Imperva - Вредоносные боты: пандемия интернета.

1 октября 2021 г. 16:01
 7737

Исследование кибератак в отчете Imperva Bad Bot Report 2021.

Введение.

В отчете Imperva Bad Bot Report 2021 исследуются кибератаки, которые ежедневно проникают через защиту веб-сайтов и сеют хаос.

Это 8-й ежегодный отчет о вредоносных ботах. Он основан на данных за 2020 год, собранных в глобальной сети Imperva, и включает сотни миллиардов запросов вредоносных ботов по тысячам доменов. Цель этого отчета – предоставить значимую информацию о природе и воздействии этих автоматизированных угроз для тех из вас, кто находится на переднем крае обеспечения безопасности веб-сайтов.

Данный отчет посвящен активности вредоносных ботов на прикладном уровне (уровень 7 модели OSI). Автоматизированные атаки на прикладном уровне отличаются от масштабных DDoS-атак, которые манипулируют сетевыми протоколами более низкого уровня. Вредоносные боты взаимодействуют с приложениями так же, как и легитимные пользователи, что делает их обнаружение и блокирование гораздо более сложным. Боты позволяют осуществлять высоко-частотные скоростные атаки на веб-сайты, мобильные приложения и API. Они позволяют операторам, злоумышленникам, недобросовестным конкурентам и мошенникам выполнять самый широкий спектр вредоносных действий.

К таким действиям относятся веб-скрейпинг, конкурентная разведка, сбор персональных и финансовых данных, брутфорс логинов, мошенничество с цифровой рекламой, атаки на отказ в обслуживании и отказ инвентаризации, спам, мошенничество с транзакциями и многое другое.

 

Что нового в отчете?

Отчет этого года является первым отчетом, опубликованным после полной интеграции системы Advanced Bot Protection (ранее Distil) в платформу безопасности приложений Imperva. Эта интеграция не только обеспечивает повышение производительности, но и предоставляет нам значительно более широкий набор данных. Это означает, что данные в этом отчете отличаются от данных, представленных в предыдущих выпусках:

  • Больше данных: Значительно больше трафика прошло через систему в 2020 году чем в предыдущие годы и в результате закон больших чисел приводит к изменениям в статистике. Это затрудняет сравнение результатов текущего отчета с данными аналитики прошлых лет.
  • Больше количество выявленных простых угроз: В качестве интегрированной платформы, включающей два уровня защиты от ботов - базовую защиту через Imperva's Cloud WAF и Advanced Bot Protection - простые боты блокируются Cloud WAF, в то время как Advanced Bot Protection справляется с умеренными и комплексными угрозами. По сравнению с предыдущими годами это позволяет увеличить долю простых ботов при разделении по уровням сложности.
  • Новая функция выявления событий, требующих особого внимания: инструмент, разработанный лабораторией Threat Research Labs позволяет нам отслеживать заслуживающие внимания события и предоставлять аналитические выводы по ним.

 

"Скальперы" и пандемия.

Вредоносные боты - это главная «эпидемия» современного интернета. Их печально известная способность имитировать человеческое поведение в очень убедительных формах помогает им оставаться незамеченными. Автоматизированные угрозы неизменно занимают первое место в списке проблем для многих компаний и специалистов по безопасности. Вредоносные боты процветают и на протяжении всей глобальной пандемии COVID-19, осваивая новые рынки и успешно скрываются в свете глобального роста интернет-трафика.

Наряду с увеличением объема «человеческого» интернет-трафика мы постоянно наблюдаем, как наше решение Advanced Bot Protection выявляет больше бот-трафика, чем когда-либо прежде. Для операторов ботов пандемия ознаменовалась увеличением объема деловых операций в Интернете и помогла увидеть больше возможностей для применения своих ботов со все возрастающей прибылью. В частности, «скальперы» активно воспользовались мировой конъюнктурой – от использования паники для накопления запасов товаров до захвата рынка игрового оборудования в заложники из-за нехватки поставок.

Скальпинг - это покупка товара, пользующегося высоким спросом или выпущенного ограниченным тиражом, с целью перепродажи по более высокой цене. Вредоносные боты используются для проверки наличия товаров на торговой площадке и резервирования любого доступного ассортимента. Это явление, которое когда-то было в основном сосредоточено в сфере продаж билетов на концерты, спортивные мероприятия или скупке выпускаемых ограниченным тиражом кроссовок, распространилось на новые рынки.

Есть две основные причины такого расширения: во-первых, пандемия привела к сокращению традиционных источников дохода скальперов. Концерты и спортивные мероприятия были отменены или проходили без зрителей. Вторая причина - высокий спрос на многие товары не смогли удовлетворить розничные магазины из-за различных проблем в цепи поставок.

В первые несколько недель пандемии, когда уровень паники в мире начал расти, мы заметили, что скальперы использовали ботов для накопления больших запасов масок для лица, дезинфицирующих средств, моющих средств, оборудования для домашних тренировок и многого другого. Маски марки N95 были выбраны в качестве мишени после того, как их использование было рекомендовано Всемирной организацией здравоохранения (ВОЗ), и в итоге их было невозможно найти но рекомендованной низкой цене ни в магазинах, ни в интернете.

 

Боты, которые бронируют приемы на вакцинацию?

Лаборатория исследования угроз компании Imperva отследила 372% рост трафика вредоносных ботов на веб-сайтах медицинских учреждений по всему миру с сентября 2020 года. В последнее время по мере распространения вакцин среди младших возрастных групп мы наблюдаем признаки активности ботов на сайтах, предлагающих запись на вакцинацию. Мы фиксировали активность со скоростью до 12 000 запросов в час.

 

Рис.1.Трафик вредоносных ботов на сайтах, связанных с здравоохранением.

Сегодня, когда мир потихоньку возвращается к нормальной жизни, многие риски связаны с распространением вакцин. Медицинские учреждения и аптеки готовятся стать следующей крупной мишенью для вредоносных ботов. Для управляющих вакцинацией перспектива того, что хакеры станут натравливать ботов на очереди на вакцинацию, чтобы забронировать и перепродать места - это повод для серьезного беспокойства.

 

Появление полезных ботов.

Частные лица и компании создают автоматизированные инструменты, такие как TurboVax, например - бот, который находит свободные места для вакцинации в Нью-Йорке. Эти полезные боты были созданы с благими намерениями, но не исключено, что другие люди создадут подобные инструменты для того, чтобы продать запись на прием к врачу тому, кто больше заплатит за возможность проскочить очередь. Вопрос в том, существует ли рынок перепродажи записи на вакцинацию назначений и сколько стоит очередь?

 

Вредоносные боты используют "инфодемию" для мошенничества.

В начале пандемии COVID-19 мы выявили вредоносных ботов, размещающих спам в комментариях в социальных сетях, что вызвало опасения по поводу глобального распространения afhvfwtdnbxtcrjuj мошенничества. Боты в социальных сетях также использовались для распространения фальшивых новостей - от связи 5G и коронавируса до историй о заполнении больниц манекенами. Часто эти сообщения содержали ссылки которые вели на фишинговые страницы. ВОЗ назвала такое распространение дезинформации «инфодемией».

 

"Гринчботы" зарабатывают миллионы на скупке игрового оборудования.

Скальперы сейчас атакуют и рынок игрового оборудования, на который они нацелились с помощью «гринчботов» во время праздников. В результате многие геймеры остались недовольны тем, что покупка игровой консоли нового поколения, GPU или CPU стала практически невозможной, поскольку боты скупили весь ассортимент. В недавнем обзоре рынка онлайн-скальпинга аналитик Майкл Дрисколл показал, что прибыль, полученная от этих продаж только на одной онлайн-площадке оценивается в $82 млн. Такая ситуация по прогнозам, сохранится в течение будущего года, так как предложение оборудования остается скудным, а спрос растет. Приведенный ниже график иллюстрирует феномен гринчботов – гигантское 788-процентное увеличение трафика вредоносных ботов на веб-сайты розничной торговли по всему миру в период с сентября по октябрь 2020 года. Это время не случайно, и оно идеально совпадает с датами предварительного заказа на игровые консоли нового поколения, а также ажиотажа перед праздничным сезоном.

 

Рис.2.Трафик вредоносных ботов на сайтах розничной торговли.

 

Правовая позиция в отношении скальперов.

В Великобритании член парламента Дуглас Чапман внес в Палату общин законопроект о введении уголовной ответственности за скальпинг игровых консолей. Кроме того, существует петиция на сайте Change.org под названием «Предотвратить покупку и перепродажу товаров по завышенным ценам». Правительство Великобритании отвечает на все петиции, которые набрали более 10 000 подписей, а эта петиция уже набрала более 17 000. При наборе 100 000 она будет рассмотрена для обсуждения в парламенте. Согласно интервью, опубликованному на сайте Forbes, скальперы заявляют, что это несправедливо, утверждая, что они всего лишь посредники и представляют собой законный бизнес. «Никто не жалуется, когда продуктовый магазин покупает молоко у фермера и перепродает его в два раза дороже».

 

Легальность веб-скрейпинга.

После решения апелляционного суда Девятого округа США в пользу разрешения скрейпинга общедоступного контента, LinkedIn подала петицию с просьбой о пересмотре дела Верховным судом в марте 2020. В апреле суд запросил ответ у организации HiQ Labs. В своем возражении HiQ заявила, что спорным является вопрос о том, может ли компания использовать Закон о компьютерном мошенничестве и злоупотреблении для предотвращения доступа к информации, которой пользователи сайта поделились в своих публичных профилях и которая доступна для просмотра любому пользователю с веб-браузером. Linkedin - не единственная социальная сеть, которая пытается бороться с веб-скрейпингом. В октябре 2020 года компания Facebook подала иск в США против двух компаний, участвовавших в международной операции по скрейпингу данных. Границы операции не ограничивалась только Facebook, охватывая Twitter, Amazon, LinkedIn и YouTube.

 

Вредоносные боты атакуют выборы?

Данные лаборатории исследования угроз Imperva свидетельствуют о значительном увеличении объема трафика продвинутых вредоносных ботов, нацеленных на правительственные сайты, пик посещаемости которых пришелся на ноябрь. Трафик вредоносных ботов на эти сайты с февраля по сентябрь был стабильно низким по объему. Неясно, какова была их цель, но тайминг вызывает вопросы.

 

Рис.3.Трафик вредоносных ботов на правительственных сайтах.

 

 

Распространенность и изощренность краж аккаунтов растет.

Атаки с захватом учетной записи (например, Credential Stuffing, Credential Cracking, перебор по словарям) становятся все более распространенными, поскольку все больше персональных данных доступно в интернете. Если на краже учеток определенного сервиса можно заработать деньги, вероятность атаки по-умолчанию высока. Данные Imperva Research Labs показывают, что треть всех попыток входа в систему за последние несколько месяцев были вредоносными. Веб-сайты сталкиваются с атаками на учетные записи в среднем 16% от времени функционирования. Почти половина (45%) попыток кражи аккаунта происходят из США, а основными целями этих атак являются ИТ-сервисы, сайты путешествий, развлечений и финансовые сервисы.

 

Раскрытие мошенничества с помощью успешного расследования логинов в систему.

Общеизвестно, что всплески количества неудачных попыток  входа в систему - это попытки ботов угнать учетку для дальнейшего мошенничества, однако и успешные попытки логина в сервисы также ценны для выявления мошенничества. Компании должны изучить любую учетную запись пользователя с аномально высоким числом успешных попыток входа в систему. Обычные пользователи не входят и не выходят из одного и того же аккаунта сотни раз в день. При изучении данных об успешных входах в систему обычно выявляются два типа поведения – «канареечные» учетные записи и учетные записи с высокой активностью.

 

"Канареечные" учетные записи в атаках на кражу аккаунта.

Первая модель поведения - это обнаружение «канареечных» учетных записей, созданных хакерами для оптимизации атак методом грубой силы с использованием методов Credential Stuffing и Credential Cracking. Эти учетные записи проверяют, сработали ли правила безопасности на целевом сайте в результате поведения бота. Метод прост: операторы пытаются войти в систему используя 4-5 краденных учетных данных, затем входят в свою канареечную учетную запись. Если доступ к канареечной учетной записи закрыт, это подтверждает, что сработало правило безопасности, и операторы бота должны изменить алгоритм атаки.

 

Рост мошенничества со счетами с высокой активностью.

Второе выявленный вектор атаки - использование операторами ботов многочисленных «легитимных» учетных записей для совершения мошенничества с кредитными картами. Если доступ к учетной записи получен с помощью Credential Stuffing, эта учетная запись скомпрометирована и с большей вероятностью может совершить мошенничество. Операторы ботов используют эти скомпрометированные учетные записи пользователей множество раз, чтобы воспользоваться преимуществами сохраненной кредитной карты, баланса подарочной карты или баллов лояльности. Такое сочетание повышенной активности при доступе к учетной записи и нестандартного поведения внутри нее часто является явным признаком мошеннической деятельности.

 

Чем занимаются вредоносные боты?

Проблема ботов

 

Как вредит бизнесу

Признаки компрометации

Отрасли под угрозой

Скрейпинг цен

Конкуренты собирают данные по вашим ценам чтобы получить преимущество на рынке.

 

Вы теряете бизнес, потому что ваш конкурент выигрывает SEO-поиск по цене.

 

Долговременная ценность клиентов снижается.

Снижение коэффициента конверсии.

 

Ваш SEO-рейтинг падает.

 

Необъяснимые замедления и простои, обычно вызванные агрессивным скрейпингом.

Все предприятия, которые публикуют свои цены:

  • Электронная коммерция
  • Онлайн-казино Авиакомпании
  •  

Скрейпинг контента сайта

Ваш контент - это ваш бизнес. Когда другие крадут ваш контент - они паразитируют на вашей работе.

 

Дублированный контент вредит вашему SEO-рейтингу.

Ваш контент появляется на других сайтах.

 

Необъяснимые замедления и простои, обычно вызванные агрессивными скреперами.

Аналогично скрейпингу цен, но с дополнениями:

 

Доски объявлений

Классификаторы

Торговые площадки

Финансы

Продажа билетов

Перебор паролей, сниффинг учетных данных

Проверка подходят ли краденные учетные данные на вашем сайте. В случае успеха последствия - блокировка аккаунтов, финансовое мошенничество и увеличение числа жалоб клиентов, влияющих на лояльность и будущие доходы.

 

Увеличение количества неудачных входов в систему.

Увеличение числа блокировок учетных записей клиентов и обращений в службу поддержки.

 

Увеличение случаев мошенничества (потерянные баллы за лояльность, украденные кредитные карты, несанкционированные покупки).

 

Увеличение количества отмененных сделок.

Любой сайт со страницей входа в систему, требующей ввода имени пользователя и пароль.

Проверка баланса подарочных сертификатов

Кража средств с подарочных карт.

 

Снижение репутации среди клиентов и потеря будущих продаж.

Всплеск количества переходов на страницы баланса подарочных карт.

 

Увеличение количества звонков в службу поддержки о пропажах баланса карт.

Электронная коммерция

Создание аккаунтов

Бесплатные учетные записи, используемые для спама или пропаганды.

 

Эксплуатация акций для новичков (деньги, очки, бесплатные игры).

Аномальное увеличение количества новых аккаунтов.

 

Увеличение количества спама в комментариях.

 

Падение коэффициента конверсии новых аккаунтов в платящих клиентов.

Мессенджеры

Социальные сети

Сайты знакомств

Форумы

Онлайн-казино

Мошенничество с кредитками

Преступники проверяют номера кредитных карт для сбора недостающих данных (дата истечения срока действия, CVV).

 

Наносит ущерб имиджу предприятия.

 

Увеличивает расходы на обслуживание клиентов из-за обработки возвратов мошеннических платежей.

Рост числа случаев мошенничества с кредитными картами.

 

Увеличение количества обращений в службу поддержки.

 

Увеличение количества возвратов платежей.

Любой сайт с процессингом платежей:

 

Электронная коммерция

Некоммерческие/ благотворительные организации

Авиакомпании

Путешествия

Продажа билетов

Финансы

Онлайн-казино

DoS-атаки

Замедляет производительность сайта, вызывает перебои в работе или простои.

 

Потеря дохода из-за недоступности сайта.

 

Репутационный ущерб.

Аномальные и необъяснимые скачки трафика на определенных страницах (вход, регистрация, продукт страницы и т.д.).

 

Увеличение количества жалоб клиентов.

Любой бизнес

DoI-атаки

Боты удерживают товары в корзинах сайта, препятствуя доступу к товарам реальных покупателей.

 

Репутационный ущерб.

 

Перепродажа товаров недобросовестными посредниками.

Увеличение количества неоплаченных товаров в корзине сайта.

 

Снижение коэффициента конверсии.

 

Увеличение количества звонков в службу поддержки по поводу недоступности товаров.

Дефицитные или чувствительные к времени:

 

Авиакомпании

Билеты

Электронная коммерция

Здравоохранение

Скальпинг

Боты используются для получения ограниченных и/или предпочтительных товаров и услуг.

 

Репутационный ущерб.

 

Замедляет работу веб-сайта, вызывая перебои в работе или простои, что приводит к потере доходов.

Замедление работы веб-сайта, возможно, даже отказ в обслуживании как побочный эффект многочисленных запросов к веб-серверу.

 

Снижение конверсии.

 

Увеличение количества обращений в службу поддержки по поводу отсутствия товара.

Авиакомпании

Билеты

Электронная коммерция

Здравоохранение

 

Краткое изложение результатов исследования.

Трафик вредоносных ботов достиг исторического максимума.

В 2020 году трафик вредоносных ботов сохранил тенденцию к росту и составил 25,6% от всего трафика глобальной сети, что является новым рекордом. В сочетании с легитимным бот-трафиком - 40,8% интернет-трафика в этом году было «не-человеческим», доля человеческого трафика же снизилась на 5,7% до 59,2%.

Рис.4.Доли трафика вредоносных ботов, легальных ботов и людей 2020.

Продвинутые боты по-прежнему доминируют.

Продвинутые постоянные боты (APB) по-прежнему составляют большую часть трафика вредоносных ботов - 57,1%. Они представляют собой комбинацию «умеренных» и комплексных ботов, которых сложнее обнаружить и устранить. Они используют случайные IP-адреса, заходят через анонимные прокси-серверы, меняют свою личность и имитируют человеческое поведение.

 

Рис.5.Уровни комплексности вредоносных ботов 2020.

Проблема вредоносных ботов носит межотраслевой характер.

Поскольку автоматизированные угрозы способны выполнять самые разные вредоносные действия, они затрагивают все отрасли. В каждой отрасли существует своя уникальная проблема вредоносных ботов, а некоторые угрозы являются общими для всех отраслей. Кража аккаунтов, а также сбор контента и цен - вот те проблемы, которые широко распространены во многих отраслях.

Рис.6.Процент вредоносного бот-трафика по отраслям.

Вредоносные боты на мобильных платформах.

В то время как вредоносные боты остаются верны самым популярным браузерам, в основном выдавая себя за Chrome, мы наблюдаем рост использования мобильных браузеров, таких как Mobile Safari и Mobile Chrome. На этом предпочтение мобильных браузеров не заканчивается, так как мы наблюдаем рост популярности атак, идущих с мобильных провайдеров. Доля вредоносных ботов, развернутых на Amazon, снизилась до 10,8%.

Рис.7.Вредоносные боты на мобильных платформах.

Вредоносные боты в мире.

В этом году Соединенные Штаты вновь сохранили первую позицию в списке стран происхождения вредоносного бот трафика: 40,5%, однако и эта цифра представляет собой значительное снижение - на 11,8% по сравнению с предыдущим годом.

Рис.8.Процент вредоносного бот-трафика по странам.

Продолжение исследования ждите вскоре в разделе «Аналитика» нашего блога!

 

Источник: https://www.imperva.com

Системы Информационной Безопасности