Бот-атаки, их виды и методы защиты

Защита от ботов (англ. bot mitigation) — это снижение количества вредоносных атак и нагрузки со стороны роботизированных систем на приложения, API и серверные службы. К ним можно отнести DDoS, поиск уязвимостей, скликивание рекламных объявлений. Сервисы и инструменты для предотвращения бот-трафика применяют различные методы и алгоритмы. «Хорошие» роботы под запрет не попадают. В целом, это борьба с любым нежелательным трафиком.

Боты могут выполнять практически любые действия: от заполнения веб-форм до коммуникации и обработки запросов пользователей в онлайн-чатах. Помимо вспомогательных, «хороших» роботов могут быть и вредоносные, управляемые мошенниками, которые выполняют DDoS-атаки 4-7 уровня или непрерывные проверки сайта на наличие уязвимостей в перекрестных сценариях (XSS — вид атаки на веб-системы, который заключается во внедрении вредоносного кода в веб-страницу).

Вредоносные боты становятся виновниками утечки персональных и коммерческих данных, а также финансовых потерь.

Для надежного предотвращения таких атак необходимо:

  • Быстро обнаруживать мошеннический трафик. Для этого стоит использовать такие механизмы обнаружения, как фильтрация по IP, фингерпринты (цифровые «отпечатки») устройств и готовые стоп-листы.
  • Ограничивать пропускную способность сайтов, веб-приложений, чтобы боты не перегружали сервера нагрузкой вплоть до запрета подозрительных посещений, в том числе и на технические страницы.
  • Регулярно обновлять сигнатуры ботов, а также проводить аналитику в отношении их активности.

Авиакомпании, сайты онлайн-игр, поставщики финансовых услуг и кредитные организации, а также рекламодатели и вебмастера наиболее часто подвергаются атакам и становятся мишенями. Однако не только им нужна защита от мошенников.

Виды атак, в которых мошенники используют ботов

Используя их, мошенники могут вести тысячи атак одновременно, что позволяет им предпринимать крупномасштабные попытки мошенничества. Кроме того, скрипты ботнетов легко доступны, что делает их активным и простым инструментом даже для начинающих мошенников.

По словам специалистов Adobe, 28% веб-трафика принадлежит ботам.

Также мошенники учатся обходить механизмы защиты инструментов и сервисов, которыми пользуются компании для борьбы с бот-трафиком. Используя эту информацию, они знают, когда им стоит использовать только автоматические скрипты или же комбинировать их с реальными пользователями, которые готовы выполнять за деньги поставленные мошенниками задачи.

Код продвинутых ботов создан для того, чтобы усилить работу исполнителей с букс для заработка. Такой комбинированный подход позволяет киберпреступникам не только преодолевать системы защиты, но и запускать более сложные – гибридные – атаки, которые труднее обнаружить.

Киберпреступность — это крупный мошеннический бизнес, где операторы мобилизуют все свои ресурсы и увеличивают по максимуму прибыль.

Мошенники, как правило, используют ботов для проверки и заполнения учетных данных. В зависимости от типа планируемой атаки, они используют на свое усмотрение такие средства и инструменты, чтобы они смогли обеспечить им максимальную прибыль при минимальных вложениях.

Широкомасштабные атаки

Для масштабных мошенники часто используют простеньких ботов для достижения поставленных целей. Цель мошенников — заработать деньги, и количество роботов, которые смогут достичь заданной цели, не имеет значения.

К примеру, к такому виду относится спам-рассылка. Достаточно всего несколько десятков плохо информированных пользователей, которые перейдут по вредоносным ссылкам и принесут денежки злоумышленникам.

Низкочастотные и узконаправленные

Когда мошенники планируют атаку, то, как правило, сперва они готовятся к ней и используют ботов для создания так называемой базы. Они позволяют киберпреступникам проводить точечные и низкочастотные атаки. Они имитируют поведение реальных пользователей, чтобы максимально избежать блокировки.

Например, к этому типу относятся поддельные отзывы, видео с голосованием нравится/не нравится, коммерческий недействительный трафик по рекламе или из поиска и злоупотребление внутриигровой экономикой, которая приносит мошенникам деньги.

Машинное зрение

Продвинутые боты могут точно имитировать поведение реальных пользователей. Для этого используются специальные автоматизированные скрипты, основанные на технологии машинного зрения. Их мошенники используют в тех случаях, когда необходимо преодолеть решения, используемые компанией, по защите от ботов.

Гибридные атаки

Для гибридных мошенники используют как ботов, так и реальных людей, готовых выполнять выданные им задачи. Исполнителей они находят на специальных буксах или через услуги клик-ферм. Такой подход используется тогда, когда боты не смогут преодолеть защиту от автоматизированных действий.

Кликфрод и защита от ботов

Автоматизация предотвращения мошенничества с кликами и защиты от мошеннического трафика имеет решающее значение для рекламодателей с любыми бюджетами. Боты могут расходовать рекламные средства, скликивая объявления и подделывая заявки и обращения.

По словам экспертов TrafficGuard/Juniper Research, в 2017 году рекламодатели на контексте теряли порядка 39 млн долларов в день.

Вполне естественно, что в наш век технологий, нашу цифровую эпоху реклама привлекает повышенное внимание злоумышленников. И скорость и своевременность, с которой рекламодатели действуют против недействительных кликов в маркетинговых кампаниях, сильно влияет на сохранение бюджета.

Тем не менее, скликивание и атаки ботов — постоянная угроза для любых рекламодателей и любых бюджетов, от интернет-магазинов до сайтов продажи билетов или онлайн-игр.

Способы борьбы с бот-трафиком

В качестве борьбы с цифровым мошенничеством могут использоваться разные методы обнаружения ботов и блокировки такого трафика. В более серьезных случаях применяется искусственный интеллект и машинное обучение.

Это могут быть брандмауэры веб-приложений (WAF), шлюзы API и т. д. Вот более подробный список подобных инструментов.

Блокировка по IP-адресам и анализ репутации IP

К решениям по защите от автоматизированных атак относится блокировка вредоносных IP-адресов, которые когда-либо были замечены в таких действиях и помечены как боты. Со временем их репутация может меняться и динамически обновляться. Повторяющийся опасный и вредоносный трафик с этих адресов в дальнейшем будет блокироваться.

Разрешенные списки и стоп-листы и черные списки

Списки с разрешением доступа и стоп-листы составляются по IP-адресам, подсетям и политикой. Согласно таким спискам будет определено, какие боты могут посещать сайты, а каким доступ будет закрыт, то есть отсекается недействительный трафик.

Бот, включенный в список с разрешением доступа, не будет заблокирован «на входе» и обойдет другие меры обнаружения вредоносного трафика. Если его нет в списке разрешенных, то проводится проверка по списку блокировок, вплоть до ограничения скорости и мониторинга транзакций в секунду (TPS).

TPS и ограничение скорости

Бот-трафик с неизвестного IP-адреса можно ограничивать. Таким образом, один пользователь не сможет отправлять неограниченное количество запросов к API и, соответственно, забивать сеть.

То же самое делает и TPS — устанавливает определенный интервал времени на обращения к сайту. Если посещения с одного IP-адреса превышают пороговое значение, то в этом случае его доступ будет полностью заблокирован.

Управление сигнатурами ботов и отпечатки устройств

Сигнатура бота — это его идентификатор, основанный на определенных атрибутах, например, шаблоны его HTTP-запросов. Фингерпринт, или цифровые отпечатки, устройства также показывают, относятся ли к боту определенные атрибуты браузера или заголовки запросов, и связан ли он с вредоносным трафиком.

Брандмауэр веб-приложений (WAF)

Брандмауэр может эффективно устранять уязвимости и блокировать нежелательный трафик с сомнительных IP-адресов или даже из целых стран. Однако есть здесь и минус — этот способ не ориентирован исключительно на вредоносный трафик и не способен оценивать имитацию действий реальных пользователей.

WAF требуют ежедневного мониторинга и обслуживания, чтобы подстраиваться под новые ухищрения мошенников и способы обмана систем защиты. Поэтому важно рассмотреть возможность использования дополнительного специализированного программного обеспечения для защиты от ботов.

Капча и reCaptcha

Можно использовать капчу или reCaptcha от Google, чтобы предотвратить попытки ботов рассылать спам на сайтах и совершать любые автоматизированные действия с заполнением форм. Однако есть и минусы у подобного решения.

Капчи не всегда можно легко пройти даже реальным пользователям, особенно людям с ограниченными возможностями, которые используют программы для чтения с экрана.

Эффективность Captcha и reCAPTCHA для блокирования продвинутых ботов ограничена. Благодаря фермам Captcha они могут легко обойти этот метод защиты.

Многофакторная аутентификация

Многофакторная аутентификация (multi-factor authentication, MFA) является одним из более совершенных методов предотвращения атак. За счет добавления еще одного шага при авторизации или аутентификации боты не смогут его пройти. К примеру, к таким видам защиты относится авторизация на сайте через регистрационные данные и СМС на номер телефона.

Минус: пользователь должен сам решить, использовать ли ему такой способ авторизации или нет.

Botfaqtor для борьбы с ботами

Защита сайтов скликивания Botfaqtor заключается в блокировке бот-трафика и снижении потери рекламного бюджета. Методы борьбы Botfaqtor основываются на алгоритме с сотнями паттернов, по которым вычленяется и отсекается вредоносный трафик. Боты заносятся в стоп-листы. Это позволяет компаниям и рекламодателям спокойно вести бизнес и заказывать контекстную и другую рекламу в Я.Директ и Google Ads.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий