DDoS-атаки залишаються однією з найбільш обговорюваних тем в сфері інформаційної безпеки. При цьому далеко не всі знають, що ботовий трафік, який і є інструментом для таких атак, тягне безліч інших небезпек для онлайн-бізнесу. За допомогою ботів зловмисники можуть не тільки вивести сайт з ладу, але і вкрасти дані, спотворити бізнес-метрики, збільшити рекламні витрати, зіпсувати репутацію майданчика. Розберемо загрози більш детально, а також нагадаємо про базові способи захисту.
Парсинг
Боти парсять (тобто збирають) дані на сторонніх сайтах постійно. Вони крадуть контент, щоб потім публікувати його без посилань на джерело. При цьому розміщення скопійованого контенту на сторонніх майданчиках опускає ресурс-джерело в пошуковій видачі, що означає скорочення аудиторії, продажів і рекламних доходів сайту. Боти також відстежують ціни, щоб продавати товари дешевше і відводити клієнтів. Купують різні речі, щоб перепродати дорожче. Можуть створювати помилкові замовлення, щоб завантажити логістичні ресурси і зробити товари недоступними для користувачів.
Парсинг значно впливає на роботу онлайн-магазинів, особливо тих, у кого основний трафік надходить з майданчиків-агрегаторів. Зловмисники після парсинга цін встановлюють вартість товару незначно нижче вихідної, і це дозволяє їм помітно піднятися в пошуковій видачі. Туристичні портали теж часто піддаються атакам ботів: у них крадуть відомості про квитки, тури і готелі.
Загалом, мораль проста: якщо на вашому ресурсі є унікальний контент, боти вже виїхали до вас.
Помітити парсинг можна за раптовими сплесками трафіку, а також відстежуючи цінову політику конкурентів. Якщо інші сайти миттєво копіюють у себе ваші зміни у вартості – значить, тут швидше за все замішані боти.
Накрутки
Накрутки показників – це супутній ефект від присутності ботів на сайті. Кожна дія ботів відбивається на бізнес-метриках. Оскільки частка нелегітимного трафіку відчутна, рішення, засновані на аналітиці ресурсу, часто бувають помилковими.
Маркетологи вивчають, як відвідувачі використовують ресурс і роблять покупки. Дивляться на показник конверсії і ліди і визначають ключові воронки продажів. Компанії також проводять A/B тести і в залежності від результатів пишуть стратегії для роботи сайту. Боти ж впливають на всі ці показники, що веде до нераціональних рішень і зайвих маркетингових витрат.
Зловмисники можуть використовувати ботів і для того, щоб вплинути на репутацію майданчиків, в тому числі соцмереж. Така ж ситуація і з сайтами для онлайн-голосуваннях, де боти часто накручують показники, щоб переміг потрібний зловмисникам варіант.
Як можна виявити накрутки:
- перевіряйте аналітику. Різке і несподіване зростання будь-якого показника, наприклад, спроб логіна, часто означає атаку ботів;
- відстежуйте зміни в походженні трафіку. Буває, що на сайт приходить незвично велика кількість запитів з незвичайних країн – це дивно, якщо ви не таргітували на них кампанії.
DDoS-атаки
Багато хто чув про DDoS-атаки або навіть стикалися з ними. Варто відзначити, що ресурс не завжди виводиться з ладу за допомогою високого трафіку. Атаки на API часто низькочастотні, і в той час як додаток відмовляє, firewall і балансувальник навантаження працюють як ні в чому не бувало.
Потроєння трафіку на головну сторінку може ніяк не позначитися на працездатності сайту, але таке ж навантаження безпосередньо на сторінку з кошиком призводить до проблем, оскільки додаток починає посилати численні запити до всіх компонентів, задіяних в транзакціях.
Як виявити атаки (перші два пункти можуть здатися очевидними, але не варто ними нехтувати):
– покупці скаржаться, що сайт не працює;
– сайт або окремі сторінки працюють повільно;
– різко зростає трафік на окремих сторінках, з’являється велика кількість запитів в кошик або на сторінку оплати.
Злом особистих кабінетів
BruteForce, або перебір паролів, організовується за допомогою спамерських пошукових роботів. Для злому використовуються витеклі бази даних. В середньому, користувачі придумують не більше п’яти варіантів паролів для всіх онлайн-акаунтів – і варіанти легко підбираються ботами, які перевіряють мільйони комбінацій в найкоротший час. Потім зловмисники можуть перепродати актуальні комбінації логінів і паролів.
Також хакери можуть заволодіти особистими кабінетами і потім використовувати їх в своїх інтересах. Наприклад, вивести накопичені бонуси, вкрасти куплені квитки на заходи – в загальному, варіантів подальших дій безліч.
Розпізнати BruteForce не дуже складно: про те, що хакери намагаються зламати акаунт, говорить незвично висока кількість неуспішних спроб логіну. Хоча буває, що зловмисники відправляють і невелику кількість запитів.
Склікування
Склікування рекламних оголошень ботами може привести до значних збитків компаній, якщо його не помітити. Під час атаки боти переходять по розміщених на сайті оголошень і тим самим відчутно впливають на метрики.
Рекламодавці, очевидно, розраховують, що розміщені на майданчиках банери і відеоролики побачать реальні користувачі. Але оскільки число показів обмежена, реклама, через ботів, демонструється все меншій кількості людей.
Самі ж сайти хочуть за рахунок показів реклами збільшити свій прибуток. А рекламодавці, якщо бачать ботовий трафік, знижують обсяг розміщень на майданчику, що веде і до збитків, і до погіршення репутації майданчика.
Експерти виділяють наступні типи рекламного фроду:
– помилкові перегляди. Боти відвідують безліч сторінок сайту і генерують нелегітимні перегляди реклами;
– клікфрод. Боти переходять по рекламних посиланнях в пошуку, що веде до зростання витрат на пошукову рекламу;
– ретаргетінг. Боти перед склікуванням відвідують безліч легітимних майданчиків, щоб створити cookie-файл, який коштує дорожче для рекламодавців.
Як виявити склікування? Зазвичай після очищення трафіку від фроду показник конверсії знижується. Якщо ви бачите, що обсяг переходів по банерах вище очікуваного, то це говорить про присутність ботів на сайті. Іншими показниками нелегітимного трафіку можуть бути:
– зростання кліків по рекламних оголошеннях при мінімальній конверсії;
– конверсія знижується, хоча зміст реклами не змінювався;
– множинні кліки з однієї IP-адреси;
– низька частка залучення користувачів (в тому числі велика кількість відмов) при зростанні кліків.
Пошук вразливостей
Тестування на уразливості виконується автоматичними програмами, які шукають слабкі місця сайту і API. Серед популярних інструментів – Metasploit, Burp Suite, Grendel Scan і Nmap. Сканувати сайт можуть як спеціально найняті компанією сервіси, так і зловмисники. Майданчики домовляються з фахівцями зі злому, щоб перевірити свій захист. IP-адреси аудиторів в такому випадку заносяться в white-листи.
Зловмисники ж тестують сайти без попередньої домовленості. Надалі хакери використовують результати перевірок для своїх цілей: наприклад, вони можуть перепродати інформацію про слабкі місця майданчика. Буває, що ресурси скануються НЕ цілеспрямовано, а в рамках експлуатування уразливості сторонніх ресурсів. Візьмемо WordPress: якщо в якій-небудь версії виявлений баг, боти шукають все майданчики, які використовують цю версію. Якщо ваш ресурс потрапив в такий список, можна чекати візиту хакерів.
Як виявити ботів?
Для пошуку слабких місць сайту зловмисники спочатку проводять розвідку, що веде до зростання підозрілої активності на майданчику. Фільтрація ботів на цьому етапі допоможе уникнути подальших атак. Хоча ботів і складно виявити, тривожним сигналом можуть стати запити до всіх сторінок сайту, що відправляються з однієї IP-адреси. Варто звернути увагу і на зростання запитів до неіснуючих сторінок.
Спам
Боти можуть заповнювати форми сайту «сміттєвим» контентом без вашого відома. Спамери залишають коментарі і відгуки, створюють фейкові реєстрації та замовлення. Класичний метод боротьби з ботами, CAPTCHA, в цьому випадку неефективний, оскільки дратує реальних користувачів. До того ж, боти навчилися обходити такі інструменти.
Найчастіше спам нешкідливий, проте буває, що боти пропонують сумнівні послуги: розміщують оголошення про продаж підроблених речей і ліків, просувають посилання на порносайти та відводять користувачів на шахрайські ресурси.
Як виявити ботів-спамерів:
- якщо на вашому сайті з’явився спам, то швидше за все його власне боти і розміщують;
- у вашій поштовій розсилці багато недійсних адрес. Боти часто залишають неіснуючі е-мейли;
- ваші партнери і рекламодавці скаржаться, що з вашого сайту приходять спам-ліди.
З цієї статті може здатися, що боротися з ботами своїми силами складно. Насправді, так воно і є, і краще довірити захист сайту професіоналам. Навіть великі компанії часто не в силах самостійно відстежувати нелегітимний трафік і тим більше фільтрувати його, оскільки це вимагає значної експертизи і великих витрат на IT-команду.
Джерело: habr.com
