欺詐的新時代:基於 BOT 的威脅

人類 vs BOT 在這個線上購票場景中,人類處於劣勢,很難搶先Bot一步購得門票。當門票售罄後,詐騙犯便可以在晚些時候以更高的價格出售他們借助Bot搶到的門票。

人類 vs BOT

在這個線上購票場景中,人類處於劣勢,很難搶先Bot一步購得門票。當門票售罄後,詐騙犯便可以在晚些時候以更高的價格出售他們借助Bot搶到的門票。

瞭解您的敵人:欺詐具有多面性

瞭解詐欺並加速採取策略是有效偵測和緩和攻擊的第一步。犯罪者將使用各式有創意、複雜且難以察覺的工具和策略,評估並利用應用程式和流程的弱點,不斷考驗您對詐欺的辨識和阻止能力。

商務邏輯攻擊
這些攻擊未必是透過程式碼的安全缺口進行的,也會利用應用程式工作原理和您執行業務的方法。例如,在網頁應用程式上買個小東西(例如訂購披薩)來驗證盜取的信用卡號碼。或在咖啡店的回饋計畫中登錄365次,以便在一年內每天獲得免費的「生日咖啡」。

智慧財產竊盜
網路搜刮器可穿越數位資產,盜取並重新應用內容,例如訂價資訊、出版文獻及其他此類資產。詐欺者可利用遭盜取的內容削減定價、挖走潛在訪客或採集客戶資訊。

帳戶接管
帳戶接管是一種身份盜竊形式,網路犯罪分子可通過帳戶接管非法存取受害者的使用者帳戶。無論是通過攻擊使用者憑證、發送帶惡意連結或附件的網路釣魚電子郵件,還是暴力攻擊,帳戶接管通常都會有惡意Bot參與。銀行帳戶、線上遊戲帳戶,甚至是旅館獎勵積分帳戶都是典型的攻擊目標,因為詐騙犯可以從這些帳戶中獲得經濟利益。

點擊欺詐
在受感染的電腦僵屍網路的支援下,這些工具模仿人類行為以達成各種目的,例如註冊帳戶和點擊廣告,以非法方式增加廣告收入。此類更先進的工具可以擊敗傳統的支援 JavaScript 的工作流,並摧毀用於區分人類和機器人(及其他自動化代理程式)的進程。

黃牛程式
這些機器人程式可購買、囤積和轉售商品與服務(通常是限量販售),例如演唱會門票或搶手的球鞋。黃牛程式會儘量購買,以便隨後將取得的商品以高價轉售謀利。允許或忽視這種行為可能會疏遠真正的客戶群,因為他們將無法直接向您購買,而這種作為等同拒絕服務,會讓您的可靠來源形象蒙上一層陰影。

阻斷服務
不提供服務就沒有生意。這些攻擊可利用較多的請求淹沒您的應用程式或網站,使資源不足且難以(或無法)與真實的客戶互動。當犯罪者對其他目標發動攻擊時,也可利用拒絕服務作為欺敵戰術。

機器人程式、機器人程式,到處都是機器人程式!

自動程式產生的網際網路流量現在已超過人為的流量。部分原因是,一般人在善意的機器人程式中找到愈來愈多的工具,能幫助他們索引和搜索網際網路、找到最便宜的旅行方式,以及取得可顯示在我們最常瀏覽網站上的相關內容。如同Siri、Alexa和Google將機器人程式作為個人助理以隨時聽從我們的指揮,機器人程式已成為企業與消費者的基本工具。

但機器人程式也是詐欺者的最佳戰友。它們既方便又有效,也不會質疑,因而成為進行惡意活動不可或缺的工具。最受歡的應用程式所採用的技術,也經常提供機器人程式詐欺的能力。

某些機器人程式是專為取代人工而設計的。詐欺者利用這些社交機器人程式來促銷產品、服務,甚至透過社交媒體、討論群組、產品評價或公共論壇操縱公共意見。 

詐欺者也利用「點擊機器人程式」從廣告網路騙取大量金錢獲利。這種精心設計且富有創意的計畫,包括註冊假網域並誤導自動化廣告演算法,將廣告放置在偽造的網站上。犯罪者接著利用「農場機器人程式」訪問偽造的網站並點擊廣告;每天數百萬的費用由全球企業行銷預算買單。

並非所有的機器人程式都被用來詐欺。某些自動化程式會在網際網路上遊蕩,尋找可利用的網路應用程式弱點。這些通常是未正確更新或修補的網路應用程式,因此未解決的資訊外洩問題,相對上就容易被這些自動程式找出。一旦找到應用程式,詐欺者就能計劃如何利用。

某些機器人程式能傳播惡意軟體。例如,TrickBot 比較像是木馬型蠕蟲而不像傳統的機器人程式,且廣泛用於針對金融機構的詐欺攻擊。這些機器人程式利用社交引擎、釣魚式攻擊或惡意廣告,誤導使用者將惡意程式安裝在他們的系統上。安裝完成後,惡意軟體會引導受害者到貌似其金融機構的偽造網站,就能在此採集他們的敏感資訊。

https://www.recode.net/2017/5/31/15720396/internet-traffic-bots-surpass-human-2016-mary-meeker-code-conference

https://www.theguardian.com/technology/2017/jun/19/social-media-proganda-manipulating-public-opinion-bots-accounts-facebook-twitter

http://www.ana.net/content/show/id/botfraud-2017

https://f5.com/labs/articles/threat-intelligence/malware/trickbot-expands-global-targets-beyond-banks-and-payment-processors-to-crms

 

無止盡的打地鼠遊戲:防範詐欺

網頁應用程式防火牆
WAF可藉由阻擋惡意指令碼及注入,針對詐欺提供關鍵對策。除了能阻擋已知的攻擊,WAF也採取了「正向安全模型」,此模型可讓您定義已知的「善意」應用程式輸入(例如在輸欄中阻擋非字母字元)。應用程式本身很難有效提供全面性的輸入驗證,WAF 的正向安全模型可以彌補這方面缺失,因此,開發人員可專注於應用程式的特色和功能性。

WAF 不僅能保護您的應用程式,也能提供極重要的應用程式流量可見性、登入及統計分析,將這分析用於商業情報、流量預測,或甚至在需要時做法庭鑑定分析之用。

可程式化性
隨著攻擊者適應新的控制措施和巿場狀況,機器人程式和詐欺手段不斷變化。若能取得可同樣快速適應的工具,這將有助於維持有效的防禦。這一點對於應付詐欺活動特別重要,因為詐欺者攻擊企業時專挑個人下手,並視情況調整手段。

具有可程式化性先進功能的 WAF 能讓您針對您的服務量身打造防禦方式。例如,您或許能鑑別出惡意軟體或已知的善意端點的指紋,然後加以應對或避開其他的挑釁,或僅僅阻擋已知涉及詐欺的端點。

IP 情報
IP情報可檢驗連線到應用程式的來源網路和地理位置,也能提供這些連線的信譽相關背景資料。您可在網路層中斷來自已知不良/惡意位址或不當地點的連線,藉此減少風險並保留重要系統資源的完整性和可用性,最終節省您的營運成本。
   
防釣魚式攻擊
釣魚式攻擊是詐欺者的主要工具,且通常與仿冒真實的網站和應用程式有關。當偽造的網站要求網站資源(例如圖像)時,應用程式代理伺服器能加以偵測。代理伺服器能阻擋內容並向管理員示警,如此即能識別並擊敗偽造的網站。此外,防搜刮技術能讓冒牌網站更難以程式化方式重製,有助於一開始即減少建立這些網站的可能性。

身分與存取控制
當詐欺者取得盜取帳號密碼的資料清單時,最常見的作為是到處測試,企圖存取其他應用程式。機器人程式自動大量執行這個流程,我們通常稱之為「帳號密碼填充」。應用程式代理伺服器能偵測這種帳號密碼填充活動並加以終結。詐欺者會使用機器人程式所產生的密碼不斷嘗試突破帳戶帳號密碼,使用相同的技術也能對此種破壞提供保護。應用程式代理伺服器也能執行內容型適應性多重因素驗證,可依據如地理位置或應用程式動作敏感性等特定條件,增加應用程式使用者的驗證要求。

內容檢查與保護
檢視輸出資料又是另一層的詐欺保護。應用程式代理伺服器能分析輸出的應用程式流量,藉此減少意外的或惡意資訊外洩的情況,並視情況強制執行規則。例如,若是敏感性資料(如付款或帳號資訊)外洩,可在資料落入詐欺者手中之前,於代理伺服器上加以阻擋或去除敏感資料。這可能也包括其他看似無害的資料,像是軟體識別資料及版本,這些資料可在日後弱點被發現或揭露時作為攻擊之用。

自動化瀏覽防禦
具備網站導覽和瀏覽能力的自動化軟體,助長大量的詐欺活動。在代理伺服器層執行非人為流量檢查,將有助於降低詐欺活動的風險。您可以透過混合不同的檢查,包括行為分析(「這像是人類的行為嗎?」)和可用以識別並分類非真人瀏覽器的裝置/瀏覽器指紋,即便工作階段和 IP 資訊改變亦然。

詐欺:整體性防禦是最佳的保護

解決詐欺問題需要正確結合策略、技術和審查。雖然無法用簡單的解決方案消除詐欺,但利用應用程式代理伺服器作為網際網路和應用程式間的緩衝將是您最好的保護措施。應用程式代理伺服器能在需要時幫助您使用正確的保護措施,亦即進到應用程式之前。

結合應用程式保護、網路安全性、存取控制、威脅情報和端點檢查,您就能取得所需的工具,在詐欺活動有機會染指您的業務前加以打擊。

如欲瞭解有關 Bot 管理和欺詐的更多資訊,請訪問 f5.com/bots

 

優先考量應用程式的安全性

隨時開啟和隨時連線的應用程式可以幫助貴企業茁壯和轉型,不過,除了防火牆的保護,這些應用程式也可說是存取重要資料的入口。鑑於多數攻擊發生在應用程式層級,所以保護那些推動貴企業的能力,也就是保護那些提供動力的應用程式。

更多安全資源,請訪問 f5.com/solutions

分享此篇文章
%d 位部落客按了讚: