Get best of the week

¿Cómo resisten los sitios de comercio electrónico a las botnets AuthBots?

Los ciberdelincuentes extraen los datos personales de millones de compradores en línea. Un nuevo tipo de botnet que amenaza a las empresas de comercio electrónico se llama "AuthBots" por sus implacables intentos de descifrar los mecanismos de autenticación. Los AuthBots se utilizan para llevar a cabo ataques a gran escala pirateando sitios o rellenando credenciales y capturando cuentas de usuario.

Utilizando un ejército de bots lanzado desde direcciones IP asignadas ilegalmente, AuthBots realizó casi 2.300 millones de ataques en páginas de autorización comercial de comercio electrónico solo en los primeros tres trimestres de 2019.

imagen

Los investigadores de seguridad cibernética de Radware notaron por primera vez trazas de bot similares en muchos sitios de comercio electrónico a fines de 2018 y comenzaron a rastrear botnets.

El siguiente informe ilustra la rápida evolución de los mecanismos y la evolución de las botnets AuthBot, así como su impacto destructivo en todo el ecosistema del comercio electrónico.

Este análisis puede tener en cuenta solo una pequeña fracción del daño real de las botnets AuthBot. El impacto negativo permanente total en el ecosistema del comercio minorista en línea puede ser mayor, ya que el análisis de los investigadores de Radware se limita a la información sobre los sitios que controlan.

Descripción general de la botnet AuthBot


Primero descubierto: finales de 2018

Escala: alrededor de 2.300 millones de ataques a páginas de autorización de sitios web de empresas de comercio electrónico para el período comprendido entre el primer y el tercer trimestre de 2019.

Infraestructura: 52 millones de ataques de botnet AuthBot provienen de 10 centros de datos populares / nubes públicas.

Métodos: (1) Ataque de relleno de credenciales usando ataque de relleno de credenciales robado / comprado en otros recursos (2) credencial de credencial de credencial o (3) selección de contraseña de ataque de fuerza bruta.

Técnicas avanzadas de derivación de detección de bot


  • Geolocalización y fraude de direcciones IP a través de servidores proxy
  • Más de la mitad de los ataques de botnet AuthBot provienen de centros de datos / servicios de nube pública
  • IP-
  • IP- -
  • (RPA),
  • (daisy-chain)

imagen
.1 AuthBot-:


  • 2019 AuthBot ecommerce-.
  • AuthBot

imagen
Fig.2 Daño comercial mensual de las botnets AuthBot

Pautas de prevención de ataques de bots AuthBot


Las botnets AuthBot pertenecen principalmente a la cuarta generación de bots "malos". Estos bots pueden conectarse desde miles de direcciones IP desde varias geolocalizaciones y simular el comportamiento de un usuario real. Para identificar y reflejar AuthBots, se necesitan tecnologías avanzadas, por ejemplo, el uso de un servicio especializado de proveedores de soluciones de administración de bots.

Sin embargo, las empresas de comercio electrónico pueden tomar una serie de medidas de precaución para frenar la propagación de botnets en sus sitios, incluso antes de la implementación de una solución especializada completa.

1. Bloqueo del tráfico de nubes públicas / centros de datos que albergan bots "malos"

Un porcentaje significativo de bots AuthBot se inicia desde nubes públicas / centros de datos. Las organizaciones pueden bloquear centros de datos sospechosos / servicios de nube pública. Sin embargo, bloquear todo el tráfico proveniente de centros de datos o proveedores de servicios, sin tener en cuenta el comportamiento del usuario, puede generar falsos positivos.

Por ejemplo, un número significativo de usuarios de organizaciones comerciales en cuyas redes se instalan puertas de enlace de seguridad de Internet (SWG) para filtrar el tráfico de usuarios se calificará como tráfico de los centros de procesamiento de melón, donde se encuentran las puertas de enlace de seguridad.

2. Monitoreo de intentos fallidos de autorización y sobretensiones repentinas

Las botnets AuthBot atacan las páginas de autorización mediante el ataque de relleno de credenciales o el ataque de craqueo de credenciales. Ambas opciones implican enumerar muchos datos diferentes o combinaciones de nombres de usuario y contraseñas, lo que aumenta el número de intentos fallidos de autorización. La presencia de AuthBots en el sitio también aumenta dramáticamente el tráfico al sitio.

El monitoreo de autorizaciones fallidas y picos inesperados en el tráfico lo ayudará a tomar medidas oportunas y evitar daños por botnets.

3. Medios para determinar las acciones automatizadas de los bots disfrazados de comportamiento de usuarios legítimos reales.

Las botnets AuthBot simulan los movimientos del mouse, producen pulsaciones de teclas aleatorias y navegación de página, similar al comportamiento de los usuarios en vivo. La prevención de tales ataques requiere la introducción de características de seguridad avanzadas, que incluyen modelos de análisis de comportamiento profundo, huellas digitales del dispositivo / navegador y sistemas de informes para evitar el bloqueo de usuarios reales.

Las soluciones especializadas para la protección contra bots pueden detectar ataques automatizados tan sofisticados y ayudar a tomar medidas proactivas. En comparación, las herramientas tradicionales de seguridad cibernética, como los firewalls y las soluciones de seguridad web (firewalls, firewall de aplicaciones web, WAF), se limitan al rastreo de cookies falsas, agentes de usuario y reputación de direcciones IP.

Además, la instalación o implementación de una solución especializada para la administración de bot no solo le permite proteger de manera confiable las páginas de autorización de las botnets AuthBot, sino que también ayuda a eliminar otros tipos de ataques automáticos realizados después de la autorización. Estos tipos de ataques incluyen el análisis para recopilar datos para su posterior análisis (raspado web), así como el abuso y la interrupción de los servicios de la tienda en línea (abuso de pago y denegación de inventario).

imagen

More articles:


All Articles