Get best of the week

Comment les sites de commerce électronique résistent-ils aux botnets AuthBots?

Les cybercriminels pompent les données personnelles de millions de consommateurs en ligne. Un nouveau type de botnet qui menace les entreprises de commerce électronique est appelé «AuthBots» pour ses tentatives incessantes de casser les mécanismes d'authentification. Les AuthBots sont utilisés pour mener des attaques à grande échelle en piratant des sites ou en bourrant les informations d'identification et en capturant des comptes d'utilisateurs.

À l'aide d'une armée de robots lancés à partir d'adresses IP attribuées illégalement, AuthBots a effectué près de 2,3 milliards d'attaques contre les pages d'autorisation de commerce électronique au cours des trois premiers trimestres de 2019 seulement.

image

Les chercheurs de Radware sur la cybersécurité ont remarqué pour la première fois des traces de robots similaires sur de nombreux sites de commerce électronique fin 2018 et ont commencé à suivre les botnets.

Le rapport suivant illustre l'évolution rapide des mécanismes et l'évolution des botnets AuthBot, ainsi que leur impact destructeur sur l'ensemble de l'écosystème du e-commerce.

Cette analyse peut ne prendre en compte qu'une petite fraction des dégâts réels causés par les botnets AuthBot. L'impact négatif total permanent sur l'écosystème de la vente au détail en ligne peut être plus important, car l'analyse des chercheurs de Radware se limite aux informations sur les sites qu'ils contrôlent.

Présentation de AuthBot Botnet


Première découverte: fin 2018

Échelle: environ 2,3 milliards d'attaques contre les pages d'autorisation des sites Web des entreprises de commerce électronique pour la période allant du premier au troisième trimestre de 2019.

Infrastructure: 52 millions d'attaques de botnet AuthBot provenaient de 10 centres de données / clouds publics populaires.

Méthodes: (1) Attaque de bourrage d'informations d'identification utilisant une attaque de bourrage d'informations d'identification volée / achetée sur d'autres ressources (2) Informations d'identification de craquage d'informations d'identification ou (3) Sélection du mot de passe d'attaque par force brute.

Techniques avancées de contournement de la détection des bots


  • Géolocalisation et fraude à l'adresse IP via des procurations
  • Plus de la moitié des attaques de botnet AuthBot proviennent de centres de données / services de cloud public
  • IP-
  • IP- -
  • (RPA),
  • (daisy-chain)

image
.1 AuthBot-:


  • 2019 AuthBot ecommerce-.
  • AuthBot

image
Fig. 2 Dommages professionnels mensuels dus aux botnets AuthBot

Consignes de prévention des attaques par Botnet AuthBot


Les botnets AuthBot appartiennent principalement à la quatrième génération de "mauvais" bots. Ces robots peuvent se connecter à partir de milliers d'adresses IP de différentes géolocalisations et simuler le comportement d'un utilisateur réel. Pour identifier et refléter AuthBots, des technologies avancées sont nécessaires, par exemple, l'utilisation d'un service spécialisé de fournisseurs de solutions de gestion de bot.

Cependant, les entreprises de commerce électronique peuvent prendre un certain nombre de mesures préventives pour freiner la propagation des réseaux de zombies sur leurs sites avant même la mise en œuvre d'une solution spécialisée à part entière.

1. Blocage du trafic provenant des clouds publics / centres de données hébergeant de «mauvais» robots

Un pourcentage important de robots AuthBot sont lancés à partir de clouds publics / centres de données. Les organisations peuvent bloquer les centres de données / services de cloud public suspects. Cependant, bloquer tout le trafic provenant des centres de données ou des fournisseurs de services, sans prendre en compte le comportement des utilisateurs, peut conduire à des faux positifs.

Par exemple, un nombre important d'utilisateurs d'organisations commerciales sur les réseaux desquels les passerelles de sécurité Internet (SWG) sont installées pour filtrer le trafic des utilisateurs seront qualifiés de trafic provenant des centres de traitement des melons, où se trouvent les passerelles de sécurité.

2. Surveillance des tentatives d'autorisation infructueuses et des surtensions soudaines

Les botnets AuthBot attaquent les pages d'autorisation en utilisant une attaque de bourrage d'informations d'identification ou une attaque de craquage d'informations d'identification. Les deux options impliquent l'énumération de nombreuses données différentes ou combinaisons de noms d'utilisateur et de mots de passe, ce qui augmente le nombre de tentatives d'autorisation ayant échoué. La présence d'AuthBots sur le site augmente également considérablement le trafic vers le site.

La surveillance des autorisations échouées et des pics de trafic inattendus vous aidera à prendre des mesures en temps opportun et à éviter les dommages causés par les botnets.

3. Moyens de déterminer les actions automatisées des bots déguisés en comportement d'utilisateurs réels légitimes.

Les botnets AuthBot simulent les mouvements de la souris, produisent des frappes aléatoires et la navigation dans les pages, semblable au comportement des utilisateurs en direct. Pour prévenir de telles attaques, des fonctionnalités de sécurité avancées sont requises, notamment des modèles d'analyse comportementale approfondie, des empreintes digitales de l'appareil / du navigateur et des systèmes de rapport pour empêcher le blocage des utilisateurs réels.

Les solutions de protection des bots spécialisées vous permettent de détecter de telles attaques automatisées sophistiquées et vous aident à prendre des mesures proactives. En comparaison, les outils de cybersécurité traditionnels - tels que les pare-feu et les solutions de sécurité Web (pare-feu, pare-feu d'application Web, WAF) - se limitent au suivi des faux cookies, des agents utilisateurs et de la réputation des adresses IP.

De plus, l'installation ou la mise en œuvre d'une solution spécialisée pour la gestion des bots vous permet non seulement de protéger de manière fiable les pages d'autorisation contre les botnets AuthBot, mais contribue également à éliminer d'autres types d'attaques automatisées commises après l'autorisation. Ces types d'attaques incluent l'analyse syntaxique pour collecter des données pour une analyse ultérieure (grattage Web), ainsi que l'abus et la perturbation des services de la boutique en ligne (abus de caisse et déni d'inventaire).

image

More articles:


All Articles