Ранее мы уже рассказывали о том, что такое ботнеты, как они устроены, приводили примеры самых масштабных бот-атак, как они атакуют сайты и рекламу. В этой статье мы расскажем, по каким признакам можно определить активность ботов из вредоносной сети.
Армии ботов на страже мошенников
Основной инструмент цифровых мошенников — боты и ботнеты. Это целые армии из зараженных устройств, которые позволяют злоумышленникам масштабировать свои атаки и наносить ущерб всем: гигантским корпорациям и локальным компаниям, владельцам сайтов и рекламодателям, целым правительствам и рядовым пользователям.
Обнаружить их не так просто. Автоматизированные вредоносные программы вносят хаос в цифровую сферу жизни, позволяя мошенникам зарабатывать миллионы и нанося ущерб на миллиарды.
К примеру, ботнет 3ve состоял из 1,7 млн зараженных компьютеров, HummingBad — 10 млн устройств на ОС Android по всему миру, Tekya — не менее 56 приложений и свыше 1 млн установок.
Вредоносное ПО, необходимое для заражения устройства и присоединения его к бот-сети, может попадать на него разными способами:
- через загрузку пользователем зараженных файлов, вроде Microsoft Word,
- скачивание приложений (даже из Google Play),
- сайты и т. д.
После того как вредонос попал на устройство, он активирует распаковку своих файлов и ждет команды от бот-оператора.
Интересный факт. Как-то раз эксперты из Akamai Security Research обнаружили новый ботнет — KmsdBot. Он использовался для криптомайнинга и DDoS-атак на игровые компании и производителей люксовых авто. В рамках эксперимента они создали контролируемую среду с модификацией ботнета и в итоге смогли его отключить.
Типы ботнетов
Ботнеты различаются по составу, функционалу и предназначению: одни — атакуют сайты, другие — скликивают рекламу, третьи — спамят комментариями в соцсетях. Бот-сети бывают следующих типов:
— DDoS
Предназначены для атак на сайты по типу распределенный отказ в обслуживании. Каждый бот, которому дана команда, должен посетить определенный сайт. Представьте, что сеть состоит из миллиона зараженных устройств, и бот, который сидит в каждом устройстве, устраивает ресурсу настоящее цифровое трафиковое цунами.
DDoS-атака приводит к сбоям в работе систем и делает их недоступными для рядовых пользователей. Киберпреступники, как правило, используют такие ботнеты для шантажа коммерческих компаний или в политических целях.
— Клик-боты
Предназначены для скликивания цифровой рекламы. С помощью них мошенники генерируют фальшивые клики по рекламным объявлениям, чтобы увеличить выплаты в свою пользу (если клики совершаются на монетизируемом ими сайте) или для опустошения рекламных бюджетов по заказу конкурентов. Такие атаки искусственно искажают показатели трафика и истощают рекламные ресурсы.
— Скрейперы
Эти боты предназначены для кражи пользовательских данных и другого содержимого с сайтов. Они могут взламывать систему и похищать, к примеру, логин и пароль или информацию о банковских картах.
Ранее мы писали, как скрейперы выполняют коммерческий шпионаж на сайтах интернет-магазинов.
— Боты-спекулянты
Актуальная тема на время черных пятниц, новогодних распродаж и выхода премиальных товаров и коллекций. Ботнеты такого типа используются для мгновенной скупки лимитированных товаров, вроде приставок или сникерсов, что позволяет бот-операторам в дальнейшем перепродавать их по завышенной цене. Под угрозой могут быть не только интернет-магазины, но и агрегаторы билетов (театры, авиа- и т. д.).
Например. Не так давно боты-спекулянты вызвали значительные сбои в продаже билетов на концерты Тейлор Свифт.
— Спамеры
Спам-боты используются для фишинговых атак. Они рассылают электронные письма с вредоносными приложениями и ссылками на мошеннические сайты.
Конечная цель — обманом вынудить пользователя установить ПО с вредоносом или раскрыть свои конфиденциальные данные. С помощью таких ботнетов злоумышленники могут отправлять миллионы писем в минуту, что делает их мощным инструментом киберпреступников.
Каждая бот-сеть, по сути, уникальна и по-разному влияет на бизнес и рядовых пользователей.
Примеры самых известных ботнетов, которые скликивали рекламу
Клик-боты присутствуют в истории цифровой рекламы — контекстной, таргетированной, CTV, аудио и не только — с самого ее появления и продолжают досаждать маркетологам и бизнесу и по сей день.
— Clickbot A. В 2006 году заразил 100 тыс. компьютеров и смог нанести ущерб на 50 тыс. долларов. Его боты скрытно скликивали рекламу в синдицированных поисковых сетях, атакуя результаты поиска на монетизируемых через Google Рекламу сайтах.
— Stantinko. Очень коварный ботнет, который представлял собой вредоносный компонент расширений в Chrome. Внедрял стороннюю рекламу в браузере пользователя, а также мог устанавливать рекламное ПО, получать доступ к сайтам на CMS WordPress и Joomla и выполнять поиск в Google. Состоял из 500 тыс. зараженных устройств.
— Methbot и 3ve. Одни из самых крупных ботнетов. С помощью них злоумышленники зарабатывали на мошенничестве с CTV-рекламой более 3 млн долларов в день (на пике активности). Считается, что только один 3ve нанес ущерб рекламодателям на 29 млн долларов.
Это лишь малая часть ботнетов, существующих или существовавших в цифровом мире. Часть из них почили самостоятельно, часть — были отключены силами киберзащитных ассоциаций и компаний, а также правительственных организаций. Остальные были модифицированы и действуют по сей день, не говоря уже о том, что регулярно появляются новые вредоносные сети.
Ущерб показывает, что нужно быть готовым к атакам таких «ботов поневоле». Своими силами от них защититься практически невозможно, однако можно принять превентивные меры для защиты своих ресурсов и капиталов.
Как защитить себя от ботнет-атак
1. Повысьте безопасность своего сайта или устройства
Защитите свой бизнес, усилив протоколы безопасности сетевой инфраструктуры и программного обеспечения. Например, подключите SSL-сертификат.
Убедитесь, что у вас установлены надежные антивирус и брандмауэр. Регулярно обновляйте все программное обеспечение и операционные системы для защиты от уязвимостей. Если приложение просит обновиться — уважьте просьбу: с новыми обновлениями разработчики закрывают найденные киберпреступниками уязвимости и повышают защиту.
2. Подключите двухфакторную аутентификацию
Используйте 2FA (двухфакторную аутентификацию), чтобы обеспечить дополнительный уровень защиты. В этом случае помимо ввода логина и пароля пользователю на его устройство, например телефон, будет приходить одноразовый код для подтверждения авторизации, который он должен будет ввести для входа в систему. Это затрудняет злоумышленникам получение доступа к учетным записям или устройствам пользователя.
3. Избегайте подозрительных вложений и ссылок
Вредонос для распространения ботнета чаще всего рассылается под видом вложений к электронным письмам или в виде ссылок на фишинговые и вредоносные сайты. Если вам пришло письмо от незнакомого пользователя с просьбой скачать вложение, «вам поступила выплата от государства», «ваш аккаунт в Госуслугах взломали и нужно срочно подтвердить свои данные», ни в коем случае не переходите по ссылками и ничего не скачивайте.
4. Просвещайте сотрудников на тему кибербезопасности
Обучайте сотрудников распознавать фишинговые электронные письма, подозрительные вложения и небезопасные ссылки. Регулярные тренинги по кибербезопасности и напоминания помогают закрепить знания и способствуют соблюдению цифровой гигиены при поиске информации и работе с данными в интернете.
5. Анализируйте трафик
Ботнеты могут генерировать большие объемы веб-трафика. Используйте инструменты аналитики (Яндекс Метрика, Google Analytics) для выявления подозрительных и резких скачков визитов сайта. Регулярно отслеживайте рекламный трафик на предмет аномально большого количества кликов.
6. Регулярно обновляйте ОС
Поскольку ботнеты часто используют уязвимости операционных систем для взлома устройств, регулярно обновляйте системы для повышения уровня защиты.
Следуя этим рекомендациям, вы не сможете полностью защитить себя от бот-атак, но сможете снизить хотя бы риски.
Признаки ботнета: ищем вредоносов на устройстве, сайте, в рекламе
Не так-то просто обнаружить активность ботнета в сети, поскольку злоумышленники регулярно обновляют свои техники и методы атак. Они стараются сделать всё, чтобы избежать обнаружения. Ниже мы приводим ряд признаков ботовой активности на сайтах, скликивания рекламы и заражения устройств.
Если устройство входит в состав ботнета
- Компьютер, телефон, телевизор (CTV), роутер и т. д. стали медленнее работать. Ботнеты потребляют ресурсы системы, что может приводить к значительному замедлению устройства.
- Стал быстро кончаться заряд батареи. Ботам нужна энергия, особенно для совершения масштабных атак. Из-за этого заряд батареи может быстро заканчиваться. Например, таким был ботнет DrainerBot. Он загружался вместе с популярными приложениями из Google Play, запускал их в фоновом режиме, скачивал до 10 Гб рекламных видеороликов, «съедал» трафик и «садил» аккумулятор мобильного устройства.
- На устройстве появились подозрительные программы, процессы или приложения. Обращайте внимание на то, какие программы запущены в фоновом режиме и не только. Возможно, там есть те, которые вы не устанавливали самостоятельно.
- Большой объем использования данных в фоновом режиме. Приложения могут передавать данные в фоновом режиме. Если вы заметили, что одно из них передает слишком много данных (а это необходимо для взаимодействия ботнета с командными серверами), проверьте, не принадлежит ли оно мошенникам.
- Странное поведение системы. Обращайте внимание на неожиданные выключения устройства, сообщения об ошибках или изменения в браузере. Это может свидетельствовать о том, в вашем устройстве сидит вредонос и использует его в качестве юнита какого-нибудь ботнета.
- Всплывающие окна и спам-сообщения. Если на устройстве вдруг начали появляться странные баннеры с рекламой, всплывающие окна или спам, вероятно, пора «чистить» устройство и ставить надежный антивирус.
Если боты атакуют сайт
- Необычное время активности пользователей. Чаще всего боты атакуют сайты в периоды низкой посещаемости, ночью, в раннее утро (из-за разницы во времени, например, если боты находятся в Азии или Америке).
- Низкая скорость работы сети. Высокая активность ботнета может привести к перегрузке сетевых ресурсов и замедлению соединения. Те же DDoS-атаки и вовсе могут «положить» сайт.
- Странные IP. Массовые визиты с подозрительных IP-адресов могут свидетельствовать об атаке ботнета.
- Несанкционированный доступ к системе или данным может указывать на то, что она была скомпрометирована.
Признаки скликивания рекламы ботнетами
- Высокий CTR. Высокий показатель кликабельности с низкой стоимостью клика, особенно, если без дальнейшей конверсии.
- Высокий показатель отказов. Самые простые боты в составе ботнетов могут быть запрограммированы только на скликивание объявлений. Поэтому после перехода они его тут же покидают, увеличивая показатель отказов.
- Низкий показатель конверсии. Ботовый трафик, как правило, не конвертируется в продажи или лиды. Есть боты, в задачу которых входит отправка фальшивых заявок, однако это вредоносы другого порядка.
- Резкий всплеск трафика. Необычные скачки в количестве визитов могут свидетельствовать о вмешательстве ботнета.
- Повторные посещения с одного и того же IP-адреса. Например, если ваша реклама продолжает показываться на мошенническом сайте или вы, сами того не зная, снова приводите ботов через ретаргетинг.
- Незнакомые user-agent. Вы видите, что по рекламе переходят пользователи с неизвестных устройств, браузеров и т. д.
- Быстрый расход бюджета. Боты могут скликивать рекламные объявления, истощая ваш рекламный бюджет в считанные минуты.
Защитите сайты и рекламу от ботов
Можно попытаться защитить свои сайты и рекламные кампании вручную, однако это всё сизифов труд. Злоумышленники владеют целыми армиями ботов, они быстро сменяют устройства, IP и используют разные схемы и тактики для мошенничества.
Системы антифрода, такие как Botfaqtor, позволяют автоматизировать обнаружение ботов и скликивателей и защитить бизнес от потерь. Сервис предлагает несколько инструментов для блокировки фальшивого трафика и повышения эффективности рекламных кампаний.
Для обнаружения вредоносной активности используется алгоритм, который проверяет трафик по 100+ техническим и поведенческим параметрам, базы с уже имеющимися ботовыми профилями, ИИ и машинное обучение.
Защита Яндекс Директ и Google Ads
Инструменты Защита Яндекс Директ и Защита Google Ads проверяют каждый визит и анализирует профиль посетителя, его взаимодействие с сайтом, цифровой след, IP и др. По этим параметрам визит записывается в группу трафика: целевой, нецелевой, подозрительный или ботовый. Система автоматически добавляет вредоносный профиль в сегмент и вносит его в корректировки для запрета дальнейшего показа рекламы.
С помощью такой технологии алгоритм обнаруживает и блокирует до 90% ботов в рекламном трафике, проверяет качество площадок, анализирует ключевые запросы и UTM-метки.
Защита рекламы от скликивания позволяет остановить бесполезную трату рекламного бюджета, снизить процент отказов, увеличить присутствие качественных источников трафика, конверсию и количество заявок.
Умная капча для блокировки фальшивых заявок
Боты бывают разные (черные, белые, красные) — какие-то предназначены для совершения клика по рекламе и дальнейшие их «полномочия всё», другие — еще и для отправки заявок на сайте, совершения заказов и звонков.
Инструмент Умная капча от Botfaqtor работает на ИИ-алгоритме, который позволяет распознавать ботовый профиль и блокировать ему доступ к формам и кнопкам на сайте. Например, если бот попытается ввести данные в поле с телефоном или именем, ему выпадет капча.
При этом у инструмента стоит «защита» от разгадываетелей капчи — она показывается только ботам, реальные пользователи-исполнители с букс ее не увидят.
Антибот для сайта
Инструмент Антибот спасает от генерации фальшивого трафика из поиска и от прямых заходов. Код загружается всего за 1,02 секунды и не мешает реальным пользователям.
Каждый визит так же, как и при анализе кликов из Яндекс Директа и Google Ads, проверяется по 100+ параметрам (браузеры, ОС, интервалы прокрутки на сайте, cookie и другой цифровой след).
Мгновенно блокируем ботов и скликивателей, которые находятся в нашей общей стоп-базе. На текущий момент там находится более 88 млн ботовых и других вредоносных профилей, которые способны генерировать недействительный трафик.
Вот наши кейсы, как мы рассказываем, как помогаем компаниям защищать бюджет и бизнес от потерь. Подключите инструменты Botfaqtor бесплатно на 7 дней на тарифе «Безлимитный», чтобы защитить и свой бизнес от бот-атак.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
