Brute Force в потребительской корзине

VaritiBrute Force, или взлом аккаунтов с помощью перебора паролей, — один из наиболее эффективных способов получить доступ к личным данным пользователей. Brute Force атаки могут коснуться практически любого сайта, на котором есть личный кабинет. Так, в июле хакеры неделю пытались взломать аккаунты покупателей на сайте крупного международного ритейлера. Рассказываем, что делать во время таких атак, как следует защищать приложение и веб-сервер, и как можно перехитрить ботов.

Как происходит подбор паролей

Хакеры давно не подбирают пароли вручную, а используют метод Brute Force. Взлом упрощают утекшие базы логинов и паролей. Когда случаи утечки таких баз становятся известными, лишь малая часть пользователей меняет пароли, при этом вспомнить все сайты, на которых используется одна и та же комбинация, практически невозможно. В итоге пользователи могут сменить пароль для наиболее важных сервисов: личных кабинетов банков, соцсетей и почтовых сервисов. Но даже сознательные люди забывают о реже используемых ресурсах, например, об аккаунте на сайте продуктового магазина.

Реальный кейс

В июле хакерской атаке подверглась крупная мировая сеть супермаркетов. Хакеры неделю пытались подбирать пароли к личным кабинетам на российском сайте ритейлера, чтобы заполучить бонусные баллы клиентов. Если бы злоумышленникам удалось вывести накопленные бонусы, это привело бы как к дополнительным убыткам для бизнеса из-за обналичивания бонусных баллов, так и к потере лояльности со стороны клиентов.

Ошибка магазина заключалась в том, что он использовал защиту от ботов только для веб-сервера, оставляя API, на который и велась атака, незакрытым. Соответственно отражать попытки взлома можно было только с помощью статистической защиты, при которой специалисты анализируют поток запросов на сайт и блокируют подозрительные IP-адреса.

Сначала выявлять ботов было несложно, поскольку хакеры отправляли множество запросов с небольшого количества IP-адресов. Однако через несколько дней злоумышленники использовали уже ботнет из 200 тысяч адресов с минимальным количеством запросов в час, и на статистическом уровне опознать ботов стало практически невозможно. Кроме того, заблокированные IP-адреса через восемь часов снова становились активными. Это распространенный способ настройки веб-серверов, поскольку за одним адресом часто скрываются несколько устройств, и легитимные пользователи в противном случае не могут получить доступ к ресурсу.

Решение

Компания Variti предлагает защиту от ботов как для веб-сервера, так и для API. Это позволяет не анализировать поведение хакеров постфактум, а сразу выявлять подозрительные запросы, даже если атака ведется на приложение.

Мы размечаем ботовый трафик и в дальнейшем возможны сразу несколько сценариев, позволяющих отбить атаку. Так, запросы от ботов могут блокироваться, что является наиболее очевидным шагом. Более правильным решением будет выдача ботам специального сообщения: например, о том, что пара логин-пароль недействительна, даже если на самом деле это не так. Наконец, можно использовать ложную информацию: показывать будто бы в личном кабинете баланс баллов нулевой. Боты не смогут отличить фейковый ответ сайта, и тогда злоумышленник потеряет интерес к аккаунту.

Отдельно отметим, что технология Variti Active Bot Protection не блокирует IP-адреса, а размечает трафик и выявляет нелегитимные запросы. В результате, "настоящие" клиенты сохраняют доступ к сайту. Определение источника запросов с помощью Active Bot Protection позволяет бизнесу решить проблему и других видов ботовых атак, включая DDoS, парсинг и фрод. Мы защищаем ресурсы через высокопроизводительный облачный сервис, что позволяет предотвращать даже атаки мощностью в сотни GBit/s.

Компания Variti является партнером секции "Безопасный цифровой банк: проблемы и их решения", которая состоится 23 ноября в зале A в рамках конференции "Безопасный цифровой банк: комплаенс и новейшие технологии".

СТАТЬ УЧАСТНИКОМ   СТАТЬ ПОСЕТИТЕЛЕМ

Сюжеты ITSEC 2018 Новости партнеров