Die Bedrohung durch Residential Proxies
(feistyduck.com)- Residential Proxies leiten Traffic über private Anschlussadressen oder ähnliche Netzwerk-Endpunkte um und wachsen im Zuge der Scraping-Nachfrage, die Sperren von Datacenter-IPs umgehen will
- Websites müssen den Zugang für normale Nutzer offenhalten und zugleich unerwünschten automatisierten Traffic herausfiltern; Scans von einer einzelnen IP oder einem Cloud-Server lassen sich schnell blockieren
- Proxy-Netzwerke können durch eingebettete App-SDKs, unzureichende Einwilligungsdialoge, Router-Hacking oder günstige Geräte mit vorinstallierter Malware entstehen; Nutzer können unwissentlich Teil eines Botnets werden
- Wenn Heim- oder Unternehmensnetzwerke zu Proxy-Exit-Nodes werden, drohen Bandbreitenverbrauch, blockierter Website-Zugriff, mögliche Besuche von Ermittlungsbehörden und Risiken für den Zugriff auf interne Netzwerke
- Zu Hause sind die Trennung wichtiger Geräte und Traffic-Monitoring nötig; in Unternehmen sind das Blockieren unbekannter Geräte, Protective DNS, Threat Intelligence und Traffic-Inspektion realistische Schutzmaßnahmen
Warum Residential Proxies genutzt werden
- Residential Proxies bezeichnen in der Regel Proxys, die an privaten Anschlussadressen installiert sind, und werden für Web-Scraping und ähnliche Aktivitäten genutzt
- Internetdienste müssen der breiten Öffentlichkeit ihre Dienste anbieten und gleichzeitig unerwünschten Traffic erkennen und entfernen
- Wer große Websites von einer einzelnen IP-Adresse aus überwacht, wird oft schnell blockiert
- Selbst wenn man das Scanning auf Server-IPs mehrerer Cloud-Anbieter ausweitet, lässt sich Datacenter-Traffic leicht pauschal blockieren
- Die Alternative, die diese Lücke ausnutzt, besteht darin, Residential Endpoints zu mieten
Zwischen legaler Nutzung und Missbrauch
- Scraping kann unerwünscht sein, ist aber an sich nicht immer illegal
- Intensives Scraping wird jedoch zu einem betrieblichen Problem, gegen das Websites sich schützen müssen
- Die Einsatzzwecke reichen von legitimen Fällen wie kostenpflichtigem Netzwerk-Monitoring bis hin zu kriminellem Missbrauch
- Kriminelle, die Websites angreifen wollen, nutzen mitunter Residential Proxies, um ihre Spuren zu verschleiern
- Die Verbreitung von KI und KI-Agenten steigert die Nachfrage zusätzlich
- KI-Anbieter wollen Internetinhalte für das Training nutzen
- KI-Nutzer möchten ihren Tools denselben unbeschränkten Zugang geben, den sie selbst haben
- Derzeit wird angenommen, dass Bots mehr Internet-Traffic erzeugen als Menschen
Zahlungsversuche, die Scraping-Ökonomie zu verändern
- Als mögliche Lösung wird diskutiert, Bots für den Zugriff zahlen zu lassen und so die Scraping-Ökonomie anzupassen
- Cloudflare stellte 2025 die Idee von pay-per-crawl vor und entwickelte später zusammen mit Coinbase den x402 standard
- AWS hat dieses Zahlungsprotokoll kürzlich als unterstützte Funktion in seinem WAF-Produkt hinzugefügt
Aufbau der Netzwerke: SDKs und unzureichende Einwilligung
- Für den Betrieb von Residential Proxies werden viele weltweit verteilte Netzwerk-Endpunkte benötigt
- Manche Methoden treten nach außen hin in legaler Form auf
- Es werden Software Development Kits für massenhaft vorhandene Geräte wie Smartphones oder TVs erstellt
- App-Entwickler werden dafür bezahlt, Proxy-Software in ihre Anwendungen einzubauen
- Im schlimmsten Fall wird Proxy-Code stillschweigend zusammen mit kostenlosen Apps verteilt
- Selbst im besten Fall wird Endnutzern ein Einwilligungsdialog angezeigt und sie können sich für den Betrieb als Proxy-Exit-Node entscheiden; fraglich bleibt aber, ob diese Einwilligung wirklich informiert erfolgt
- Ein Bericht von Include Security darüber, wie Smart-TVs zu Knoten der KI-Scraping-Ökonomie werden, erklärt diese Struktur
- Laut Synthient sind die meisten Opfer Bewohner
Illegale Aufbauweisen: Router-Hacking und vorinstallierte Malware
- Ein anderer Ansatz besteht darin, das Netzwerk mit allen möglichen Mitteln aufzubauen, einschließlich illegaler Methoden
- Router-Hacking ist weiterhin ein wirksames Mittel zum Aufbau solcher Netze
- Es sind Fälle dokumentiert, in denen einige günstige Geräte mit vorinstallierter Residential-Proxy-Malware verkauft wurden
- Nutzer kaufen vielleicht einen digitalen Bilderrahmen für Familienfotos, der in Wirklichkeit wie ein Trojanisches Pferd funktioniert und Teil eines Botnets werden kann
- KrebsOnSecurity hat die Funktionsweise solcher Netzwerke in einem ausführlichen Bericht offengelegt
Schäden für Heimnetzwerke
- Mit Glück beschränkt sich der Schaden darauf, dass jemand über die IP-Adresse des Nutzers Scraping betreibt und nur etwas Bandbreite verbraucht
- Wenn eine IP-Adresse mit einem Residential-Proxy-Netzwerk in Verbindung gebracht wird, kann der Zugriff auf manche Websites nicht mehr möglich sein
- Schlimmer noch: Jemand kann die IP-Adresse des Nutzers als Zwischenstation für Cyberangriffe verwenden, was zu einem Besuch des FBI oder lokaler Behörden führen kann
- Residential-Proxy-Netzwerke werden zunehmend von Kriminellen als Zugang zu internen Netzwerken genutzt
Risiko des Zugriffs auf interne Netzwerke
- Einige Anbieter behaupten, den Zugriff auf private IP-Adressen zu beschränken, doch der entsprechende Code ist meist schlecht geschrieben
- Viele Android-basierte Geräte scheinen mit der Android Debug Bridge ausgeliefert zu werden, die für die Fehlerbehebung durch Hersteller gedacht ist
- Innerhalb desselben Netzwerks können solche Geräte schnell gerootet werden
- Auch in Unternehmensnetzwerken gibt es zunehmend Hinweise auf Residential-Proxy-Traffic
- Ein Bericht von Infoblox stellt fest, dass bei bis zu 65 % der Kunden von Protective-DNS-Diensten Traffic zu Residential-Proxy-Netzwerken vorhanden ist
- Erkennungsrate bei Kunden: {p:65}
Abwehrpunkte für Privathaushalte und Unternehmen
- Zu Hause kann der Einsatz virtueller Netzwerke erwogen werden, um wichtige Geräte von den übrigen Geräten zu trennen
- Auch Traffic-Monitoring kann helfen
- Wenn jedoch jemand im Haushalt eine neue App auf dem TV installieren kann, gibt es keine sichere Lösung
- In Unternehmensumgebungen wäre es ideal, unbekannte Geräte nicht ins Netzwerk zu lassen, doch die Umsetzung ist in der Praxis schwierig
- Protective-DNS-Dienste, die bekannte Residential-Proxy-Netzwerke kennen, können helfen, solchen Traffic einzudämmen und problematische Geräte zu finden
- Manche Geräte können DNS umgehen und sich direkt mit hartcodierten IP-Adressen verbinden
- In solchen Fällen sind gute Threat Intelligence sowie Inspektion und Monitoring des Unternehmens-Traffics nötig
1 Kommentare
Kommentare auf Lobste.rs
Da kommt einem schon der zynische Gedanke, wer diesen Markt überhaupt erst lebensfähig gemacht hat 🙄
Hunderte Millionen IoT-Geräte, Smart-TVs und Netzwerkgeräte bekommen keine Updates mehr, und oft gibt es die Hersteller gar nicht mehr
Manche wurden von Anfang an mit Malware ausgeliefert, aber die meisten wurden einfach vernachlässigt – niemand ist verantwortlich, und doch ist es ein Problem für alle
Ich frage mich, ob es eine einfache Möglichkeit gibt, zu erkennen, ob Geräte im Heimnetzwerk so etwas tun, außer sie per Man-in-the-Middle-Methode zu überwachen
Dieses Tool scheint zu prüfen, ob meine IP-Adresse oder eine andere IP Spuren aufweist, als Residential Proxy genutzt worden zu sein
Wie genau es ist, weiß ich nicht; bei dynamischen IPs könnte das Ergebnis vermutlich beeinflusst werden
Bei der Passage „Viele Android-basierte Geräte werden mit aktivierter Android Debug Bridge ausgeliefert, die eigentlich der Fehlerbehebung durch den Hersteller dient, und lassen sich im selben Netzwerk leicht rooten“ war mein Vertrauen sofort weg
Wenn man im Labor neue Builds testet oder debuggt, ist
adb remoteauf den Geräten extrem praktisch, und in einer Situation mit schneller iterativer Entwicklung ist es mühsam, separate Builds für Entwicklung und Kundenauslieferung zu erstellenIch habe selbst einmal verhindert, dass ein Gerät mit weit offenem ADB ausgeliefert wurde, und damals ziemlich lautstark darauf hingewiesen
Ich kann mir vorstellen, dass es anderswo einfach durchgewunken wurde
Eine der Firmen, die Residential Proxies verkaufen, ist Bright Data, und sie kommt auch im verlinkten Artikel vor
Sie sollen den SDK-Weg nutzen, bei dem sie den Proxy in das von ihnen bereitgestellte SDK einbauen
Meta und X versuchten offenbar, dagegen vorzugehen, verloren aber