DDoS-атаки залишаються однією з обговорюваних тем у сфері інформаційної безпеки. При цьому далеко не всі знають, що ботовий трафік, який і є інструментом для таких атак, тягне за собою безліч інших небезпек для онлайн-бізнесу. За допомогою роботів зловмисники можуть не тільки вивести сайт з ладу, а й вкрасти дані, спотворити бізнес-метрики, збільшити рекламні витрати, зіпсувати репутацію майданчика. Розберемо небезпеки більш детально, а також нагадаємо про основні методи захисту.
Парсінг
Боти парсят (тобто збирають) дані на сторонніх сайтах постійно. Вони крадуть контент, щоб публікувати його без посилань на джерело. При цьому розміщення скопійованого контенту на сторонніх майданчиках опускає ресурс-джерело у пошуковій видачі, що означає скорочення аудиторії, продажу та рекламних доходів сайту. Боти також відстежують ціни, щоб продавати товари дешевше та запроваджувати клієнтів. Купують різні речі, щоби перепродати дорожче. Можуть створювати неправдиві замовлення, щоб завантажити логістичні ресурси та зробити товари недоступними для користувачів.
Парсинг значно позначається на роботі онлайн магазинів, особливо тих, у кого основний трафік надходить з майданчиків-агрегаторів. Зловмисники після парсингу цін встановлюють вартість товару трохи нижче за вихідну, і це дозволяє їм помітно піднятися в пошуковій видачі. Туристичні портали теж часто піддаються ботовим атакам: у них крадуть відомості про квитки, тури та готелі.
Загалом мораль проста: якщо на вашому ресурсі є унікальний контент, боти вже виїхали до вас.
парсинг можна за раптовим сплеском трафіку, а також відстежуючи цінову політику конкурентів. Якщо інші сайти миттєво копіюють у себе ваші зміни у вартості, то тут швидше за все замішані боти.
Накрутки
Накрутки показників це супутній ефект від присутності ботів на сайті. Кожна дія роботів відбивається на бізнес-метриках. Оскільки частка нелегітимного трафіку відчутна, рішення, що ґрунтуються на аналітиці ресурсу, часто бувають помилковими.
Маркетологи вивчають, як відвідувачі використовують ресурс та роблять покупки. Дивляться на показник конверсії та ліди та визначають ключові вирви продажів. Компанії також проводять A/B тести та залежно від результатів пишуть стратегії для роботи сайту. Боти ж впливають на всі ці показники, що веде до нераціональних рішень та зайвих маркетингових витрат.
Зловмисники можуть використовувати ботів і для того, щоб вплинути на репутацію майданчиків, у тому числі соцмереж. Така сама ситуація і з сайтами для онлайн-голосувань, де боти часто накручують показники, щоб переміг потрібний зловмисникам варіант.
Як можна виявити накрутки:
- Перевіряйте аналітику. Різке і несподіване зростання будь-якого показника, наприклад спроб логіну, часто означає ботову атаку.
- Слідкуйте за змінами походження трафіку. Буває, що на сайт приходить надзвичайно велика кількість запитів із незвичайних країн — це дивно, якщо ви не таргетували на них кампанії.
DDoS атаки
Багато хто чув про DDoS-атаки або навіть стикався з ними. Варто зазначити, що ресурс не завжди виводиться з ладу за допомогою високого трафіку. Атаки на API часто низькочастотні, і в той час як програма відмовляє, firewall і балансувальник навантаження працюють як ні в чому не бувало.
Потроєння трафіку на головну сторінку може ніяк не позначитися на працездатності сайту, але таке ж навантаження безпосередньо на сторінку з кошиком призводить до проблем, оскільки програма починає надсилати множинні запити до всіх компонентів, задіяних у транзакціях.
Як виявити атаки (перші два пункти можуть здатися очевидними, але не варто ними нехтувати):
- Покупці скаржаться, що веб-сайт не працює.
- Сайт чи окремі сторінки працюють повільно.
- Різко зростає трафік на окремих сторінках, з'являється велика кількість запитів у кошик або сторінку оплати.
Зламування особистих кабінетів
BruteForce, або перебір паролів, організується за допомогою роботів. Для злому використовуються бази даних, що втекли. В середньому, користувачі вигадують не більше п'яти варіантів паролів для всіх онлайн-акаунтів - і варіанти легко підбираються ботами, які перевіряють мільйони комбінацій у найкоротший час. Потім зловмисники можуть перепродати актуальні комбінації логінів та паролів.
Також хакери можуть заволодіти особистими кабінетами та потім використовувати їх у своїх інтересах. Наприклад, вивести накопичені бонуси, вкрасти куплені квитки на заходи — загалом варіантів подальших дій безліч.
Розпізнати BruteForce не надто складно: про те, що хакери намагаються зламати аккаунт, говорить надзвичайно висока кількість неуспішних спроб логіну. Хоча трапляється, що зловмисники надсилають і невелику кількість запитів.
Скликання
Скликання рекламних оголошень ботами може призвести до значних збитків компаній, якщо його не помітити. Під час атаки боти переходять за розміщеними на сайті оголошеннями і тим самим відчутно впливають на метрики.
Рекламодавці, очевидно, розраховують, що розміщені на майданчиках банери та відеоролики побачать реальні користувачі. Але оскільки кількість показів обмежена, реклама через ботів демонструється дедалі меншій кількості людей.
Самі ж сайти хочуть за рахунок показів реклами збільшити прибуток. А рекламодавці, якщо бачать ботовий трафік, знижують обсяг розміщень на майданчику, що веде до збитків, і до погіршення репутації майданчика.
Експерти виділяють такі типи рекламного фроду:
- Помилкові перегляди. Боти відвідують безліч сторінок сайту та генерують нелегітимні перегляди реклами.
- Клікфрод. Боти переходять по рекламним посиланням у пошуку, що веде до зростання витрат на пошукову рекламу.
- Ретаргетинг. Боти перед скликанням відвідують безліч легітимних майданчиків, щоб створити cookie-файл, який коштує дорожче для рекламодавців.
Як виявити скликання? Зазвичай після очищення трафіку від фрода показник конверсії знижується. Якщо ви бачите, що обсяг переходів банерами вище очікуваного, то це говорить про присутність ботів на сайті. Іншими показниками нелегітимного трафіку можуть бути:
- Зростання кліків за рекламними оголошеннями при мінімальній конверсії.
- Конверсія знижується, хоча зміст реклами не змінювалося.
- Множинні кліки з однієї IP-адреси.
- Низька частка залучення користувачів (у тому числі велика кількість відмов) у разі зростання кліків.
Пошук уразливостей
Тестування на вразливості виконується автоматичними програмами, які шукають слабкі місця сайту та API. Серед популярних інструментів – Metasploit, Burp Suite, Grendel Scan та Nmap. Сканувати сайт можуть як спеціально найняті компанією сервіси, так і зловмисники. Майданчики домовляються зі спеціалістами зі злому, щоб перевірити свій захист. IP-адреси аудиторів у разі заносяться до white-листы.
Зловмисники тестують сайти без попередньої домовленості. Надалі хакери використовують результати перевірок для своїх цілей: наприклад, вони можуть перепродати інформацію про слабкі місця майданчика. Буває, що ресурси скануються не цілеспрямовано, а рамках експлуатування вразливості сторонніх ресурсів. Візьмемо WordPress: якщо у будь-якій версії виявлено баг, боти шукають усі майданчики, які використовують цю версію. Якщо ваш ресурс потрапив до такого списку, можна чекати на візит хакерів.
Як знайти ботів?
Для пошуку слабких місць сайту зловмисники спочатку проводять розвідку, що веде до зростання підозрілої активності на майданчику. Фільтрація ботів на цьому етапі допоможе уникнути наступних атак. Хоча ботів і складно виявити, тривожним сигналом можуть стати запити, що надсилаються з однієї IP-адреси, до всіх сторінок сайту. Варто звернути увагу на зростання запитів до неіснуючих сторінок.
Спам
Боти можуть заповнювати форми сайту «сміттєвим» контентом без вашого відома. Спамери залишають коментарі та відгуки, створюють фейкові реєстрації та замовлення. Класичний метод боротьби з ботами, CAPTCHA, у разі неефективний, оскільки дратує реальних користувачів. До того ж, боти навчилися оминати такі інструменти.
Найчастіше спам нешкідливий, проте буває, що боти пропонують сумнівні послуги: розміщують оголошення про продаж підроблених речей та ліків, просувають посилання на порносайти та відводять користувачів на шахрайські ресурси.
Як виявити ботів-спамерів:
- Якщо на вашому сайті з'явився спам, то, швидше за все, його власне боти і розміщують.
- У вашій поштовій розсилці багато недійсних адрес. Боти часто залишають неіснуючі е-мейли.
- Ваші партнери та рекламодавці скаржаться, що з вашого сайту приходять спам-ліди.
З цієї статті може здатися, що боротися з ботами самотужки складно. Насправді так воно і є, і краще довірити захист сайту професіоналам. Навіть великі компанії часто не в змозі самостійно відстежувати нелегітимний трафік і тим більше фільтрувати його, оскільки це потребує значної експертизи та великих витрат на ІТ-команду.
Variti захищає сайти та API від усіх видів ботових атак, включаючи фрод, DDoS, скликання та парсинг. Власна технологія Active Bot Protection дозволяє без CAPTCHA та блокування IP-адрес виявляти та відсікати ботів.
Джерело: habr.com