So richtig angefangen hat alles Anfang Juli. Da wurde unser sehr wachsames Security-Team hellhörig. Im Fokus: unsere Loginseite login.sipgate.com. Auf die richten wir seit jeher einen besonders fürsorglichen Blick – eben weil sie ein Einfallstor für Betrugsmaschen aller Art sein kann. So auch am 6. Juli. Da prasselten plötzlich zehn- bis hundertmal so viele Logins wie üblich auf unsere damit ziemlich überforderten Login-Server ein. Schnell war klar, dass hier Angriffe von einem Netzwerk gefahren werden.
Begehrte Ziele: die Accounts
Das Prinzip dahinter: Menschen mit nicht so furchtbar hehren Absichten probieren automatisiert Listen mit bekannten Benutzernamen- und Passwort-Kombinationen auf Anmeldeseiten durch. Da gar nicht so wenige Leute Benutzernamen und Passwort mehrfach verwenden, ist die Chance groß, mit Hilfe dieser Listen unbefugten Zutritt zu ein paar Konten und Accounts zu bekommen. Und gerade nach erbeuteten Accounts lecken sich viele Betrüger die Finger. In unserem Fall bietet sich so ein gekidnapptes Profil für eine bunte Vielzahl an dann folgenden Telefonie-Betrugsmaschen an, auf die wir hier gar nicht detaillierter eingehen möchten.
Komplexe Angriffsstrategie
Im Falle des Angriffs auf unsere Loginseite realisierte unser Security-Trupp, dass diese ziemlich komplex gefahren wurden und es sich als schwierig herausstellte, berechtigte Login-Versuche von automatisierten Bot-Attacken zu unterscheiden. Es gab zahlreiche fehlgeschlagene Logins zu vielen verschiedenen Accounts. Es ließ sich also herzlich wenig am Account-Namen selber festmachen. Dazu wurden etliche verschiedene IP-Adressen eingesetzt – kein Einzelfall in Zeiten von günstigen Cloud-Services und professionell mietbaren Botnetzen. Klassische Methoden, etwa das Sperren von einzelnen IP-Adressen, hätte hier also gar nichts bewirkt.
reCAPTCHA: bewährt und kampferprobt
Um unsere Kund:innen vor den Angriffen zu schützen, musste eine schnelle, breit gefächerte und sichere Lösung her. Und so fiel die Wahl des für das im Moment geeignetste Mittel auf reCAPTCHA. Bei dem von Google gehosteten Dienst müssen Kund:innen bei uns vereinzelt (in den meisten Fällen läuft das Ganze unsichtbar im Hintergrund) vor dem Login einen Text eingeben oder eine Art Bilderrätsel lösen. Für uns war klar, dass es für den Moment und angesichts der hohen Intensität der Angriffe das geeignetste Tool ist, um die Accounts unserer Kund:innen zu schützen. Eben weil die Server von Google stabil sind und nicht ohne Weiteres in die Knie gehen. Und weil die Modelle stetig und ausgiebig mit Daten gefüttert werden (Fluch und Segen einer Datenkrake) und entsprechend wasserdicht sind. Unterm Strich: reCAPTCHA hat sich schon mehrfach bewährt und ist kampferprobt.
Vergebliche Login-Versuche
Einige unsere Nutzer:innen wollen gar nicht, dass Google weiß, dass sie sipgate Kund:innen sind – was wir sehr gut nachvollziehen können. Und: In manchen Ländern, wie zum Beispiel in China, werden Google-Dienste blockiert. Das alles ist uns bewusst. Und natürlich haben wir das auf dem Schirm, wenn es um die große, nachhaltige Lösung des Problems geht. Kund:innen zeigen sich zudem durch die unsichtbar im Hintergrund laufende Prüfung manchmal vollkommen zurecht leicht verwundert, wenn ein Login-Versuch nicht von Erfolg gekrönt ist. Aber die Alternative – eben dass jede Kundin und jeder Kunde vor dem Login erstmal Dinge ausfüllen oder lösen muss – war und ist für uns auch keine. Im Zuge der Nachbesserungen ist es nun zum Beispiel möglich, ein manuelles Captcha zu lösen, falls man geblockt wurde.
Für den Moment Luft verschafft
Wir wissen, dass wir es mit einer Truppe Angreifer, die sich offensichtlich professionell dem so genannten "credential stuffing" widmen, zu tun haben. Nachdem wir übergangsweise eine eigene Lösung, ganz unabhängig von Google, eingesetzt haben, wurden die Attacke-Skripts zackig umgeschrieben. Also mussten wir schnell wieder zu reCaptcha switchen, um nicht nackt dazustehen. Der Punkt ist: Wir haben uns für den Moment Luft verschafft, wollen mittelfristig aber eine andere Lösung. Zumal die Gegenseite nicht schläft und weiter ihre virtuellen Messer wetzt. Gerade jetzt stecken kluge und Technik affine sipgate Mitarbeiter:innen ihre Köpfe zusammen, probieren Alternativen und entwickeln eine Google unabhängige langfristige Lösung. Wie geht es euch denn mit der aktuellen Situation? Habt ihr schlechte/gute Erfahrung mit unserem Login-Prozess gemacht? Oder: Ihr habt gute Vorschläge, ReCAPTCHA-Alternativen, Erfahrungswerte? Dann immer gerne her damit – zum Beispiel als Kommentar unter diesen Blogbeitrag ...
Zur aktuellen Situation
Die Angriffe auf unsere Accounts haben nicht nachgelassen. Im Gegenteil: Wir haben das Gefühl, dass sie noch intensiviert wurden. Und dass gleich mehrere Gruppen parallel Jagd machen. Nachdem wir ein paar alternative Lösungen ausprobiert und die Angreifer-Netzwerke ihre Strategien jedes Mal zackig angepasst haben, werden wir nun dauerhaft auf die reCAPTCHA-Karte setzen. Denn, wie oben beschrieben, sie bietet uns und euch aktuell den verlässlichsten Schutz. Für alle, die bei reCAPTCHA Bauchschmerzen bekommen, haben wir uns eine schnelle, unkomplizierte Lösung ausgedacht. Ihr möchtet von der reCAPTCHA-Regel ausgenommen werden? Dann meldet euch einfach beim Team unserer Kundenbetreuer:innen, die euch dann sofort auf eine allow list setzen und freischalten lassen können. Hier geht es zum entsprechenden Formular.
