Mensch gegen Maschine

Gerhard Zehethofer · May 5, 2021
media:acquia_dam_asset:efc1ef98-58fe-4fb6-9990-c92abef8c1b1

Wie Händler Retail-Bots blockieren und so das Kundenerlebnis schützen können

Die Schäden, die bösartige Bots anrichten können, sind weithin bekannt – ganze Websites und Internetdienste können durch sie lahmgelegt werden. Unter Bots oder Botnetzen versteht man Gruppierungen von Tausenden von Geräten, die durch bösartige Software infiziert oder kompromittiert wurden. Die Malware befindet sich unerkannt auf den Geräten und wird über einen zentralen Befehlsserver gesteuert, der die Bots anweist, bestimmte Aktionen auszuführen. Neuerdings verzeichnen Sicherheitsexperten eine Zunahme einfacherer, weniger zerstörerischer Bots, die einen einzigen Zweck erfüllen – den Bestand von Online-Shops an aktuell begehrten Artikeln aufzukaufen, bevor tatsächliche Kunden eine Kaufchance haben. Im Anschluss verkaufen die Bots diese Artikel gegen einen Aufpreis an die Kunden zurück, die im Online-Shop leer ausgegangen sind. Während der Pandemie war dieses Phänomen vor allem bei der Nintendo Switch beobachtbar: Lager der Händler waren leergekauft, während die Geräte bei eBay mit einem erheblichen Preisaufschlag angeboten wurden – schlecht für den Verkäufer und für den Kunden.

Funktionsweise der Retail-Bots

Retail-Bots überwachen automatisch die Lagerbestände der führenden Einzelhändler. Sobald beliebte Artikel vorrätig sind, kaufen die Bots möglichst viele von ihnen auf. Sie geben sich dabei als gewöhnlicher, menschlicher Kunde aus, der auf der Website einkaufen möchte. Im Kaufvorgang selbst gibt es augenscheinlich keinen Unterschied zu einem „echten“ Kunden: Die Bots legen einen Artikel in den Einkaufswagen, geben Versandinformationen ein und schließen die Bezahlung ab. Dann wiederholen sie den Vorgang immer und immer wieder bis die jeweiligen Artikel ausverkauft sind. Recherchiert man ein paar Stunden später, wird man feststellen, dass die Artikel bei eBay und ähnlichen Plattformen auftauchen und dort für das Doppelte oder Dreifache des ursprünglichen Preises angeboten werden. Diese Aktivität wird als „Scalping“ bezeichnet und ist vor allem aus dem Eventbereich bei Eintrittskarten für Veranstaltungen bekannt, findet im Retail-Bereich aber immer mehr Anwendung.

Einer der produktivsten aktiven Retail-Bots heißt „Birdbot“. Er ist frei verfügbar und wurde ursprünglich entwickelt, um den Einkauf und Checkout bei Walmart und Best Buy in den USA zu automatisieren. Aber wie funktioniert Birdbot?

  1. Nutzer laden Birdbot herunter und führen das Programm auf ihren lokalen Computern aus.
  2. Sie konfigurieren Birdbot mit:
    1. Aufgaben: Gegenstände, die sie kaufen möchten.
    2. Profilen: Versand-, Rechnungs- und Zahlungsinformationen.
    3. Bevollmächtigten: Liste der Internet-Proxys, die Birdbot verwenden soll. Ein Proxy ist ein Server, der es Nutzern erlaubt, ihren Internetverkehr zu routen, um den tatsächlichen Ursprung zu verbergen. Durch die Verwendung von Proxies verbirgt Birdbot also die Herkunft des Nutzers. Dadurch wird verhindert, dass die Website des Händlers den Bot blockiert, da ständig unterschiedliche Internetadressen verwendet werden.
    4. Einstellungen: In erster Linie, wohin Birdbot Benachrichtigungen über Erfolg oder Misserfolg des Kaufs senden soll.
  3. Birdbot ahmt einen normalen Webbrowser nach, indem es einen User-Agent konfiguriert. Ein User-Agent ist eine Anwendung mit der die Art und Weise bestimmt werden kann, wie sich Browser, Smartphones und andere Geräte identifizieren, damit eine Website weiß, wie sie den Inhalt so formatieren muss, dass er am besten zu diesem Gerät passt.
  4. Birdbot führt dann einen Code aus, der es ihm ermöglicht, Benutzerinteraktionen nachzuahmen, einschließlich des Checkouts, der Übermittlung von Zahlungsinformationen und der Auswahl von Versandoptionen.
  5. Birdbot loggt sich nicht ein. Stattdessen nutzt es die Funktion „Gast“.
  6. Birdbot wiederholt diesen Vorgang viele Male pro Minute. Sobald der gewünschte Artikel auf Lager ist, kauft Birdbot ihn automatisch nach.

Digitale Identität zeigt, wer der wahre Kunde ist

Wie können Händler nun aber herausfinden, ob sie es mit einem echten Kunden oder einem Bot(netz) zu tun haben? Im Kern der Frage befindet sich ein digitales Identitätsproblem. Hierfür müssen eine Reihe von Kontext- und Verhaltensfaktoren untersucht und dazu genutzt werden, Entscheidungen in Echtzeit zu treffen. Unter Verwendung dieser Vielzahl von Datenquellen können Identitätsplattformen Real-Time-Entscheidungen treffen und die Kunden-Login- und Checkout-Prozesse so anpassen, dass sie schwieriger und komplizierter werden, wenn der Verdacht besteht, dass ein Bot versucht, eine Transaktion zu tätigen, während echte Kunden ohne jegliche Schwierigkeiten durch den Checkout-Prozess gelangen.

Zugriffsschutz durch Gateway und Identitätskontext

Um Bot-Traffic zu bekämpfen, müssen Anbieter feststellen, woher der Internet-Traffic kommt. Ein Gateway untersucht mithilfe von Tokens und Sessions den Traffic und entscheidet, ob Zugriff auf die Website gewährt wird. Sessions werden grundsätzlich erlaubt, wenn sich ein Nutzer durch Username und Passwort oder andere Authentifizierungslösungen identifiziert.

Identitätsplattformen nutzen Bausteine, sogenannte „Nodes“, um eine Customer Journey zu definieren, die mehrere Faktoren berücksichtigt:

  • IP-Adressen: Ein Node kann Listen mit potentiellen Bot-IP-Adressen in Echtzeit aufrufen und auf dieser Grundlage Zugriffe gewähren oder ablehnen.
  • reCAPTCHA: Unternehmen können den Kunden auffordern, ein reCAPTCHA auszufüllen. Bots haben mit dem System Probleme. reCAPTCHA sollten Shop-Anbieter nur einsetzen, wenn unbedingt nötig.
  • Device-Kontext: Echte Kunden verwenden Geräte, die wichtige Kontextinformationen liefern. Mit dem
  • Einverständnis des Kunden können Unternehmen das Gerät (Laptop, Smartphone, Tablet) scannen und Informationen wie User-Agent sammeln, um einen „Fingerabdruck“ des Geräts zu erstellen.
  • Login: Wenn Unternehmen ihre Kunden zum Einloggen ermutigen, können sie ein Profil erstellen, das es dem Unternehmen ermöglicht, ihre Geräte mit ihrer Identität abzugleichen.
  • Verhaltensbiometrische Daten: Maschinelles Lernen und KI-Funktionen können Daten zur Interaktion des Nutzers auf der Website liefern und ihn so identifizieren.
  • A/B-Tests: Unternehmen können A/B-Tests durchführen und sicherstellen, dass diese legitimen und Bot-Datenverkehr korrekt klassifizieren und nicht versehentlich echte Kunden vertreiben.

Fazit

Zwar gibt es keinen Königsweg, um alle Retail-Bots zu besiegen, aber dank einer Vielzahl an Lösungen gibt es intelligente, zukunftssichere Ansätze, die die Probleme für Händler entschärfen können. Die korrekte Authentifizierung von Nutzern ist kein einfaches, einmaliges Ereignis mit binärem Ergebnis mehr. Stattdessen bedarf es einer kontinuierlichen Überprüfung und Bewertung der Authentizität von Websitezugriffen.