Get best of the week

Como os sites de comércio eletrônico resistem às botnets do AuthBots?

Os criminosos cibernéticos extraem os dados pessoais de milhões de compradores on-line. Um novo tipo de empresa de comércio eletrônico que ameaça botnet foi chamado de "AuthBots" por suas tentativas incansáveis ​​de quebrar os mecanismos de autenticação. O AuthBots é usado para realizar ataques em larga escala por sites de hackers ou preenchimento de credenciais e captura de contas de usuário.

Usando um exército de bots lançados a partir de endereços IP atribuídos ilegalmente, o AuthBots fez quase 2,3 bilhões de ataques somente nas páginas de autorização de negócios de comércio eletrônico nos três primeiros trimestres de 2019.

imagem

Pesquisadores de segurança cibernética da Radware notaram traços semelhantes de bot em muitos sites de comércio eletrônico no final de 2018 e começaram a rastrear botnets.

O relatório a seguir ilustra a rápida evolução dos mecanismos e a evolução das botnets AuthBot, bem como seu impacto destrutivo em todo o ecossistema de comércio eletrônico.

Essa análise pode levar em consideração apenas uma pequena fração do dano real das redes de bots AuthBot. O impacto negativo total permanente no ecossistema do varejo on-line pode ser maior, uma vez que a análise dos pesquisadores da Radware se limita às informações nos sites que eles controlam.

Visão geral do AuthBot Botnet


Descoberto pela primeira vez: final de 2018

Escala: cerca de 2,3 bilhões de ataques a páginas de autorização de sites de empresas de comércio eletrônico no período entre o primeiro e o terceiro trimestres de 2019.

Infraestrutura: 52 milhões de ataques de botnet AuthBot vieram de 10 data centers / nuvens públicas populares.

Métodos: (1) ataque de preenchimento de credencial usando ataque de preenchimento de credencial roubado / comprado em outros recursos (2) credencial de craqueamento de credencial ou (3) seleção de senha de ataque de força bruta.

Técnicas avançadas de desvio de detecção de bot


  • Fraude de geolocalização e endereço IP por meio de proxies
  • Mais da metade dos ataques de botnet AuthBot são provenientes de data centers / serviços de nuvem pública
  • IP-
  • IP- -
  • (RPA),
  • (daisy-chain)

imagem
.1 AuthBot-:


  • 2019 AuthBot ecommerce-.
  • AuthBot

imagem
Fig. 2 Dano comercial mensal das botnets do AuthBot

Diretrizes para prevenção de ataques de botnet AuthBot


Os botnets do AuthBot pertencem principalmente à quarta geração de bots "ruins". Esses bots podem se conectar a partir de milhares de endereços IP de várias localizações geográficas e simular o comportamento de um usuário real. Para identificar e refletir o AuthBots, são necessárias tecnologias avançadas, por exemplo, o uso de um serviço especializado dos fornecedores de soluções de gerenciamento de bots.

No entanto, as empresas de comércio eletrônico podem tomar várias medidas de precaução para conter a disseminação de botnets em seus sites, mesmo antes da implementação de uma solução especializada completa.

1. Bloqueando o tráfego de nuvens / data centers públicos que abrigam bots "ruins"

Uma porcentagem significativa de bots AuthBot é lançada a partir de nuvens / data centers públicos. As organizações podem bloquear centros de dados / serviços em nuvem pública suspeitos. No entanto, bloquear todo o tráfego proveniente de data centers ou provedores de serviços, sem levar em conta o comportamento do usuário, pode levar a falsos positivos.

Por exemplo, um número significativo de usuários de organizações comerciais em cujas redes os gateways de segurança da Internet (SWGs) estão instalados para filtrar o tráfego do usuário será qualificado como tráfego dos centros de processamento de melão, onde estão localizados os gateways de segurança.

2. Monitorando tentativas de autorização com falha e surtos repentinos de tráfego

As botnets do AuthBot atacam as páginas de autorização usando ataques de preenchimento de credenciais ou de cracking de credenciais. Ambas as opções envolvem enumerar muitos dados ou combinações diferentes de nomes de usuário e senhas, o que aumenta o número de tentativas de autorização com falha. A presença de AuthBots no site também aumenta drasticamente o tráfego para o site.

O monitoramento de autorizações com falha e picos inesperados no tráfego ajudará você a tomar medidas oportunas e evitar danos causados ​​por redes de bots.

3. Meios para determinar as ações automatizadas de bots disfarçadas de comportamento de usuários legítimos reais.

As botnets do AuthBot simulam os movimentos do mouse, produzem pressionamentos de teclas aleatórios e navegação na página, semelhante ao comportamento dos usuários ao vivo. A prevenção de tais ataques requer a introdução de recursos avançados de segurança, incluindo modelos de análise comportamental profunda, impressões digitais de dispositivos / navegadores e sistemas de relatórios para impedir que usuários reais sejam bloqueados.

Soluções especializadas para proteção contra bots podem detectar ataques automatizados sofisticados e ajudar a tomar medidas proativas. Em comparação, os recursos tradicionais de segurança cibernética - como firewalls e soluções de segurança da Web (firewalls, firewall de aplicativos da Web, WAF) - são limitados ao rastreamento de cookies falsos, agentes do usuário e reputação do endereço IP.

Além disso, a instalação ou implementação de uma solução especializada para gerenciamento de bots não apenas permite proteger de forma confiável as páginas de autorização das botnets do AuthBot, mas também ajuda a eliminar outros tipos de ataques automatizados feitos após a autorização. Esses tipos de ataques incluem a análise para coletar dados para análises subsequentes (raspagem na web), além de abuso e interrupção dos serviços de loja online (abuso de checkout e negação de inventário).

imagem

More articles:


All Articles