutzer- und automatisiertem Datenverkehr unterscheiden und ermöglichen so die Identifizierung und Verhinderung von Inventar-Hoarding-Versuchen. Durch die kontinuierliche Überwachung von Verkehrsmustern können Anomalien erkannt und verdächtige Bot-Aktivitäten präventiv blockiert werden.
Ratenbegrenzung und Überwachung
In der Web-Sicherheit bezieht sich die Ratenbegrenzung auf die Durchsetzung von Höchstraten, mit denen Traffic-Quellen Anfragen stellen können. Dies ist eine wichtige Maßnahme, um unerwünschte Bots zu blockieren, insbesondere wenn sie Aktivitäten durchführen, die viel Datenverkehr erzeugen. Ein gut ausgeführter Inventarverweigerungsangriff erzeugt oft keine ausreichend häufigen Anfragen, um eine Ratenbegrenzung zu erzwingen. Dennoch ist eine Ratenbegrenzung wichtig, nicht nur für Inventory Hoarding, sondern auch für ähnliche Angriffe. So können beispielsweise Scraper-Bots die gleichen schädlichen Auswirkungen haben wie Hortungs-Bots, insbesondere für Anwendungen, die Gebühren für die Datenabfrage zahlen müssen.
Zusammenarbeit und Aufklärung
Die Zusammenarbeit innerhalb der Branche zum Austausch von Bedrohungsdaten und bewährten Verfahren ist von entscheidender Bedeutung. Die Aufklärung der Beteiligten über die Auswirkungen von Angriffen auf das Horten von Beständen kann die gemeinsamen Anstrengungen zur wirksamen Bekämpfung dieser Bedrohungen fördern.
Inventory Hoarding – Fazit
Das Horten von Warenbeständen stellt eine erhebliche Bedrohung für Webanwendungen dar, die Online-Einkäufe oder -Reservierungen anbieten, und verursacht finanzielle Verluste, untergräbt das Vertrauen und beeinträchtigt die Benutzerfreundlichkeit. Wenn Unternehmen die Mechanismen hinter diesen Angriffen verstehen und proaktive Maßnahmen ergreifen, können sie ihre Abwehr stärken und ihre Plattformen vor solchen bösartigen Aktivitäten schützen.
Share this post
