Кілька років тому дослідні агенції та провайдери послуг інформаційної безпеки вже почали було повідомляти про кількості DDoS-атак. Але вже до 1-го кварталу 2019 року ті ж дослідники повідомили про їх приголомшливе на 84%. А далі все пішло по наростаючій. Навіть пандемія не сприяла атмосфері світу — навпаки, кіберзлочинці та спамери вважали це чудовим сигналом до атаки, і обсяг DDoS зріс. .
Ми впевнені, що час простих і легко виявлених DDoS-атак (і нескладних інструментів, які можуть запобігти їм) вже скінчився. Кіберзлочинці навчилися краще приховувати ці атаки та проводити їх дедалі витонченіше. Темна індустрія перейшла від brute force до атак лише на рівні додатків. Вона отримує серйозні замовлення на руйнування бізнес-процесів, включаючи цілком офлайнові.
Вриваючись у реальність
У 2017 році серія DDoS-атак, спрямованих на транспортні послуги Швеції, призвела до тривалих . У 2019 році у національного залізничного оператора Данії відключилися системи продажу. В результаті на станціях не працювали автомати з продажу квитків та автоматичні ворота, і понад 15 тисяч пасажирів не змогли нікуди виїхати. У тому ж 2019-му потужна кібератака викликала відключення електропостачання в .
Наслідки DDoS-атак тепер зазнають не тільки онлайн-користувачі, але й люди, як-то кажуть, IRL (in real life). Хоча історично атакуючі цілилися лише на онлайн-сервіси, тепер часто їхнє завдання порушити будь-які бізнес-операції. За нашими оцінками, сьогодні більш ніж 60% атак мають таку мету — для здирства чи неохайної конкурентної боротьби. Особливо вразливі при цьому транзакції та логістика.
Розумніше та дорожче
DDoS продовжує вважатися одним із найпоширеніших і швидкозростаючих видів кіберзлочинності. За прогнозами експертів, з 2020 року їх кількість лише зростатиме. Це пов'язують з різними причинами — і ще з більшим переходом бізнесу в онлайн через пандемію, і з розвитком самої тіньової галузі кіберзлочинів, і навіть з .
"Популярними" DDoS-атаки стали свого часу через простоту розгортання та низьку вартість: ще пару років тому їх можна було ініціювати за $50 на день. Сьогодні як цілі, так і методи атаки змінилися, що призвело до збільшення їх складності та, як наслідок, вартості. Ні, ціни від $5 на годину, як і раніше, є в прайсах (так, у кіберзлочинців є прайси та тарифні сітки), але за сайт із захистом вже вимагають від $400 на добу, а вартість "індивідуальних" замовлень на великі компанії доходить до кількох тисяч доларів.
Наразі існує два основних типи DDoS-атак. Перший має на меті зробити онлайн-ресурс недоступним протягом певного періоду часу. Оплату за них зловмисники беруть за час атаки. У цьому випадку DDoS-оператор не піклується про якийсь конкретний результат, а клієнт фактично робить передоплату за початок атаки. Такі методи досить дешеві.
Другий тип - атаки, які оплачуються тільки при досягненні певного результату. З ними вже цікавіше. Вони набагато складніші у виконанні і тому значно дорожчі, оскільки атакуючим доводиться вибирати найефективніші методи для досягнення цілей. У Variti ми іноді проводимо цілі шахові партії з кіберзлочинцями, в яких вони миттєво змінюють тактику та інструменти і намагаються разом прорватися в кілька вразливостей на кількох рівнях. Це явно командні атаки, в яких хакери чудово знають, як реагувати та протидіяти діям захисників. Боротися з ними не тільки непросто, але ще й дуже витратно для компаній. Наприклад, один із наших клієнтів, великий мережевий ритейлер, майже три роки тримав у себе команду з 30 осіб, завданням якої було боротися з DDoS-атаками.
За даними Variti, прості DDoS-атаки, що здійснюються виключно через нудьгу, тролінг або невдоволення певною компанією, в даний час складають менше 10% всіх DDoS-атак (зрозуміло, у незахищених ресурсів може бути інша статистика, ми дивимося на дані наших клієнтів ). Решта — це робота професійних команд. При цьому три чверті всіх "поганих" роботів - це складні роботи, які важко виявити за допомогою більшості сучасних ринкових рішень. Вони імітують поведінку реальних користувачів чи браузерів і впроваджують патерни, які ускладнюють різницю між “хорошими” і “поганими” запитам. Це робить атаки менш помітними і, отже, ефективнішими.
Дані від GlobalDots
Нові цілі DDoS
Звіт від аналітиків з GlobalDots говорить про те, що роботи зараз генерують 50% всього веб-трафіку, причому 17,5% з них - це саме шкідливі роботи.
Боти вміють по-різному псувати життя компаніям: плюс до того, що вони “кладуть” сайти, вони тепер займаються й тим, що збільшують витрати на рекламу, скликають рекламні оголошення, парять ціни, щоб зробити їх на копійку менше та переманити покупців, та крадуть контент з різними поганими цілями (наприклад, ми нещодавно про сайти з краденим контентом, які змушують користувачів вирішувати чужі капчі). Боти сильно спотворюють різну бізнес-статистику, а результаті рішення приймаються на основі невірних даних. DDoS-атака часто буває димовою завісою для ще більш серйозних злочинів типу злому та крадіжки даних. А тепер ми бачимо, що додався цілий новий клас кіберзагроз — це порушення роботи певних бізнес-процесів компанії, часто — офлайнових (оскільки в наш час нічого не може бути зовсім поза мережею). Особливо часто бачимо, що ламають логістичні процеси та комунікації з клієнтами.
"НЕ доставлено"
Логістичні бізнес-процеси є ключовими для більшості компаній, тому на них часто нападають. Ось які сценарії атак можуть бути при цьому.
Немає в наявності
Якщо ви працюєте у сфері онлайн-комерції, то вже напевно знайомі із проблемою фейкових замовлень. У разі атак роботи перевантажують логістичні ресурси і роблять товари недоступними для інших покупців. Для цього вони розміщують величезну кількість фейкових замовлень, що дорівнює максимальній кількості товарів у наявності. Ці товари потім не оплачуються і через якийсь час повертаються на сайт. Але справа вже зроблена: вони були позначені як «немає», і частина покупців уже пішла до конкурентів. Ця тактика добре знайома в індустрії авіаквитків, де іноді роботи миттєво "розкуповують" всі квитки практично відразу після їх появи. Наприклад, один із наших клієнтів — велика авіакомпанія — постраждав від такої атаки, організованої китайськими конкурентами. Усього за дві години їх роботи замовили 100% квитків на певні напрямки.
Sneakers bots
Наступний популярний сценарій: боти миттєво купують усю лінійку продуктів, а їх власники продають їх пізніше за завищеною ціною (у середньому націнка складає 200%). Таких роботів називають sneakers bots, тому що з цією проблемою добре знайомі в індустрії модних кросівок, особливо лімітованих колекцій. Боти практично за хвилини скуповували нові лінійки, що тільки-но з'явилися, при цьому блокуючи ресурс так, щоб туди не змогли прорватися реальні користувачі. Це рідкісний випадок, коли про ботів писали в модних глянцевих журналах. Хоча загалом, перепродавці квитків на круті заходи на кшталт футбольних матчів користуються тим самим сценарієм.
Інші сценарії
Але це ще не все. Є ще складніший варіант атак на логістику, який загрожує серйозними втратами. Цим можуть займатися, якщо сервіс має опцію “Оплата при отриманні товару”. Боти залишають підроблені замовлення на такі товари, вказуючи фейкові, а то й реальні адреси людей, які нічого не підозрюють. А компанії несуть великі витрати на доставку, зберігання, з'ясування деталей. У цей час товари недоступні для інших клієнтів та ще й займають місце на складі.
Що ще? Боти залишають масові фейкові погані відгуки про товари, забивають функцію "повернення платежу", блокуючи транзакції, крадуть дані клієнтів, згадка реальним покупцям - варіантів безліч. Хороший приклад – недавня атака на DHL, Hermes, AldiTalk, Freenet, Snipes.com. Хакери , Що вони «тестують системи захисту від DDoS», а в результаті поклали портал бізнес-клієнтів компанії і всі API. У результаті сталися великі перебої у доставці товарів покупцям.
Зателефонуйте завтра
Минулого року Федеральна торгова комісія (FTC) повідомила про подвійне зростання скарг від підприємств та користувачів на спамерські та шахрайські телефонні бот-дзвінки. За деякими оцінками, вони становлять всіх дзвінків.
Як і у випадках з DDoS, цілі TDoS - масових атак ботів на телефони - варіюються від "розіграшів" до неохайної конкурентної боротьби. Боти здатні перевантажити контакт-центри та не пропустити реальних клієнтів. Цей метод ефективний не тільки для кол-центрів з "живими" операторами, але й там, де використовуються системи AVR. Боти також можуть масово нападати на інші канали комунікації з клієнтами (чати, emails), порушувати роботу CRM-систем і навіть певною мірою негативно впливати на управління персоналом, адже оператори перевантажені, намагаючись упоратися з кризою. Атаки також можуть бути синхронізовані із традиційною DDoS-атакою на онлайн-ресурси жертви.
Нещодавно подібна атака порушила роботу служби порятунку. у США — звичайні люди, які гостро потребують допомоги, просто не могли додзвонитися. Приблизно в той же час Дублінський зоопарк спіткала та сама доля: щонайменше 5000 осіб отримали спам у вигляді текстових SMS-повідомлень, які спонукають їх терміново зателефонувати за номером зоопарку і попросити вигадану людину.
Wi-Fi не буде
Кіберзлочинці можуть легко заблокувати всю корпоративну мережу. Часто блокування IP використовується як боротьба з DDoS-атаками. Але це не лише неефективна, а й дуже небезпечна практика. IP-адресу легко знайти (наприклад, за допомогою моніторингу ресурсів) та легко замінити (або підробити). У наших клієнтів до приходу в Variti були випадки, коли це призвело до того, що блокування певного IP просто відключило Wi-Fi у власних офісах. Був випадок, коли клієнту "підсунули" потрібний IP, і він заблокував доступ до свого ресурсу користувачам з цілого регіону, причому довго цього не помічав, тому що весь ресурс прекрасно функціонував.
Що нового?
Нові загрози потребують нових рішень для захисту. Однак ця нова ніша на ринку лише починає формуватися. Рішень для ефективного відбиття простих атак ботів безліч, а ось зі складними все не так просто. Багато рішень, як і раніше, практикують методи блокування IP. Іншим потрібен час, щоб зібрати первинні дані для початку роботи, і ці 10-15 хвилин можуть стати вразливими. Є рішення, засновані на машинному навчанні, які дозволяють визначати робота з його поведінки. І одночасно команди з того боку хвалиться, що у них вже є боти, які можуть імітувати реальні, невідмінні від людських патерни. Хто кого — поки що незрозуміло.
Що робити, якщо доводиться боротися з професійними командами ботоводів та складними, багатоетапними атаками одразу на кількох рівнях?
Наш досвід показує, що потрібно фокусуватись на фільтрації нелегітимних запитів без блокування IP-адрес. Для складних DDoS-атак потрібна фільтрація відразу на кількох рівнях, включаючи і транспортний рівень, рівень додатків, і API-інтерфейси. Завдяки цьому можна відбивати навіть низькочастотні атаки, які зазвичай непомітні і тому часто пропускаються далі. Нарешті необхідно пропускати всіх реальних користувачів навіть у той час, поки йде активна фаза атаки.
По-друге, компаніям потрібна можливість створювати власні багатоетапні системи захисту, куди, крім інструментів запобігання DDoS-атак, будуть вбудовані системи проти шахрайства, крадіжки даних, захисту контенту і так далі.
По-третє, вони повинні працювати в режимі реального часу з першого запиту — можливість миттєво реагувати на інциденти безпеки набагато підвищує шанси запобігти атакі або зменшити їхню руйнівну силу.
Найближче майбутнє: управління репутацією та збирання великих даних за допомогою ботів
Історія DDoS розвивалася від простого до складного. Спершу метою зловмисників було зупинити роботу сайту. Наразі вони вважають більш ефективним цілитися в основні бізнес-процеси.
Складність атак продовжуватиме зростати, це неминуче. Плюс до того, що погані роботи роблять зараз - крадіжка даних та їх фальсифікація, здирство, спам - роботи збиратимуть дані з великої кількості джерел (Big Data) і створюватимуть «надійні» фальшиві облікові записи для управління впливом, репутацією або масового фішингу.
В даний час тільки великі компанії можуть дозволити собі інвестувати кошти на захист від DDoS та ботів, але навіть вони не завжди можуть повністю відстежити та відфільтрувати трафік, згенерований ботами. Єдиний позитив того, що атаки ботів ускладнюються, це стимулює ринок створювати "розумні" і більш досконалі рішення для захисту.
Що ви думаєте — як розвиватиметься галузь захисту від ботів і які рішення необхідні на ринку вже зараз?
Джерело: habr.com