Antaŭ kelkaj jaroj, esploragentejoj kaj informasekurecaj servaj provizantoj komencis raporti nombro da DDoS-atakoj. Sed antaŭ la unua trimonato de 1, la samaj esploristoj raportis sian mirindan je 84%. Kaj tiam ĉio iris de forto al forto. Eĉ la pandemio ne kontribuis al la atmosfero de paco - male, ciberkrimuloj kaj spamistoj konsideris tion bonega signalo por ataki, kaj la volumo de DDoS pliiĝis. .
Ni kredas, ke la tempo por simplaj, facile detekteblaj DDoS-atakoj (kaj simplaj iloj kiuj povas malhelpi ilin) finiĝis. Ciberkrimuloj pliboniĝis kaŝante ĉi tiujn atakojn kaj plenumi ilin kun kreskanta sofistikeco. La malluma industrio moviĝis de krudforto al aplikiĝ-nivelaj atakoj. Ŝi ricevas seriozajn ordonojn por detrui komercajn procezojn, inkluzive de tute eksterretaj.
Rompi en la realon
En 2017, serio de DDoS-atakoj celantaj svedajn transportservojn rezultigis longedaŭran . En 2019, la nacia fervojisto de Danio Vendaj sistemoj falis. Kiel rezulto, biletmaŝinoj kaj aŭtomataj pordegoj ne funkciis ĉe la stacidomoj, kaj pli ol 15 mil pasaĝeroj ne povis foriri. Ankaŭ en 2019, potenca ciberatako kaŭzis elektropaneon en .
La sekvoj de DDoS-atakoj nun estas spertaj ne nur de interretaj uzantoj, sed ankaŭ de homoj, kiel ili diras, IRL (en la reala vivo). Dum atakantoj historie celis nur retajn servojn, ilia celo nun estas ofte interrompi ajnajn komercajn operaciojn. Ni taksas, ke hodiaŭ pli ol 60% de atakoj havas tian celon - por ĉantaĝo aŭ maljusta konkurenco. Transakcioj kaj loĝistiko estas speciale vundeblaj.
Pli inteligenta kaj pli multekosta
DDoS daŭre estas konsiderita unu el la plej oftaj kaj plej rapide kreskantaj specoj de ciberkrimoj. Laŭ fakuloj, ekde 2020 ilia nombro nur pliiĝos. Ĉi tio rilatas al diversaj kialoj - kun eĉ pli granda transiro de komerco interrete pro la pandemio, kaj kun la disvolviĝo de la ombra industrio de ciberkrimo, kaj eĉ kun .
DDoS-atakoj iam iĝis "popularaj" pro sia facileco de deplojo kaj malalta kosto: antaŭ nur kelkaj jaroj ili povus esti lanĉitaj por $ 50 tage. Hodiaŭ, ambaŭ atakceloj kaj metodoj ŝanĝiĝis, pliigante ilian kompleksecon kaj, kiel rezulto, koston. Ne, prezoj de $5 por horo ankoraŭ estas en la prezlistoj (jes, ciberkrimuloj havas prezolistojn kaj tarifhorarojn), sed por retejo kun protekto ili jam postulas de $400 tage, kaj la koston de "individuaj" mendoj por grandaj kompanioj. atingas plurajn milojn da dolaroj.
Nuntempe ekzistas du ĉefaj specoj de DDoS-atakoj. La unua celo estas fari interretan rimedon neatingebla dum certa tempodaŭro. Atakantoj ŝargas por ili dum la atako mem. En ĉi tiu kazo, la DDoS-funkciigisto ne zorgas pri iu specifa rezulto, kaj la kliento efektive pagas antaŭen por lanĉi la atakon. Tiaj metodoj estas sufiĉe malmultekostaj.
La dua tipo estas atakoj, kiuj estas pagitaj nur kiam certa rezulto estas atingita. Estas pli interese kun ili. Ili estas multe pli malfacile efektivigeblaj kaj tial signife pli multekostaj, ĉar atakantoj devas elekti la plej efikajn metodojn por atingi siajn celojn. Ĉe Variti, ni foje ludas tutajn ŝakludojn kun ciberkrimuloj, kie ili tuj ŝanĝas taktikojn kaj ilojn kaj provas rompi en multajn vundeblecojn je pluraj niveloj samtempe. Ĉi tiuj estas klare teamaj atakoj, en kiuj la piratoj scias perfekte kiel reagi kaj kontraŭstari la agojn de la defendantoj. Trakti kun ili estas ne nur malfacila, sed ankaŭ tre multekosta por kompanioj. Ekzemple, unu el niaj klientoj, granda reta komercisto, subtenis teamon de 30 homoj dum preskaŭ tri jaroj, kies tasko estis kontraŭbatali DDoS-atakojn.
Laŭ Variti, simplaj DDoS-atakoj faritaj nur pro enuo, trolado aŭ malkontento kun aparta kompanio nuntempe okupas malpli ol 10% de ĉiuj DDoS-atakoj (kompreneble, senprotektitaj rimedoj povas havi malsamajn statistikojn, ni rigardas niajn klientajn datumojn) . Ĉio alia estas laboro de profesiaj teamoj. Tamen, tri kvaronoj de ĉiuj "malbonaj" robotoj estas kompleksaj robotoj malfacile detekteblaj uzante plej modernajn merkatsolvojn. Ili imitas la konduton de realaj uzantoj aŭ retumiloj kaj enkondukas ŝablonojn, kiuj malfaciligas distingi inter "bonaj" kaj "malbonaj" petoj. Ĉi tio faras atakojn malpli rimarkindaj kaj tial pli efikaj.
Datumoj de GlobalDots
Novaj DDoS-celoj
Raporto de analizistoj de GlobalDots diras, ke bots nun generas 50% de la tuta rettrafiko, kaj 17,5% el ili estas malicaj robotoj.
Botoj scias kiel ruinigi la vivojn de kompanioj en malsamaj manieroj: krom la fakto, ke ili "frakasas" retejojn, ili nun okupiĝas ankaŭ pri kreskantaj reklamaj kostoj, alklakante reklamojn, analizante prezojn por fari al ili centonon malpli kaj forlogi aĉetantojn, kaj ŝteli enhavon por diversaj malbonaj celoj (ekzemple, ni lastatempe pri retejoj kun ŝtelita enhavo, kiuj devigas uzantojn solvi aliulojn kapĉasojn). Botoj tre distordas diversajn komercajn statistikojn, kaj kiel rezulto, decidoj estas faritaj surbaze de malĝustaj datumoj. DDoS-atako ofte estas fumŝirmilo por eĉ pli gravaj krimoj kiel hakado kaj ŝtelo de datumoj. Kaj nun ni vidas, ke tute nova klaso de ciberminacoj estis aldonita - ĉi tio estas interrompo de la laboro de iuj komercaj procezoj de la kompanio, ofte eksterrete (ĉar en nia tempo nenio povas esti tute "senrete"). Precipe ofte ni vidas, ke loĝistikaj procezoj kaj komunikadoj kun klientoj malfunkcias.
"Ne liverita"
Loĝistikaj komercaj procezoj estas ŝlosilaj por plej multaj kompanioj, do ili ofte estas atakitaj. Jen la eblaj atakscenaroj.
Ne disponebla
Se vi laboras en interreta komerco, tiam vi verŝajne jam konas la problemon de falsaj mendoj. Kiam atakitaj, robotoj troŝarĝas loĝistikajn rimedojn kaj faras varojn neatingeblaj por aliaj aĉetantoj. Por fari tion, ili metas grandegan nombron da falsaj mendoj, egala al la maksimuma nombro da produktoj en stoko. Ĉi tiuj varoj tiam ne estas pagitaj kaj post iom da tempo estas resenditaj al la retejo. Sed la faro jam estas farita: ili estis markitaj kiel "elĉerpita", kaj iuj aĉetantoj jam iris al konkurantoj. Ĉi tiu taktiko estas bone konata en la flugbileta industrio, kie bots foje tuj "elvendas" ĉiujn biletojn preskaŭ tuj kiam ili fariĝas disponeblaj. Ekzemple, unu el niaj klientoj, granda flugkompanio, suferis de tia atako organizita de ĉinaj konkurantoj. En nur du horoj, iliaj robotoj mendis 100% de biletoj al certaj cellokoj.
Sneakers bots
La sekva populara scenaro: bots tuj aĉetas tutan vicon da produktoj, kaj iliaj posedantoj vendas ilin poste je ŝveligita prezo (averaĝe 200% markado). Tiaj bots estas nomitaj sneakers bots, ĉar ĉi tiu problemo estas bone konata en la moda sneakers industrio, precipe limigitaj kolektoj. Botoj aĉetis novajn liniojn, kiuj ĵus aperis en preskaŭ minutoj, dum ili blokis la rimedon por ke veraj uzantoj ne povu trairi tie. Ĉi tio estas malofta kazo, kiam bots estis skribitaj pri modaj brilaj revuoj. Kvankam, ĝenerale, revendistoj de biletoj por malvarmeta eventoj kiel futbalaj matĉoj uzas la saman scenaron.
Aliaj scenaroj
Sed tio ne estas ĉio. Estas eĉ pli kompleksa versio de atakoj kontraŭ loĝistiko, kiu minacas gravajn perdojn. Ĉi tio povas esti farita se la servo havas la opcion "Pago post ricevo de varoj". Botoj lasas falsajn mendojn por tiaj varoj, indikante falsajn aŭ eĉ realajn adresojn de nesuspektindaj homoj. Kaj kompanioj faras enormajn kostojn por liverado, stokado kaj ekscio de detaloj. Nuntempe, varoj ne estas disponeblaj por aliaj klientoj, kaj ili ankaŭ okupas spacon en la magazeno.
Kio alia? Botoj lasas amasajn falsajn malbonajn recenzojn pri produktoj, blokas la funkcion "pago-reveno", blokante transakciojn, ŝtelas klientajn datumojn, spamas realajn klientojn - estas multaj ebloj. Bona ekzemplo estas la lastatempa atako kontraŭ DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hakistoj , ke ili "provas DDoS-protektajn sistemojn", sed finfine ili demetis la komercan klientportalon de la kompanio kaj ĉiujn APIojn. Kiel rezulto, estis gravaj interrompoj en la livero de varoj al klientoj.
Voku morgaŭ
Pasintjare, la Federacia Komerca Komisiono (FTC) raportis duobligon de plendoj de entreprenoj kaj uzantoj pri spamado kaj fraŭdaj telefonvokoj. Laŭ kelkaj taksoj, ili sumiĝas al ĉiuj vokoj.
Same kiel kun DDoS, la celoj de TDoS - amasaj bot-atakoj sur telefonoj - iras de "falsaĵoj" ĝis senskrupula konkurado. Botoj povas troŝarĝi kontaktcentrojn kaj malhelpi realajn klientojn maltrafi. Ĉi tiu metodo estas efika ne nur por vokcentroj kun "vivaj" funkciigistoj, sed ankaŭ kie AVR-sistemoj estas uzataj. Botoj ankaŭ povas amase ataki aliajn kanalojn de komunikado kun klientoj (babilejo, retpoŝtoj), interrompi la funkciadon de CRM-sistemoj kaj eĉ, iagrade, negative influi personaran administradon, ĉar telefonistoj estas troŝarĝitaj provante alfronti la krizon. La atakoj ankaŭ povas esti sinkronigitaj kun tradicia DDoS-atako sur la interretaj rimedoj de la viktimo.
Lastatempe, simila atako interrompis la laboron de la savservo en Usono - ordinaraj homoj tre bezonantaj helpon simple ne povis trairi. Ĉirkaŭ la sama tempo, Dublina zoo suferspertis la saman sorton, kun almenaŭ 5000 homoj ricevantaj spam-SMS tekstmesaĝojn instigantajn ilin urĝe voki la telefonnumeron de la zoo kaj peti fikcian personon.
Ne estos Wi-Fi
Ciberkrimuloj ankaŭ povas facile bloki tutan kompanian reton. IP-blokado ofte estas uzata por kontraŭbatali DDoS-atakojn. Sed ĉi tio estas ne nur neefika, sed ankaŭ tre danĝera praktiko. La IP-adreso estas facile trovebla (ekzemple per monitorado de rimedoj) kaj facila por anstataŭigi (aŭ parodii). Ni havis klientojn antaŭ ol veni al Variti, kie blokado de specifa IP simple malŝaltis Wi-Fi en siaj propraj oficejoj. Estis kazo kiam kliento estis "glitita" kun la bezonata IP, kaj li blokis aliron al sia rimedo al uzantoj de tuta regiono, kaj ne rimarkis tion dum longa tempo, ĉar alie la tuta rimedo funkciis perfekte.
Kio nova
Novaj minacoj postulas novajn sekurecajn solvojn. Tamen, ĉi tiu nova merkata niĉo ĵus komencas aperi. Estas multaj solvoj por efike forpuŝi simplajn bot-atakojn, sed kun kompleksaj ĝi ne estas tiel simpla. Multaj solvoj ankoraŭ praktikas IP-blokantajn teknikojn. Aliaj bezonas tempon por kolekti la komencajn datumojn por komenci, kaj tiuj 10-15 minutoj povas fariĝi vundebleco. Estas solvoj bazitaj sur maŝina lernado, kiuj permesas vin identigi roboton per ĝia konduto. Kaj samtempe, teamoj de la "alia" flanko fanfaronas, ke ili jam havas robotojn, kiuj povas imiti verajn ŝablonojn, nedistingeblajn de homaj. Ankoraŭ ne estas klare, kiu venkos.
Kion fari se vi devas trakti profesiajn bot-teamojn kaj kompleksajn, plurfazajn atakojn sur pluraj niveloj samtempe?
Nia sperto montras, ke vi devas koncentriĝi pri filtri kontraŭleĝajn petojn sen bloki IP-adresojn. Kompleksaj DDoS-atakoj postulas filtri ĉe pluraj niveloj samtempe, inkluzive de la transportnivelo, aplikaĵnivelo kaj API-interfacoj. Danke al tio, eblas forpuŝi eĉ malaltfrekvencajn atakojn, kiuj estas kutime nevideblaj kaj tial ofte maltrafitaj. Fine, ĉiuj realaj uzantoj devas esti permesitaj tra, eĉ dum la atako estas aktiva.
Due, kompanioj bezonas la kapablon krei siajn proprajn plurŝtupajn protektajn sistemojn, kiuj, krom iloj por malhelpi DDoS-atakojn, havos enkonstruitajn sistemojn kontraŭ fraŭdo, ŝtelo de datumoj, protekto de enhavo ktp.
Trie, ili devas funkcii en reala tempo ekde la unua peto - la kapablo tuj respondi al sekurecaj okazaĵoj multe pliigas la eblecojn malhelpi atakon aŭ redukti ĝian detruan potencon.
Proksima estonteco: administrado de reputacio kaj kolekto de grandaj datumoj uzante robotojn
La historio de DDoS evoluis de simpla al kompleksa. Komence, la celo de la atakantoj estis ĉesigi la ejon de funkcii. Ili nun trovas ĝin pli efika celi kernajn komercajn procezojn.
La sofistikeco de atakoj daŭre pliiĝos, ĝi estas neevitebla. Krome, kion malbonaj robotoj faras nun - ŝtelo kaj falsado de datumoj, ĉantaĝo, spamado - robotoj kolektos datumojn de granda nombro da fontoj (Grandaj Datumoj) kaj kreos "fortajn" falsajn kontojn por administrado de influo, reputacio aŭ amasa phishing.
Nuntempe, nur grandaj kompanioj povas pagi investi en DDoS kaj bot-protekto, sed eĉ ili ne povas ĉiam plene monitori kaj filtri trafikon generitan de bots. La sola pozitiva afero pri la fakto, ke bot-atakoj fariĝas pli kompleksaj, estas, ke ĝi stimulas la merkaton krei pli inteligentajn kaj pli altnivelajn sekurecajn solvojn.
Kion vi pensas - kiel disvolviĝos la industrio pri robotprotektado kaj kiaj solvoj necesas sur la merkato nun?
fonto: www.habr.com