Wir präsentieren Cloudflare Account Abuse Protection: Betrügerische Angriffe von Bots und Menschen verhindern

Heute stellt Cloudflare eine neue Reihe von Funktionen zur Betrugsprävention vor, die Kontomissbrauch stoppen sollen, noch bevor er beginnt. Seit Jahren unterstützen wir Cloudflare-Kunden dabei, ihre Anwendungen vor automatisierten Angriffen zu schützen – doch die Bedrohungslandschaft hat sich verändert. Die zunehmende Industrialisierung hybrider Angriffe aus automatisierten und menschlichen Aktivitäten stellt Website-Betreiber vor neue Sicherheitsherausforderungen. Zum Beispiel ein Konto, auf das innerhalb von fünf Minuten aus New York, London und San Francisco zugegriffen wird. Die zentrale Frage lautet dann nicht „Ist das automatisiert?“, sondern „Ist das authentisch?“.

Website-Betreiber benötigen die Tools, um Missbrauch auf ihrer Website zu stoppen, egal von wem er kommt.

Während unserer Birthday Week im Jahr 2024 haben wir allen Kunden, einschließlich aller mit einem kostenlosen Tarif, die Erkennung geleakter Anmeldedaten geschenkt. Seitdem haben wir IDs zur Erkennung von Kontoübernahme als Teil unserer Bot-Management-Lösung hinzugefügt, mit denen wir Bots identifizieren können, die Ihre Anmeldeseiten angreifen. 

Jetzt kombinieren wir diese leistungsstarken Funktionen mit neuen Tools. Disposable Email Check und Email Risk helfen Ihnen, Sicherheitsrichtlinien für Nutzer durchzusetzen, die sich mit Wegwerf-E-Mail-Adressen registrieren – eine häufige Methode zur Erstellung von Fake-Accounts und zum Missbrauch von Promotionen – oder deren E-Mail-Adressen aufgrund von Mustern und Infrastruktur als riskant eingestuft werden. Außerdem freuen wir uns, Hashed User IDs vorzustellen – domainspezifische Kennungen, die durch kryptografisches Hashing von Benutzernamen erzeugt werden und Kunden bessere Einblicke in verdächtige Kontoaktivitäten sowie mehr Möglichkeiten bieten, potenziell betrügerischen Traffic zu begrenzen, ohne die Privatsphäre der Endnutzer zu beeinträchtigen.

Die neuen Funktionen, die wir heute ankündigen, gehen über die Automatisierung hinaus und identifizieren missbräuchliches Verhalten und riskante Identitäten bei menschlichen Nutzern und Bots. Account Abuse Protection ist im Early Access (früher Zugang) verfügbar, und jeder Bot Management Enterprise-Kunde kann diese Funktionen für einen begrenzten Zeitraum ohne zusätzliche Kosten nutzen, bis die allgemeine Verfügbarkeit von Cloudflare Fraud Prevention im Laufe dieses Jahres erreicht ist. Wenn Sie mehr über diese Early-Access-Funktion erfahren möchten, können Sie sich hier registrieren.

Die Hürde für betrügerisches Verhalten ist gefährlich niedrig, vor allem angesichts der Verfügbarkeit riesiger Datensätze und des Zugangs zu automatisierten Tools, mit denen Kontobetrug in großem Umfang betrieben werden kann. Website-Betreiber haben es nicht nur mit einzelnen Hackern zu tun, sondern mit industrialisiertem Betrug. Letztes Jahr haben wir aufgezeigt, dass 41 % der Anmeldeversuche in unserem Netzwerk kompromittierte Anmeldedaten verwenden. Diese Zahl ist nach der Offenlegung einer Datenbank mit 16 Milliarden Datensätzen weiter gestiegen, und seither sind mehrere prominente Sicherheitsverstöße bekannt geworden. 

Darüber hinaus verwenden Benutzer ihre Passwörter über mehrere Plattformen hinweg immer wieder, sodass ein einziges Leck von vor Jahren immer noch ein wertvolles Einzelhandels- oder sogar ein Bankkonto freischalten kann. Unsere Überprüfung auf geleakte Zugangsdaten ist eine kostenlose Funktion, die überprüft, ob ein Passwort bei einer bekannten Datenschutzverletzung eines anderen Dienstes oder einer anderen Anwendung im Internet geleakt wurde. Dies ist ein datenschutzfreundlicher Dienst zur Überprüfung von Anmeldedaten, der unsere Benutzer vor kompromittierten Anmeldedaten schützt. Cloudflare führt diese Prüfungen durch, ohne auf Klartext-Endbenutzer-Passwörter zuzugreifen oder diese zu speichern. Die Passwörter werden in einen Hash umgewandelt – d. h. mit Hilfe eines kryptografischen Algorithmus in eine zufällige Zeichenfolge umgewandelt – zum Zweck des Abgleichs mit einer Datenbank mit kompromittierten Anmeldeinformationen. Wenn Sie unsere Überprüfung auf geleakte Anmeldedaten noch nicht aktiviert haben, aktivieren Sie sie jetzt, um Ihre Konten vor einfachen Hacks zu schützen!

Der Zugriff auf eine große Datenbank mit kompromittierten Anmeldeinformationen ist nur dann nützlich, wenn ein Angreifer diese schnell über viele Websites hinweg durchprobieren kann, um festzustellen, welche Konten aufgrund der Wiederverwendung von Passwörtern noch anfällig sind. Bei unserer Black Friday-Analyse im Jahr 2024 haben wir festgestellt, dass mehr als 60 % des Datenverkehrs auf Anmeldeseiten in unserem Netzwerk automatisiert war. Das sind eine Menge Bots, die versuchen, einzudringen.

Um unsere Kunden dabei zu unterstützen, ihre Login-Endpunkte vor ständigen Angriffen zu schützen, haben wir Kontoübernahme (ATO)-spezifische Erkennungen hinzugefügt, um verdächtige Traffic-Muster hervorzuheben. Dies ist Teil unseres jüngsten Fokus auf kundenspezifischen Erkennungen, bei dem wir eine Erkennung von Verhaltensanomalien bieten, die für jeden Bot-Management-Kunden einzigartig ist. Heute können Bot-Management-Kunden versuchte Kontoübernahme-Angriffe in ihren Anmeldeanfragen direkt auf dem Dashboard für Sicherheitsanalysen sehen und abwehren.

^{Auf der Karte auf der linken Seite im Dashboard für Sicherheitsanalysen können Sie versuchte Kontoübernahmeangriffe anzeigen und beheben.}

In der letzten Woche haben unsere ATO-Erkennungen zusammen durchschnittlich 6,9 Milliarden verdächtige Anmeldeversuche pro Tag in unserem Netzwerk verzeichnet. Diese ATO-Erkennungen bilden zusammen mit den vielen weiteren Erkennungsmechanismen in unserer Bot-Management-Lösung eine mehrschichtige Abwehr gegen Kontoübernahme- und andere bösartige automatisierte Angriffe.

Automatisierung erkennen – oder Intention und Identität? Das ist die Frage. Unsere Antwort: beides. Beide Ebenen sind entscheidend für eine robuste Sicherheitsstrategie. Angreifer operieren heute in einem Maßstab, der früher nur großen Unternehmensdiensten vorbehalten war: Sie nutzen riesige Datenlecks mit Zugangsdaten, setzen menschlich betriebene Betrugsfarmen ein, um Geräte und Standorte vorzutäuschen, und erstellen synthetische Identitäten, um Tausende – sogar Millionen – gefälschter Konten für Promotions- und Plattformmissbrauch zu betreiben. Eine reale Person mit automatisierten Tools kann Konten plündern, Werbeaktionen missbrauchen, Zahlungsbetrug begehen – oder alles zugleich.

Darüber hinaus ist Automatisierung heute zugänglicher denn je – insbesondere, da Nutzer zunehmend mit KI-Agenten arbeiten und selbst etablierte, „traditionelle“ Browser standardmäßig agentische Funktionen erhalten. Ob es sich um eine einzelne Person handelt, die einen KI-Agenten nutzt, oder um eine koordinierte Betrugskampagne: Die Bedrohung ist längst nicht mehr nur ein einzelnes Skript – sie kann menschliche Absicht mit automatisierter Ausführung verbinden.

Betrachten Sie die folgenden Szenarien, die wir von unseren Kunden gehört haben:

• Wir haben diesen Monat 1.000 neue Nutzer, aber mehr als die Hälfte davon sind Scheinidentitäten, die von einer kostenlosen Testversion profitieren und dann verschwinden.

• Der Angreifer hat sich mit dem richtigen Passwort eingeloggt. Woher weiß ich dann, dass es nicht der echte Nutzer ist?

• Dieser Akteur handelt in menschlichem Tempo und leert Konten.

Diese Probleme können nicht gelöst werden, indem man nur die Automatisierung bewertet; sie erfordern eine Überprüfung auf Authentizität und Integrität. Genau diese Lücke schließen unsere speziellen Funktionen zur Betrugsprävention.

Beginnen wir mit der Beurteilung des frühesten Zeitpunkts eines potenziellen Kontomissbrauchs: der Erstellung eines Kontos. Die Erstellung von Fake- oder Massenkonten ist eines der wichtigsten Themen in Gesprächen über Website-Betrug, da sie Angreifern die Tür zu einer Anwendung oder sogar zu einem ganzen Geschäftsmodell öffnen kann. 

Cloudflare stellt seinen Kunden die Werkzeuge zur Verfügung, mit denen sie die Erstellung verdächtiger Konten an der Quelle überprüfen können – und zwar auf zwei Arten:

1. Überprüfung von Einmal-E-Mails: Erkennen Sie, wenn sich Nutzer mit Einmal- oder Wegwerf-E-Mail-Adressen anmelden, die häufig für den Missbrauch von Werbeaktionen und die Erstellung von Fake-Konten verwendet werden. Diese temporären E-Mail-Dienste ermöglichen es Angreifern, Tausende von „eindeutigen“ Konten einzurichten, ohne eine echte Infrastruktur zu unterhalten, insbesondere nicht authentifizierte temporäre E-Mail-Dienste, die sofortigen Zugriff ohne Kontoerstellung oder kostenlose unbegrenzte E-Mail-Aliasnamen bieten. Kunden können dieses binäre Feld verwenden, wenn sie Regeln zur Durchsetzung von Sicherheitseinstellungen erstellen, sich dafür entscheiden, alle temporären E-Mail-Adressen vollständig zu blockieren oder vielleicht jedem, der versucht, ein Konto mit einer temporären E-Mail-Adresse zu erstellen, eine Herausforderung auszustellen.

   

2. E-Mail-Risiko: Cloudflare analysiert E-Mail-Muster und Infrastruktur, um Risikostufen (niedrig, mittel, hoch) zu ermitteln, die Kunden in Sicherheitsregeln verwenden können. Wir wissen, dass nicht alle E-Mail-Adressen gleich sind; eine Adresse mit dem Format firstname.lastname@knowndomain.com birgt andere Risikomerkmale als xk7q9m2p@newdomain.xyz. Mit E-Mail-Risikostufen können Kunden bereits bei der Erstellung ihres Kontos ihre Toleranz gegenüber Risiken und Hürden zum Ausdruck bringen. 

Sowohl die Überprüfung auf Wegwerf-E-Mails als auch das E-Mail-Risiko sind jetzt in den Sicherheitsanalysen und Sicherheitsregeln verfügbar, sodass Website-Betreiber den Prozess der Kontoerstellung schützen können. Diese Erkennungen lösen ein grundlegendes Problem: Wenn ein Konto einen Missbrauch begeht, ist es bereits zu spät. Der Website-Betreiber hat die Akquisitionskosten bereits bezahlt, der betrügerische Nutzer hat Werbegutschriften verbraucht und die Behebung erfordert eine manuelle Überprüfung. Um verdächtige E-Mails zu bekämpfen, müssen Sie bei der Anmeldung für die entsprechenden Hürden sorgen – also in dem Moment, in dem es am wichtigsten ist.

Um Missbrauchsmuster zu verstehen, braucht man Einblick: nicht nur in das Netzwerk, sondern auch in die Kontoaktivitäten. Traditionell bedeutete Sicherheit, durch die Perspektive von IPs und isolierten HTTP-Anfragen zu betrachten, um automatisierte Aktivitäten zu erkennen. Doch Website-Betreiber denken nicht nur in Netzwerksignalen, sondern berücksichtigen auch ihre Benutzer und bekannten Konten. Deshalb erweitern wir unseren Werkzeugkasten zur Minderung von Risiken, um ihn der tatsächlichen Struktur von Anwendungen anzupassen, wobei der Schwerpunkt auf der nutzerbasierten Erkennung betrügerischer Aktivitäten liegt.

Angreifer können mühelos IPs wechseln, um ihre Spuren zu verwischen. Wenn sie jedoch gezwungen werden, immer wieder neue, glaubwürdige Konten zu erstellen, führt dies zu massiven Hürden, insbesondere in Verbindung mit dem Schutz der Kontoerstellung. Wenn wir über die Netzwerkschicht hinausblicken und betrügerische Aktionen einem bestimmten kompromittierten oder missbräuchlichen Konto zuordnen, können wir gezieltes Verhalten erkennen, das mit einem einzigen, hartnäckigen Akteur verbunden ist, und dem Missbrauch ein Ende setzen. Auf diese Weise verlagern wir die Verteidigungsstrategie auf die Kontoebene, anstatt mit rotierenden IP-Adressen und Residential Proxies Whack-a-Mole zu spielen. Das bedeutet, dass unsere Kunden missbräuchliches Verhalten bekämpfen können, basierend darauf, wie ihre Anwendungen die Identität trennen.

Um Website-Betreibern diese Möglichkeit zu bieten, führt Cloudflare eine Hashed User ID ein, die Kunden in Sicherheitsanalysen, Sicherheitsregeln und Managed Transforms verwenden können. Benutzer-IDs sind domainspezifische, kryptografisch gehashte Versionen der Werte im Feld Benutzername, und jede Benutzer-ID ist eine verschlüsselte, eindeutige und stabile Kennung, die für einen bestimmten Benutzernamen in einer Kundenanwendung generiert wird. Wichtig ist, dass der tatsächliche Nutzername von Cloudflare nicht als Teil dieses Dienstes protokolliert oder gespeichert wird. Wie bei der Überprüfung auf kompromittierte Anmeldedaten und der Erkennung von Kontoübernahmen, bei denen der Anmeldetraffic identifiziert und die Anmeldedaten dann zum Abgleich verschlüsselt werden, priorisieren wir die Privatsphäre der Endnutzer und geben unseren Kunden gleichzeitig die Möglichkeit, gegen betrügerisches Verhalten vorzugehen.

Der Zugriff auf gehashte Nutzer-IDs bietet Website-Betreibern folgende Möglichkeiten:

• Top-Nutzer sehen: Welche Konten zeigen die meiste Aktivität?

• Sehen Sie, wann sich ein einzelner Benutzer aus einem Land anmeldet, aus dem er sich normalerweise nicht anmeldet – oder aus mehreren Ländern an einem Tag!

• Traffic begrenzen basierend auf einzelnen Benutzern, z. B. durch das Blockieren eines Benutzers mit historisch verdächtigen Aktivitäten.

• Kombinieren Sie Felder, um zu sehen, wann Konten mit geleakten Anmeldedaten angegriffen werden.

• Sehen Sie, welche Netzwerkmuster oder Signale mit einzelnen Benutzern verbunden sind.

^{Die erweiterte Ansicht einer einzelnen Hashed User ID im Sicherheitsanalyse-Dashboard mit den Aktivitätsdetails dieses eindeutigen Nutzers, einschließlich seines Anmeldeorts und seines Browsers.} 

Diese Transparenz auf Nutzerebene verändert die Art und Weise, wie Website-Betreiber Traffic untersuchen und abwehren können. Anstatt einzelne Anfragen isoliert zu prüfen, können sich unsere Kunden ein vollständiges Bild davon machen, wie Angreifer auf legitime Nutzer abzielen und sich dort verstecken.

Wenn Sie mehr über diese im frühen Zugang verfügbare Funktion erfahren möchten, können Sie sich hier registrieren. Alle Bot Management Enterprise-Kunden können diese neuen Funktionen zum Schutz vor Kontomissbrauch noch heute nutzen. Wir würden das Gespräch gerne mit allen potenziellen Bot-Management-Kunden eröffnen.

Während Bot-Erkennungen weiterhin die Frage nach Automatisierung und Absicht beantworten, gehen Betrugserkennungen der Frage nach Authentizität auf den Grund. Zusammen geben sie Website-Betreibern umfassende Werkzeuge an die Hand, um das gesamte Spektrum von Konto-Missbrauch zu bekämpfen. Diese Suite ist ein weiterer Schritt in unserer kontinuierlichen Investition, die gesamte User Journey zu schützen – von der Kontoerstellung und Anmeldung bis zu sicheren Checkouts und der Integrität jeder einzelnen Interaktion.