Před několika lety začaly výzkumné agentury a poskytovatelé služeb informační bezpečnosti informovat o počet DDoS útoků. Ale v prvním čtvrtletí roku 2019 ti samí výzkumníci oznámili ohromující o 84 %. A pak se věci jen zhoršily. Ani pandemie atmosféře míru nepomohla – naopak, kyberzločinci a spammeři ji vnímali jako perfektní signál k zahájení útoku a objem DDoS útoků se zvýšil. .
Věříme, že éra jednoduchých a snadno detekovatelných DDoS útoků (a jednoduchých nástrojů, které jim mohou zabránit) skončila. Kyberzločinci se v maskování těchto útoků zdokonalili a jsou stále sofistikovanější. Odvětví dark webu se posunulo od útoků hrubou silou k útokům na úrovni aplikací. Získává významné zakázky na narušování obchodních procesů, včetně těch, které probíhají zcela offline.
Vtrhnutí do reality
V roce 2017 vedla série DDoS útoků zaměřených na švédské dopravní služby k dlouhodobým V roce 2019 dánský národní železniční dopravce Systémy prodeje jízdenek byly vypnuty. V důsledku toho nefungovaly automaty na jízdenky a automatické brány na stanicích a více než 15 000 cestujících nemohlo cestovat. Také v roce 2019 způsobil silný kybernetický útok výpadek proudu v .
Důsledky DDoS útoků nyní pociťují nejen online uživatelé, ale i lidé, jak se říká, v reálném životě (IRL). Zatímco historicky se útočníci zaměřovali pouze na online služby, jejich cílem je nyní často narušení jakýchkoli obchodních operací. Podle našich odhadů má dnes více než 60 % útoků tento cíl – vydírání nebo nekalou soutěž. Obzvláště zranitelné jsou transakce a logistika.
Chytřejší a dražší
DDoS útoky jsou i nadále považovány za jeden z nejrozšířenějších a nejrychleji rostoucích typů kyberkriminality. Odborníci předpovídají, že jejich počet se od roku 2020 bude pouze zvyšovat. To se připisuje různým faktorům, včetně pokračujícího přesunu podniků do online prostředí v důsledku pandemie, rozvoje samotného odvětví stínové kyberkriminality a dokonce i .
DDoS útoky se kdysi staly „populárními“ díky snadnému nasazení a nízkým nákladům: ještě před pár lety je bylo možné iniciovat za 50 dolarů denně. Dnes se změnily jak cíle, tak metody útoku, což vedlo ke zvýšení jejich složitosti a následně i nákladů. Zatímco ceny začínají na 5 dolarech za hodinu jsou stále uváděny (ano, kyberzločinci mají ceníky a tarify), chráněný web nyní stojí přes 400 dolarů za den a „zakázkové“ zakázky pro velké společnosti mohou stát i několik tisíc dolarů.
V současné době existují dva hlavní typy DDoS útoků. Prvním je znemožnění dostupnosti online zdroje po určitou dobu. Útočníci si účtují poplatky za dobu trvání útoku. V tomto případě se operátor DDoS útoku nezajímá o žádný konkrétní výsledek a klient v podstatě platí za útok předem. Tyto metody jsou relativně levné.
Druhým typem jsou útoky, které jsou placeny pouze tehdy, když je dosaženo konkrétního výsledku. Ty jsou zajímavější. Jsou mnohem obtížnější na provedení, a proto i výrazně dražší, protože útočníci si musí zvolit nejúčinnější metody k dosažení svých cílů. Ve společnosti Variti někdy vedeme s kyberzločinci celé šachové partie, při kterých okamžitě mění taktiku a nástroje a snaží se zneužít několik zranitelností najednou na více úrovních. Jedná se jednoznačně o týmové útoky, při kterých hackeři dobře vědí, jak reagovat a čelit akcím obránců. Boj proti nim je pro firmy nejen obtížný, ale i velmi nákladný. Například jeden z našich klientů, velký online prodejce, zaměstnával téměř tři roky 30členný tým, jehož úkolem byl bojovat proti DDoS útokům.
Podle Varitiho tvoří jednoduché DDoS útoky, prováděné čistě z nudy, trollingu nebo nespokojenosti s konkrétní společností, v současnosti méně než 10 % všech DDoS útoků (nechráněné zdroje samozřejmě mohou mít jiné statistiky; díváme se na data našich klientů). Zbytek je dílem profesionálních týmů. Tři čtvrtiny všech „špatných“ botů jsou přitom sofistikovaní boti, které je obtížné odhalit pomocí většiny moderních tržních řešení. Napodobují chování skutečných uživatelů nebo prohlížečů a vkládají vzorce, které ztěžují rozlišení mezi „dobrými“ a „špatnými“ požadavky. Díky tomu jsou útoky méně nápadné, a proto efektivnější.
Data z GlobalDots
Nové cíle DDoS
Zpráva Analytici společnosti GlobalDots tvrdí, že boti nyní generují 50 % veškerého webového provozu, přičemž 17,5 % z toho tvoří škodliví boti.
Boti jsou schopni ničit životy firem různými způsoby: kromě toho, že „ruší“ webové stránky, se nyní také zabývají zvyšováním nákladů na reklamu, klikáním na reklamy, analýzou cen, aby je snížili o halíř a nalákali zákazníky, a krádeží obsahu pro různé nekalé účely (například jsme nedávno (Jde o webové stránky s kradeným obsahem, které nutí uživatele luštit cizí captcha.) Boti výrazně zkreslují různé obchodní statistiky, a v důsledku toho jsou rozhodnutí činěna na základě nesprávných dat. DDoS útok je často zástěrkou pro ještě závažnější zločiny, jako je hacking a krádež dat. A nyní vidíme, jak se objevuje zcela nová třída kybernetických hrozeb: narušení specifických obchodních procesů společnosti, často offline (protože v dnešní době nemůže být nic zcela „offline“). Obzvláště často se setkáváme s narušením logistických procesů a komunikace se zákazníky.
„Nedoručeno“
Logistické obchodní procesy jsou pro většinu společností klíčové, takže se často stávají cílem útoků. Zde je několik možných scénářů útoků.
Není k dispozici
Pokud pracujete v oblasti elektronického obchodování, pravděpodobně již znáte problém falešných objednávek. Během útoků boti zahlcují logistické zdroje a znepřístupňují produkty ostatním kupujícím. Za tímto účelem zadávají obrovské množství falešných objednávek, které se rovná maximálnímu počtu položek na skladě. Tyto položky jsou poté nezaplacené a po chvíli se vrátí na webové stránky. Ale čin je již hotový: byly označeny jako „vyprodané“ a někteří kupující již přešli ke konkurenci. Tato taktika je dobře známá v odvětví prodeje letenek, kde boti někdy okamžitě „vyprodají“ všechny letenky téměř okamžitě poté, co se stanou dostupnými. Například jeden z našich klientů, velká letecká společnost, trpěl takovým útokem zorganizovaným čínskými konkurenty. Během pouhých dvou hodin jejich boti rezervovali 100 % letenek do určitých destinací.
Boti na tenisky
Další oblíbený scénář: boti okamžitě koupí celou produktovou řadu a jejich majitelé je později dále prodávají za nadsazenou cenu (průměrná přirážka 200 %). Tito boti se nazývají „sneaker boti“, protože tento problém je v módním průmyslu tenisek, zejména u limitovaných edicí, dobře známý. Boti během několika minut uchvátí nově vydané řady a zablokují zdroj, takže k němu skuteční uživatelé nemají přístup. Jedná se o vzácný případ, kdy se boti objevují v lesklých módních časopisech. Stejný scénář však obvykle používají i překupníci vstupenek na významné akce, jako jsou fotbalové zápasy.
Jiné scénáře
Ale to není všechno. Existuje ještě sofistikovanější forma logistického útoku, která hrozí vážnými ztrátami. K tomu může dojít, pokud služba nabízí možnost „platby na dobírku“. Boti zadávají falešné objednávky na takové zboží a používají falešné nebo dokonce skutečné adresy pro nic netušící zákazníky. Společnostem vznikají obrovské náklady na doručení, skladování a následnou komunikaci. Během této doby nejsou položky k dispozici pro ostatní zákazníky a také zabírají skladový prostor.
Co dalšího? Boti zanechávají hromady falešných negativních recenzí na produkty, blokují funkci „vrácení peněz“, blokují transakce, kradou zákaznická data, spamují skutečné kupující – existuje mnoho možností. Dobrým příkladem je nedávný útok na DHL, Hermes, AldiTalk, Freenet a Snipes.com. Hackeři Tvrdili, že „testují systémy ochrany proti DDoS útokům“, ale nakonec vypnuli firemní klientský portál a všechna API. To vedlo k velkým přerušením dodávek zboží zákazníkům.
Zavolej zítra
Federální obchodní komise (FTC) loni oznámila dvojnásobný nárůst stížností od firem a spotřebitelů na spam a podvodné telefonáty od botů. Podle některých odhadů se jedná o všechny hovory.
Stejně jako u DDoS útoků, i cíle TDoS útoků – masivních útoků botů na telefony – sahají od žertů až po nekalou soutěž. Boti mohou přetížit kontaktní centra a zabránit skutečným zákazníkům v kontaktu s nimi. Tato metoda je účinná nejen pro call centra s živými operátory, ale i pro ta, která používají AVR systémy. Boti mohou také masivně napadat další komunikační kanály se zákazníky (chaty, e-maily), narušovat CRM systémy a do určité míry dokonce negativně ovlivňovat řízení lidských zdrojů, protože operátoři jsou zahlceni snahou zvládat krizi. Útoky lze také synchronizovat s tradičními DDoS útoky na online zdroje oběti.
Nedávno podobný útok narušil činnost záchranných složek. V USA se obyčejní lidé v zoufalé nouzi o pomoc prostě nemohli dovolat. Přibližně ve stejnou dobu dublinskou zoo potkal podobný osud: nejméně 5 000 lidí obdrželo spamové textové zprávy, které je naléhavě vyzývaly, aby zavolali na telefonní číslo zoo a požádali o fiktivní osobu.
Nebude tam žádná Wi-Fi
Kyberzločinci mohou také snadno zablokovat celou firemní síť. Blokování IP adres se často používá k boji proti DDoS útokům. Tato praxe je však nejen neúčinná, ale také velmi nebezpečná. IP adresy se snadno nacházejí (například pomocí monitorování zdrojů) a snadno se nahrazují (nebo falšují). Před nástupem do Variti měli naši klienti případy, kdy blokování konkrétní IP adresy jednoduše deaktivovalo Wi-Fi v jejich vlastních kancelářích. V jednom případě klient dostal konkrétní IP adresu a on zablokoval přístup ke svému zdroji pro uživatele z celého regionu, aniž by si toho dlouho všiml, protože zdroj jinak fungoval perfektně.
Co je nového?
Nové hrozby vyžadují nová bezpečnostní řešení. Tato nová tržní mezera se však teprve začíná objevovat. I když existuje řada řešení pro efektivní boj proti jednoduchým útokům botů, složitější jsou mnohem náročnější. Mnoho řešení se stále spoléhá na blokování IP adres. Jiná vyžadují čas na shromáždění počátečních dat, aby mohla začít pracovat, a těchto 10–15 minut se může stát zranitelností. Existují řešení založená na strojovém učení, která dokáží identifikovat boty na základě jejich chování. Týmy na druhé straně se mezitím chlubí, že již mají boty, které dokáží napodobovat skutečné vzorce, nerozeznatelné od lidských. Stále není jasné, kdo zvítězí.
Co byste měli dělat, pokud musíte bojovat proti profesionálním bottingovým týmům a komplexním, vícestupňovým útokům na více úrovních najednou?
Naše zkušenosti ukazují, že bychom se měli zaměřit na filtrování nelegitimních požadavků bez blokování IP adres. Složité DDoS útoky vyžadují filtrování na více vrstvách, včetně transportní vrstvy, aplikační vrstvy a API rozhraní. To nám umožňuje zmírnit i nízkofrekvenční útoky, které jsou obvykle neviditelné, a proto často propouštějí. A konečně, musíme propouštět všem legitimním uživatelům, a to i během aktivní fáze útoku.
Za druhé, firmy potřebují schopnost vytvářet si vlastní vícestupňové bezpečnostní systémy, které kromě nástrojů pro prevenci DDoS útoků zahrnují i systémy proti podvodům, krádeži dat, ochraně obsahu atd.
Za třetí, musí fungovat v reálném čase od prvního požadavku – schopnost okamžitě reagovat na bezpečnostní incidenty výrazně zvyšuje šance na zabránění útoku nebo zmírnění jeho ničivé síly.
Blízká budoucnost: Správa reputace a sběr velkých dat pomocí botů
Historie DDoS útoků se vyvíjela od jednoduchých ke složitým. Zpočátku bylo cílem útočníků vypnout webové stránky. Nyní zjišťují, že je efektivnější zaměřit se na klíčové obchodní procesy.
Sofistikovanost útoků bude nevyhnutelně dále růst. Kromě toho, co špatní boti dělají nyní – krádeže a falšování dat, vydírání, spam – budou boti shromažďovat data z velkého množství zdrojů (Big Data) a vytvářet „spolehlivé“ falešné účty pro správu vlivu, správu reputace nebo hromadný phishing.
V současné době si investovat do DDoS útoků a ochrany před boty mohou dovolit pouze velké společnosti, a ani ty nemohou vždy plně monitorovat a filtrovat provoz generovaný boty. Jediným pozitivním aspektem sofistikovanějších útoků botů je, že stimuluje trh k vývoji chytřejších a pokročilejších ochranných řešení.
Co si myslíte o budoucnosti odvětví ochrany před boty a jaká řešení jsou dnes na trhu potřeba?
Zdroj: www.habr.com
