DDoS-aanvallen blijven een van de meest besproken onderwerpen op het gebied van informatiebeveiliging. Tegelijkertijd weet niet iedereen dat botverkeer, het instrument voor dergelijke aanvallen, nog veel meer gevaren voor onlinebedrijven met zich meebrengt. Met behulp van bots kunnen aanvallers niet alleen een website uitschakelen, maar ook gegevens stelen, bedrijfsstatistieken vervormen, de advertentiekosten verhogen en de reputatie van de site ruïneren. Laten we de bedreigingen in meer detail analyseren en u ook herinneren aan de basisbeschermingsmethoden.
Parseren
Bots parseren (dat wil zeggen verzamelen) voortdurend gegevens op sites van derden. Ze stelen inhoud en publiceren deze vervolgens zonder de bron te vermelden. Tegelijkertijd verlaagt het plaatsen van gekopieerde inhoud op sites van derden de bronbron in de zoekresultaten, wat een vermindering van het publiek, de verkoop en de advertentie-inkomsten van de site betekent. Bots volgen ook prijzen om producten goedkoper te verkopen en klanten weg te jagen. Ze kopen verschillende dingen om tegen een hogere prijs door te verkopen. Kan valse orders creëren om logistieke middelen te laden en goederen niet beschikbaar te maken voor gebruikers.
Parseren heeft een aanzienlijke impact op het werk van online winkels, vooral op winkels waarvan het grootste verkeer afkomstig is van aggregatorsites. Na het analyseren van de prijzen stellen aanvallers de prijs van het product iets lager in dan de oorspronkelijke prijs, waardoor ze merkbaar kunnen stijgen in de zoekresultaten. Reisportals zijn ook vaak onderhevig aan botaanvallen: informatie over tickets, tours en hotels wordt van hen gestolen.
Over het algemeen is de moraal simpel: als uw bron unieke inhoud heeft, zijn de bots al naar u toe gekomen.
Parseren kan worden gedaan door plotselinge pieken in het verkeer, maar ook door het prijsbeleid van concurrenten te monitoren. Als andere sites uw prijswijzigingen onmiddellijk kopiëren, betekent dit dat er hoogstwaarschijnlijk bots bij betrokken zijn.
Bedrog
Verhoogde indicatoren zijn een gelijktijdig effect van de aanwezigheid van bots op de site. Elke botactie wordt weerspiegeld in bedrijfsstatistieken. Omdat het aandeel van illegaal verkeer aanzienlijk is, zijn beslissingen op basis van resource-analyse vaak onjuist.
Marketeers bestuderen hoe bezoekers een bron gebruiken en aankopen doen. Ze kijken naar conversiepercentages en leads en identificeren de belangrijkste verkoopkanalen. Bedrijven voeren ook A/B-tests uit en schrijven, afhankelijk van de resultaten, strategieën voor de werking van de site. Bots beïnvloeden al deze indicatoren, wat leidt tot irrationele beslissingen en onnodige marketingkosten.
Aanvallers kunnen ook bots gebruiken om de reputatie van sites, inclusief sociale netwerken, te beïnvloeden. De situatie is hetzelfde met online stemsites, waar bots vaak indicatoren opblazen, zodat de optie die de aanvallers willen winnen.
Hoe bedrog te detecteren:
- Controleer uw analyses. Een scherpe en onverwachte toename van welke indicator dan ook, zoals inlogpogingen, betekent vaak een botaanval.
- Houd veranderingen in de herkomst van het verkeer in de gaten. Het komt voor dat een site een ongewoon groot aantal verzoeken ontvangt uit ongebruikelijke landen. Dit is vreemd als u daar geen campagnes op heeft gericht.
DDoS-aanvallen
Veel mensen hebben gehoord van DDoS-aanvallen of hebben er zelfs ervaring mee. Het is vermeldenswaard dat een bron niet altijd wordt uitgeschakeld vanwege veel verkeer. API-aanvallen zijn vaak laagfrequent en terwijl de applicatie crasht, werken de firewall en load balancer alsof er niets is gebeurd.
Het verdrievoudigen van het verkeer naar de startpagina heeft misschien geen enkele invloed op de prestaties van de site, maar dezelfde belasting rechtstreeks naar de winkelwagenpagina leidt tot problemen omdat de applicatie meerdere verzoeken begint te sturen naar alle componenten die bij transacties betrokken zijn.
Hoe aanvallen te detecteren (de eerste twee punten lijken misschien voor de hand liggend, maar verwaarloos ze niet):
- Klanten klagen dat de site niet werkt.
- De site of afzonderlijke pagina's zijn traag.
- Het verkeer op individuele pagina's neemt sterk toe en er verschijnen een groot aantal verzoeken voor de winkelwagen- of betaalpagina.
Hacken van persoonlijke accounts
BruteForce, of wachtwoordbrute force, wordt georganiseerd met behulp van bots. Uitgelekte databases worden gebruikt voor hacking. Gemiddeld bedenken gebruikers niet meer dan vijf wachtwoordopties voor alle online accounts - en de opties kunnen eenvoudig worden geselecteerd door bots die in de kortst mogelijke tijd miljoenen combinaties controleren. Vervolgens kunnen de aanvallers de huidige combinaties van logins en wachtwoorden doorverkopen.
Hackers kunnen ook persoonlijke accounts overnemen en deze vervolgens in hun voordeel gebruiken. Neem bijvoorbeeld verzamelde bonussen op, steel gekochte kaartjes voor evenementen - over het algemeen zijn er veel opties voor verdere acties.
Het herkennen van BruteForce is niet zo moeilijk: het feit dat hackers een account proberen te hacken, blijkt uit een ongewoon hoog aantal mislukte inlogpogingen. Al komt het voor dat aanvallers een klein aantal verzoeken sturen.
Klikken
Het klikken op advertenties door bots kan leiden tot aanzienlijke verliezen voor bedrijven als ze onopgemerkt blijven. Tijdens een aanval klikken bots op advertenties die op de site zijn geplaatst en hebben daardoor een aanzienlijke invloed op de statistieken.
Adverteerders verwachten uiteraard dat banners en video's die op sites worden geplaatst, door echte gebruikers zullen worden gezien. Maar omdat het aantal vertoningen beperkt is, worden advertenties, dankzij bots, aan steeds minder mensen getoond.
De sites zelf willen hun winst vergroten door het tonen van advertenties. En adverteerders verminderen, als ze botverkeer zien, het aantal plaatsingen op de site, wat leidt tot verliezen en een verslechtering van de reputatie van de site.
Experts identificeren de volgende soorten advertentiefraude:
- Valse opvattingen. Bots bezoeken veel websitepagina's en genereren onrechtmatige advertentieweergaven.
- Klik fraude. Bots klikken op advertentielinks in de zoekresultaten, wat leidt tot hogere advertentiekosten in het zoeknetwerk.
- Retargeting. Bots bezoeken meerdere legitieme sites voordat ze klikken om een cookie te maken die duurder is voor adverteerders.
Hoe klikken detecteren? Nadat het verkeer is vrijgemaakt van fraude, neemt het conversiepercentage doorgaans af. Als u ziet dat het aantal klikken op banners hoger is dan verwacht, duidt dit op de aanwezigheid van bots op de site. Andere indicatoren voor illegaal verkeer kunnen zijn:
- Verhoging van het aantal klikken op advertenties met minimale conversie.
- De conversie neemt af, hoewel de advertentie-inhoud niet is veranderd.
- Meerdere klikken vanaf één IP-adres.
- Lage gebruikersbetrokkenheid (inclusief een groot aantal bounces) met een toename in klikken.
Zoek naar kwetsbaarheden
Kwetsbaarheidstests worden uitgevoerd door geautomatiseerde programma's die zoeken naar zwakke punten in de site en API. Populaire tools zijn onder meer Metasploit, Burp Suite, Grendel Scan en Nmap. Zowel speciaal door het bedrijf ingehuurde diensten als aanvallers kunnen de site scannen. Sites onderhandelen met hackspecialisten om hun bescherming te controleren. In dit geval worden de IP-adressen van de auditors opgenomen in witte lijsten.
Aanvallers testen sites zonder voorafgaande toestemming. In de toekomst zullen hackers de resultaten van de controles voor hun eigen doeleinden gebruiken: ze kunnen bijvoorbeeld informatie over de zwakke punten van de site doorverkopen. Het komt voor dat bronnen niet doelbewust worden gescand, maar als onderdeel van het exploiteren van de kwetsbaarheid van bronnen van derden. Laten we WordPress nemen: als er in een versie een bug wordt gevonden, zoeken bots naar alle sites die deze versie gebruiken. Als uw bron op zo'n lijst staat, kunt u bezoek van hackers verwachten.
Hoe bots detecteren?
Om zwakke punten op een site te vinden, voeren aanvallers eerst verkenningen uit, wat leidt tot een toename van verdachte activiteiten op de site. Het filteren van bots in deze fase helpt volgende aanvallen te voorkomen. Hoewel bots moeilijk te detecteren zijn, kunnen verzoeken die vanaf één IP-adres naar alle pagina's van een site worden verzonden een waarschuwingssignaal zijn. Het is de moeite waard om aandacht te besteden aan de toename van het aantal verzoeken voor niet-bestaande pagina's.
spam
Bots kunnen zonder uw medeweten websiteformulieren met ongewenste inhoud invullen. Spammers laten reacties en recensies achter, creëren valse registraties en bestellingen. De klassieke methode om bots te bestrijden, CAPTCHA, is in dit geval niet effectief omdat het echte gebruikers irriteert. Bovendien hebben bots geleerd dergelijke tools te omzeilen.
Meestal is spam onschadelijk, maar het komt voor dat bots dubieuze diensten aanbieden: ze plaatsen advertenties voor de verkoop van nagemaakte artikelen en medicijnen, promoten links naar pornosites en leiden gebruikers naar frauduleuze bronnen.
Spammerbots detecteren:
- Als er spam op uw site verschijnt, zijn het hoogstwaarschijnlijk bots die deze plaatsen.
- Er staan veel ongeldige adressen in uw mailinglijst. Bots laten vaak niet-bestaande e-mails achter.
- Uw partners en adverteerders klagen dat spam-leads afkomstig zijn van uw site.
Uit dit artikel lijkt het misschien dat het moeilijk is om alleen tegen bots te vechten. In feite is dit het geval en het is beter om websitebescherming aan professionals toe te vertrouwen. Zelfs grote bedrijven zijn vaak niet in staat illegaal verkeer onafhankelijk te monitoren, laat staan te filteren, omdat dit aanzienlijke expertise en hoge kosten voor het IT-team vereist.
Variti beschermt websites en API's tegen alle soorten botaanvallen, waaronder fraude, DDoS, klikken en scrapen. Met onze gepatenteerde Active Bot Protection-technologie kunt u bots identificeren en blokkeren zonder CAPTCHA of blokkerende IP-adressen.
Bron: www.habr.com