Betrügerische Bots, die Artikel bei Onlinehändlern aufkaufen, um sie dann teurer weiterzuverkaufen: Das sogenannte Scalping war bislang vor allem bei Eintrittskarten für Veranstaltungen bekannt, tritt aber immer häufiger auch bei Konsumgütern auf. Wie Händler die Gefahr entschärfen und Bots von echten Kunden unterscheiden, erklärt Dennis Haake vom Identitätsspezialisten ForgeRock.

Die Schäden, die bösartige Bots anrichten können, sind weithin bekannt - ganze Websites und Internetdienste können durch sie lahmgelegt werden.

Bots oder Botnetze sind Gruppierungen von Tausenden von Geräten, die durch bösartige Software infiziert oder kompromittiert wurden. Die Malware befindet sich unerkannt auf den Geräten und wird über einen zentralen Befehlsserver gesteuert, der die Bots anweist, bestimmte Aktionen auszuführen.

Neuerdings verzeichnen Sicherheitsexperten eine Zunahme einfacherer, weniger zerstörerischer Bots, die einen einzigen Zweck erfüllen - den Bestand von Onlineshops an aktuell begehrten Artikeln aufzukaufen, bevor tatsächliche Kunden eine Kaufchance haben.
Nicht jeder Bot verfolgt gute Absichten: Immer öfter haben es Händler mit Schadprogrammen zu tun, mit denen Reseller die Bestände von Onlineshops aufkaufen.
© imago images / Westend61
Nicht jeder Bot verfolgt gute Absichten: Immer öfter haben es Händler mit Schadprogrammen zu tun, mit denen Reseller die Bestände von Onlineshops aufkaufen.
Anschließend verkaufen die Bots diese Artikel zu einem höheren Preis. Häufig stecken Reseller hinter solchen Attacken.

Zuletzt war das Phänomen zum Beispiel bei Nintendo Switch und Playstation 5 zu beobachten: Lager der Händler waren leergekauft, während die Geräte bei Ebay mit einem erheblichen Preisaufschlag angeboten wurden - schlecht für den Händler und für den Kunden.

Während des ersten Corona-Lockdowns war in den USA sogar Toilettenpapier Ziel solcher Bot-Attacken, wie Reuters berichtet

Wie funktionieren Retail-Bots?

Retail-Bots überwachen automatisch die Lagerbestände führender Einzelhändler. Sobald beliebte Artikel vorrätig sind, kaufen die Bots möglichst viele von ihnen auf. Sie geben sich dabei als gewöhnlicher, menschlicher Kunde aus.

Im Kaufvorgang selbst gibt es augenscheinlich keinen Unterschied zu einem "echten Kunden": Die Bots legen einen Artikel in den Einkaufswagen, geben Versandinformationen ein und schließen die Bezahlung ab. Dann wiederholen sie den Vorgang immer und immer wieder, bis der jeweilige Artikel ausverkauft ist. 
Objekt der Begierde für betrügerischer Reseller: Allein in den ersten 30 Minuten einer Verkaufsaktion für die neue Playstation 5 blockierte Walmart am 25. November 2020 mehr als 20 Millionen Bot-Zugriffe.
© Sony
Objekt der Begierde für betrügerischer Reseller: Allein in den ersten 30 Minuten einer Verkaufsaktion für die neue Playstation 5 blockierte Walmart am 25. November 2020 mehr als 20 Millionen Bot-Zugriffe.
Recherchiert man ein paar Stunden später, stellt man fest, dass die Artikel bei verschiedenen Online-Marktplätzen auftauchen und dort für das Doppelte und Dreifache des ursprünglichen Preises angeboten werden. Dieser Vorgang wird als "Scalping" ("Skalpieren") bezeichnet.

Birdbot

Einer der produktivsten aktiven Retail-Bots heißt "Birdbot". Er ist frei verfügbar und wurde ursprünglich entwickelt, um den Einkauf und Check-out bei Walmart und Best Buy in den USA zu automatisieren. So funktioniert Birdbot:
  1. Nutzer laden Birdbot herunter und führen das Programm auf ihren lokalen Computern aus.
  2. Sie konfigurieren Birdbot mit Aufgaben (Gegenständen, die sie kaufen möchten), Profilen (Versand-, Rechnungs- und Zahlungsinformationen), Bevollmächtigten (Liste der Internet-Proxys, die Birdbot verwenden soll, um die Herkunft des Nutzers zu verbergen) und Einstellungen (in erster Linie, wohin Birdbot Benachrichtigungen über Erfolg oder Misserfolg des Kaufs senden soll).
  3. Birdbot ahmt einen normalen Webbrowser nach, indem es einen User-Agent konfiguriert. Ein User-Agent ist eine Anwendung, mit der die Art und Weise bestimmt werden kann, wie sich Browser, Smartphones und andere Geräte identifizieren, damit eine Website weiß, wie sie den Inhalt so formatieren muss, dass er am besten zu diesem Gerät passt.
  4. Birdbot führt dann einen Code aus, der es ihm ermöglicht, Benutzerinteraktionen (Checkout, Übermittlung von Zahlungsinformationen, Auswahl von Versandoptionen) nachzuahmen.
  5. Birdbot loggt sich nicht ein. Stattdessen nutzt es die Funktion "Gast".
  6. Birdbot wiederholt diesen Vorgang viele Male pro Minute. Sobald der gewünschte Artikel auf Lager ist, kauft es ihn automatisch nach.

Über den Autor
Dennis Haake ist Senior Solution Architekt bei ForgeRock und ein Softwareprofi mit umfassender Erfahrung in den Bereichen IoT, maschinelles Lernen sowie Native-Cloud-Architekturen. Bevor er zu ForgeRock kam, war er CTO eines in Oslo ansässigen Robotik-Start-ups, das autonom navigierende intelligente Räder entwickelte. Haake absolvierte sein Masterstudium an der Universität Wien mit Schwerpunkt auf Bioinformatik für die pharmazeutische Forschung und Entwicklung.
Dennis Haake Forgerock
© ForgeRock

Wie können Händler herausfinden, ob sie es mit einem Bot zu tun haben?

Im Kern der Frage befindet sich ein digitales Identitätsproblem. Hierfür müssen eine Reihe von Kontext- und Verhaltensfaktoren untersucht und dazu genutzt werden, Entscheidungen in Echtzeit zu treffen.

Unter Verwendung einer Vielzahl von Datenquellen können Identitätsplattformen Echtzeit-Entscheidungen treffen und die Kunden-Log-in- und Check-out-Prozesse so anpassen, dass sie schwieriger und komplizierter werden, wenn der Verdacht besteht, dass ein Bot versucht, eine Transaktion zu tätigen, während echte Kunden ohne Schwierigkeiten durch den Check-out-Prozess gelangen.

Digitale Identität zeigt, wer der wahre Kunde ist

Um Bot-Traffic zu bekämpfen, müssen Anbieter feststellen, woher der Internetverkehr kommt. Ein Gateway untersucht mithilfe von Tokens und Sessions den Traffic und entscheidet, ob Zugriff auf die Website gewährt wird.
Zugriffsschutz durch Gateway und Identitätskontext: Ein Gateway untersucht den Traffic und entscheidet, ob Zugriff auf eine Website gewährt wird.
© ForgeRock
Zugriffsschutz durch Gateway und Identitätskontext: Ein Gateway untersucht den Traffic und entscheidet, ob Zugriff auf eine Website gewährt wird.
Sessions werden grundsätzlich erlaubt, wenn sich ein Nutzer durch Username und Passwort oder andere Authentifizierungslösungen identifiziert. Identitätsplattformen nutzen Bausteine, sogenannte "Nodes", um eine Customer Journey zu definieren, die mehrere Faktoren berücksichtigt:

  • IP-Adressen: Ein Node kann Listen mit potenziellen Bot-IP-Adressen in Echtzeit aufrufen und auf dieser Grundlage Zugriffe gewähren oder ablehnen.
  • reCAPTCHA: Unternehmen können den Kunden auffordern, ein reCAPTCHA auszufüllen. Bots haben damit Probleme. Allerdings sollten Shopanbieter reCAPTCHA nur einsetzen, wenn unbedingt nötig, da es von Kunden oft als störend empfunden wird.
  • Device-Kontext: Echte Kunden verwenden Geräte, die wichtige Kontextinformationen liefern. Mit dem Einverständnis des Kunden können Unternehmen das Gerät (Laptop, Smartphone, Tablet) scannen und Informationen wie User-Agent sammeln, um einen "Fingerabdruck" des Geräts zu erstellen.
  • Log-in: Wenn Unternehmen ihre Kunden zum Einloggen ermutigen, können sie ein Profil erstellen, das es ermöglicht, ihre Geräte mit ihrer Identität abzugleichen.
  • verhaltensbiometrische Daten: Maschinelles Lernen und KI-Funktionen können Daten zur Interaktion des Nutzers auf der Website liefern und ihn so identifizieren.
  • A/B-Tests: Unternehmen können A/B-Tests durchführen und sicherstellen, dass diese legitimen und Bot-Datenverkehr korrekt klassifizieren und nicht versehentlich echte Kunden vertreiben.

Fazit

Zwar gibt es keinen Königsweg, um alle Retail-Bots zu besiegen - aber dank einer Vielzahl an Lösungen gibt es intelligente, zukunftssichere Ansätze, die die Probleme für Händler entschärfen können.

Die korrekte Authentifizierung von Nutzern ist kein einfaches, einmaliges Ereignis mit binärem Ergebnis mehr. Stattdessen bedarf es einer kontinuierlichen Überprüfung und Bewertung von Websitezugriffen.

MEHR ZUM THEMA:

Wer sich im Internet glaubhaft als jemand anderes ausgibt, kann auf dessen Kosten andere diffamieren, Verträge abschließen - und hemmungslos konsumieren.
© Zephyr_p / shutterstock
Sicherheit

Identitätsklau: So schützen sich Händler gegen Betrüger im Netz


PSD2 - Das Ziel ist klar, die Vorgaben interpretierbar, die Umsetzung mangelhaft.
© iStock/arthobbit
PSD2

Zwei-Faktor-Authentifizierung - Ist ab Samstag das Chaos programmiert?


Mister Facebook: Mark Zuckerberg
© etailment / Screenshot
Handeln trotz Corona

Facebook gefällt sich, Ebay verliert weniger als erwartet