Ataki botów stanowią coraz większe ryzyko dla branży turystycznej

W miarę jak branża turystyczna odbudowuje się po pandemii, jest ona coraz częstszym celem zautomatyzowanych zagrożeń, a sektor ten doświadczył prawie 21% wszystkich żądań ataków botów w ubiegłym roku. Tak wynika z badań przeprowadzonych przez Imperva, firmę należącą do Thales. W swoim raporcie Bad Bot Report 2024 Imperva stwierdza, że bad boty stanowiły 44,5% ruchu internetowego w branży w 2023 r., co stanowi znaczny skok z 37,4% w 2022 r.

Oczekuje się, że letni sezon turystyczny i ważne europejskie wydarzenia sportowe zwiększą popyt konsumentów na loty, zakwaterowanie i inne usługi związane z podróżami. W rezultacie Imperva ostrzega, że branża może odnotować wzrost aktywności botów. Boty te atakują branżę poprzez nieautoryzowany scraping, seat spinning, przejmowanie kont i oszustwa.

Od scrapingu do oszustwa

Boty to aplikacje, które wykonują zautomatyzowane zadania w Internecie. Wiele z tych zadań, od indeksowania stron internetowych dla wyszukiwarek po monitorowanie wydajności witryny, jest zgodnych z prawem, ale coraz więcej z nich nie jest.

Bad boty angażują się w różne złośliwe działania, od ataków typu denial-of-service po oszustwa transakcyjne. Te zautomatyzowane zagrożenia mogą zużywać przepustowość, spowalniać serwery i zakłócać operacje biznesowe, nawet jeśli nie kradną bezpośrednio wrażliwych danych lub nie przeprowadzają oszukańczych transakcji.

Branża turystyczna od dawna boryka się ze złożonymi problemami związanymi z botami, ponieważ złośliwi aktorzy mogą wykorzystywać różne sposoby wykorzystania logiki biznesowej w aplikacjach turystycznych. Oto niektóre z najczęstszych sposobów, w jakie codziennie atakowane są aplikacje związane z podróżami:

• Fare Scraping: Wykorzystanie botów do agregowania informacji o cenach, zapasach, obniżonych taryfach i nie tylko. Linie lotnicze są szczególnym celem scrapingu, ponieważ boty obsługiwane przez internetowe biura podróży (OTA), agregatory i konkurencję często zbierają dane bez pozwolenia. W rezultacie duża liczba botów scrapujących informacje może zniekształcać krytyczne wskaźniki biznesowe, takie jak współczynniki wyszukiwania do rezerwacji i zawyżać koszty API. Przykładowo, jedna z linii lotniczych ponosiła miesięczne koszty w wysokości 500 000 USD z tytułu opłat za żądania API w związku z gwałtownym wzrostem ruchu botów pobierających dane z API wyszukiwania.
• Seat Spinning: Wykorzystanie botów do wielokrotnego rezerwowania i anulowania miejsc w liniach lotniczych lub pokojach hotelowych, tworząc tymczasową rezerwację bez dokonywania faktycznego zakupu. Działanie to fałszywie tworzy niedobór, sprawiając wrażenie, że dostępnych jest mniej miejsc lub pokoi. W rezultacie wprowadza to klientów w błąd i potencjalnie podnosi ceny ze względu na postrzegany wysoki popyt. Ten sztuczny niedobór może prowadzić do niewłaściwego zarządzania zapasami, utrudniając legalnym klientom znalezienie i zarezerwowanie dostępnych miejsc lub pokoi. W konsekwencji, biura podróży mogą ponieść straty w przychodach, ponieważ prawdziwi klienci są zniechęceni niedostępnością lub zawyżonymi cenami spowodowanymi fałszywym popytem. Spinning miejsc zakłóca również normalną działalność linii lotniczych i hoteli, prowadząc do nieefektywności i zwiększonych kosztów operacyjnych związanych z zarządzaniem i monitorowaniem takich nieuczciwych działań. Pogorszenie jakości obsługi klienta może prowadzić do frustracji, ponieważ prawdziwi klienci mają trudności ze znalezieniem i rezerwacją miejsc lub pokoi.
• Przejęcie konta: Branża turystyczna doświadczyła drugiego co do wielkości wolumenu prób przejęcia konta (ATO – Account Take Over) w 2023 r., z 11% wszystkich ataków ATO wymierzonych w branżę i 17% wszystkich żądań logowania związanych z ATO. Cyberprzestępcy atakują tę branżę ze względu na cenne dane osobowe, przechowywane metody płatności i punkty lojalnościowe na kontach użytkowników, co czyni je lukratywnymi dla kradzieży tożsamości i oszustw. Wrażliwe na czas transakcje o wysokiej wartości umożliwiają szybką monetyzację, często przed wykryciem oszustwa, co skutkuje stratami finansowymi, nadszarpniętym zaufaniem klientów i szkodą dla reputacji firmy. Co więcej, przeciwdziałanie ATO wymaga znacznych zasobów na obsługę klienta, zwroty kosztów i ulepszenia bezpieczeństwa. Połączone systemy i liczne punkty wejścia w branży dodatkowo zwiększają jej podatność na ataki.

Nie wszystkie boty są jednakowe

Imperva dzieli aktywność złośliwych botów na trzy kategorie: proste, umiarkowane i zaawansowane. Łącząc się z jednego adresu IP przypisanego przez dostawcę usług internetowych, proste szkodliwe boty łączą się z witrynami lub aplikacjami za pomocą zautomatyzowanych skryptów bez samodzielnego zgłaszania się jako przeglądarka. Umiarkowane szkodliwe boty używają oprogramowania „headless browser”, które symuluje technologię przeglądarki, w tym możliwość wykonywania skryptów JavaScript. Zaawansowane szkodliwe boty naśladują ludzkie zachowania użytkowników, takie jak ruchy myszą i kliknięcia, aby oszukać wykrywanie botów. Używają również oprogramowania do automatyzacji przeglądarki lub złośliwego oprogramowania zainstalowanego w prawdziwych przeglądarkach do łączenia się z witrynami.

Proste szkodliwe boty często wykonują podstawowe czynności związane ze scrgapingiem stron internetowych, podczas gdy zaawansowane szkodliwe boty mogą być potrzebne do bardziej wyrafinowanych oszustw i prób przejęcia konta. Branża turystyczna jest szczególnie nękana przez zaawansowane złośliwe boty, które stanowiły 61% aktywności złośliwych botów w ubiegłym roku. Zaawansowany ruch złośliwych botów stanowi poważne zagrożenie, ponieważ boty te mogą osiągnąć swoje cele przy mniejszej liczbie żądań niż proste złe boty i są znacznie bardziej wytrwałe.

Wyrafinowani operatorzy botów często stosują techniki wspólne dla umiarkowanych i zaawansowanych złośliwych botów, aby uniknąć wykrycia. Stosują złożone taktyki, takie jak przechodzenie przez losowe adresy IP, wchodzenie przez anonimowe serwery proxy, pokonywanie wyzwań CAPTCHA i wiele innych, aby obejść zabezpieczenia.

Warstwowanie obrony

Boty stanowiły prawie połowę całego ruchu w branży turystycznej w 2023 roku. Sytuacja ta może się pogorszyć wraz ze wzrostem popytu konsumentów na podróże, a operatorzy botów będą atakować programy lojalnościowe, przeprowadzać ataki polegające na przejęciu konta lub popełniać oszustwa. Aby złagodzić te zagrożenia, Imperva zaleca kilka strategii dla zespołów bezpieczeństwa IT.

Po pierwsze, organizacje muszą identyfikować zagrożenia poprzez zaawansowaną analizę ruchu i wykrywanie botów w czasie rzeczywistym. Zrozumienie ekspozycji, szczególnie w zakresie funkcji logowania, ma kluczowe znaczenie, ponieważ są one głównymi celami dla ataków typu brute force i credential stuffing. Kompleksowa strategia bezpieczeństwa powinna obejmować wszystkie cyfrowe punkty styku, w tym interfejsy API i aplikacje mobilne.

Imperva sugeruje kilka szybkich rozwiązań, takich jak blokowanie przestarzałych wersji przeglądarek, ograniczanie dostępu z masowych centrów danych IP i wdrażanie strategii wykrywania oznak automatyzacji, takich jak niezwykle szybkie interakcje. Regularne monitorowanie anomalii w ruchu, takich jak wysokie współczynniki odrzuceń lub nagłe skoki, może pomóc w identyfikacji złej aktywności botów. Ponadto analiza podejrzanych źródeł ruchu, takich jak pojedyncze adresy IP, może dostarczyć cennych informacji.

Wraz z rozwojem technologii botów, zwłaszcza dzięki sztucznej inteligencji, rozróżnienie między dobrym a złym ruchem będzie coraz trudniejsze. Dlatego Imperva opowiada się za warstwową ochroną, w tym analizą zachowań użytkowników, profilowaniem i pobieraniem odcisków palców, jako podstawowymi środkami dla branży turystycznej.