Gli attacchi DDoS rimangono uno degli argomenti più discussi nel campo della sicurezza informatica. Allo stesso tempo, non tutti sanno che il traffico bot, che costituisce lo strumento di tali attacchi, comporta molti altri pericoli per il business online. Con l’aiuto dei bot, gli aggressori possono non solo disabilitare un sito web, ma anche rubare dati, distorcere i parametri aziendali, aumentare i costi pubblicitari e rovinare la reputazione del sito. Analizziamo le minacce in modo più dettagliato e ricordiamo anche i metodi di protezione di base.
parsing
I bot analizzano (ovvero raccolgono) costantemente i dati su siti di terze parti. Rubano contenuti e poi li pubblicano senza citare la fonte. Allo stesso tempo, la pubblicazione di contenuti copiati su siti di terze parti riduce la risorsa sorgente nei risultati di ricerca, il che significa una riduzione del pubblico, delle vendite e degli introiti pubblicitari del sito. I bot monitorano anche i prezzi per vendere i prodotti a un prezzo inferiore e allontanare i clienti. Comprano varie cose per rivenderle a un prezzo più alto. Può creare falsi ordini per caricare risorse logistiche e rendere le merci non disponibili agli utenti.
L'analisi ha un impatto significativo sul lavoro dei negozi online, in particolare quelli il cui traffico principale proviene da siti aggregatori. Dopo aver analizzato i prezzi, gli aggressori fissano il prezzo del prodotto leggermente inferiore al prezzo originale e ciò consente loro di aumentare notevolmente nei risultati di ricerca. Anche i portali di viaggi sono spesso soggetti ad attacchi bot: vengono rubate informazioni su biglietti, tour e hotel.
In generale, la morale è semplice: se la tua risorsa ha contenuti unici, i robot sono già arrivati da te.
L'analisi può essere effettuata in base a improvvisi aumenti di traffico, nonché monitorando le politiche dei prezzi dei concorrenti. Se altri siti copiano istantaneamente le tue variazioni di prezzo, significa che molto probabilmente sono coinvolti i bot.
Trucchi
L'aumento degli indicatori è un effetto concomitante della presenza di bot sul sito. Ogni azione del bot si riflette nelle metriche aziendali. Poiché la quota di traffico illegittimo è significativa, le decisioni basate sull’analisi delle risorse sono spesso errate.
Gli esperti di marketing studiano il modo in cui i visitatori utilizzano una risorsa ed effettuano acquisti. Esaminano i tassi di conversione e i lead e identificano le principali canalizzazioni di vendita. Le aziende effettuano anche test A/B e, a seconda dei risultati, scrivono strategie per il funzionamento del sito. I robot influenzano tutti questi indicatori, il che porta a decisioni irrazionali e costi di marketing inutili.
Gli aggressori possono anche utilizzare i bot per influenzare la reputazione dei siti, compresi i social network. La situazione è la stessa con i siti di voto online, dove i bot spesso gonfiano gli indicatori in modo che vinca l’opzione desiderata dagli aggressori.
Come rilevare gli imbrogli:
- Controlla le tue analisi. Un aumento netto e inaspettato di qualsiasi indicatore, come i tentativi di accesso, spesso indica un attacco bot.
- Monitorare i cambiamenti nell'origine del traffico. Succede che un sito riceva un numero insolitamente elevato di richieste da paesi insoliti: questo è strano se non hai indirizzato loro le campagne.
Attacchi DDoS
Molte persone hanno sentito parlare di attacchi DDoS o addirittura li hanno vissuti. Vale la pena notare che una risorsa non è sempre disabilitata a causa del traffico elevato. Gli attacchi API sono spesso a bassa frequenza e, mentre l'applicazione si blocca, il firewall e il sistema di bilanciamento del carico funzionano come se nulla fosse accaduto.
Triplicare il traffico verso la home page potrebbe non avere alcun impatto sulle prestazioni del sito, ma lo stesso carico direttamente sulla pagina del carrello porta a problemi poiché l'applicazione inizia a inviare più richieste a tutti i componenti coinvolti nelle transazioni.
Come rilevare gli attacchi (i primi due punti possono sembrare ovvi, ma non trascurateli):
- I clienti si lamentano che il sito non funziona.
- Il sito o le singole pagine sono lente.
- Il traffico sulle singole pagine aumenta notevolmente e vengono visualizzate numerose richieste per la pagina del carrello o di pagamento.
Hacking di account personali
BruteForce, o forza bruta delle password, è organizzato utilizzando i bot. I database trapelati vengono utilizzati per l'hacking. In media, gli utenti presentano non più di cinque opzioni di password per tutti gli account online e le opzioni vengono facilmente selezionate dai bot che controllano milioni di combinazioni nel più breve tempo possibile. Quindi gli aggressori possono rivendere le attuali combinazioni di login e password.
Gli hacker possono anche impossessarsi di account personali e utilizzarli a proprio vantaggio. Ad esempio, ritira i bonus accumulati, ruba i biglietti acquistati per eventi: in generale, ci sono molte opzioni per ulteriori azioni.
Riconoscere BruteForce non è troppo difficile: il fatto che gli hacker stiano tentando di hackerare un account è indicato da un numero insolitamente elevato di tentativi di accesso falliti. Anche se succede che gli aggressori inviino un numero limitato di richieste.
Facendo clic
Il clic sugli annunci pubblicitari da parte dei bot può portare a perdite significative per le aziende se lasciato inosservato. Durante un attacco, i bot fanno clic sugli annunci pubblicati sul sito e quindi influenzano in modo significativo i parametri.
Gli inserzionisti ovviamente si aspettano che i banner e i video pubblicati sui siti vengano visti da utenti reali. Ma poiché il numero di impressioni è limitato, la pubblicità, a causa dei bot, viene mostrata a sempre meno persone.
I siti stessi vogliono aumentare i propri profitti visualizzando annunci pubblicitari. E gli inserzionisti, se vedono traffico di bot, riducono il volume dei posizionamenti sul sito, il che porta a perdite e al deterioramento della reputazione del sito.
Gli esperti identificano i seguenti tipi di frode pubblicitaria:
- False visioni. I bot visitano molte pagine del sito Web e generano visualizzazioni di annunci illegittime.
- Fare clic su frode. I bot fanno clic sui collegamenti pubblicitari nella ricerca, il che comporta un aumento dei costi pubblicitari della ricerca.
- Retargeting. I bot visitano più siti legittimi prima di fare clic per creare un cookie più costoso per gli inserzionisti.
Come rilevare i clic? In genere, dopo che il traffico è stato eliminato dalle frodi, il tasso di conversione diminuisce. Se vedi che il volume dei clic sui banner è superiore al previsto, ciò indica la presenza di bot sul sito. Altri indicatori di traffico illegittimo possono includere:
- Aumento dei clic sugli annunci pubblicitari con una conversione minima.
- La conversione diminuisce, anche se il contenuto pubblicitario non è cambiato.
- Clic multipli da un indirizzo IP.
- Basso tasso di coinvolgimento degli utenti (compreso un gran numero di rimbalzi) con un aumento dei clic.
Cerca le vulnerabilità
I test di vulnerabilità vengono eseguiti da programmi automatizzati che cercano punti deboli nel sito e nell'API. Gli strumenti più diffusi includono Metasploit, Burp Suite, Grendel Scan e Nmap. Entrambi i servizi appositamente assunti dall'azienda e gli aggressori possono scansionare il sito. I siti negoziano con specialisti di hacking per verificarne la protezione. In questo caso, gli indirizzi IP degli auditor sono inclusi nelle liste bianche.
Gli aggressori testano i siti senza previo accordo. In futuro, gli hacker utilizzeranno i risultati dei controlli per i propri scopi: ad esempio, potranno rivendere informazioni sui punti deboli del sito. Accade che le risorse vengano scansionate non intenzionalmente, ma come parte dello sfruttamento della vulnerabilità delle risorse di terze parti. Prendiamo WordPress: se viene trovato un bug in qualsiasi versione, i bot cercano tutti i siti che utilizzano quella versione. Se la tua risorsa è presente in un elenco di questo tipo, puoi aspettarti una visita da parte degli hacker.
Come rilevare i bot?
Per individuare i punti deboli di un sito, gli aggressori effettuano innanzitutto una ricognizione, che porta ad un aumento delle attività sospette sul sito. Filtrare i bot in questa fase aiuterà a evitare attacchi successivi. Sebbene i bot siano difficili da rilevare, le richieste inviate da un indirizzo IP a tutte le pagine di un sito possono essere un segnale di allarme. Vale la pena prestare attenzione all'aumento delle richieste di pagine inesistenti.
Spam
I bot possono compilare moduli di siti Web con contenuti spazzatura a tua insaputa. Gli spammer lasciano commenti e recensioni, creano registrazioni e ordini falsi. Il metodo classico per combattere i bot, il CAPTCHA, in questo caso è inefficace perché irrita gli utenti reali. Inoltre, i bot hanno imparato a bypassare tali strumenti.
Molto spesso, lo spam è innocuo, ma capita che i bot offrano servizi dubbi: pubblicano annunci per la vendita di articoli e medicinali contraffatti, promuovono collegamenti a siti pornografici e indirizzano gli utenti a risorse fraudolente.
Come rilevare i bot spammer:
- Se sul tuo sito appare spam, molto probabilmente sono in realtà i bot a pubblicarlo.
- Ci sono molti indirizzi non validi nella tua mailing list. I bot spesso lasciano email inesistenti.
- I tuoi partner e inserzionisti si lamentano del fatto che i lead di spam provengono dal tuo sito.
Da questo articolo potrebbe sembrare difficile combattere i robot da soli. In effetti è così ed è meglio affidare la protezione dei siti web ai professionisti. Anche le grandi aziende spesso non sono in grado di monitorare autonomamente il traffico illegittimo e ancor meno di filtrarlo, poiché ciò richiede competenze significative e grandi spese per il team IT.
Variti protegge siti Web e API da tutti i tipi di attacchi bot, inclusi frodi, DDoS, clic e scraping. La nostra tecnologia proprietaria Active Bot Protection ti consente di identificare e bloccare i bot senza CAPTCHA o bloccare gli indirizzi IP.
Fonte: habr.com