Бот-атака ≠ DDoS-атака: что такое паразитный бот-трафик и почему умные боты опасны

Когда речь заходит о бот-атаках на веб-ресурсы, многие представляют себе классическую DDoS-атаку — массированный наплыв трафика, с помощью которого злоумышленник пытается вывести сайт из строя и сделать его недоступным для легитимных пользователей. Однако бот-атаки представляют собой более сложную и многогранную угрозу.

Особую опасность представляют так называемые вредоносные умные боты, от которых критически важно защищать веб-ресурс в 2024 году. По данным компании Arkose Labs в 2023 году 73% всего интернет-трафика составлял вредоносный бот-трафик.

Сегодня мы разберемся:

➡️ что такое бот-атака и умные боты;
➡️ чем бот-атаки отличаются от DDoS-атак;
➡️ почему умные боты опасны для сайта;
➡️ кто в зоне риска и как именно паразитный бот-трафик вредит сайту.

Что такое бот-атака и умные боты

Умные боты — это боты, которые имитируют поведение легитимных пользователей и, обходя системы защиты, проводят трудно обнаруживаемые атаки на бизнес-функции и логику приложений.

Бот-атака — это автоматизированная атака, проводимая с помощью умных ботов. Такие атаки трудно детектировать и отражать, не навредив при этом легитимным пользователям.

Бот-атаки часто путают с DDoS-атаками, но это не одно и тоже.

Чем бот-атаки отличаются от DDoS-атак

С помощью DDoS-атак злоумышленник стремится нарушить доступность веб-ресурса для легитимных пользователей. Такие атаки осуществляются ботнетами, которые состоят из множества устройств и отправляют запросы на целевой сервер, исчерпывая его ресурсы.

В контексте DDoS-атак боты — это лишь зараженные устройства, которые выполняют указания командного центра.

Во время DDoS-атаки злоумышленник с помощью ботов отправляет на целевой сервер большое количество пакетов, открывает огромное число соединений или генерирует много запросов, делая таким образом веб-приложение недоступным. Существует много видов DDoS-атак, воздействующих на разные уровни модели OSI.

DDoS пользуются популярностью у хакеров, так как есть много бесплатных и простых в использовании инструментов для организации таких атак. Такими инструментами можно пользоваться даже без глубоких технических знаний. Учитывая низкий «порог входа» в сферу DDoS-преступности, сейчас практически все компании, у которых есть сайт, находятся в группе риска. Однако к атакам на нарушение доступности ресурса (DDoS), в целом, все уже привыкли. На рынке есть надежные средства митигации, многие из которых умеют справляться с такими угрозами. Мы подробно рассказывали о защите от DDoS-атак здесь.

Умные боты — совсем другая история. Они не создают кратную нагрузку на веб-ресурсы и не пытаются ограничить доступность сайтов. Вредоносные боты эксплуатируют бизнес-логику веб-приложений, то есть используют веб-ресурс не так, как задумывал его владелец.

Почему умные боты опасны для сайта

Автоматизированному низкочастотному HTTP-трафику противостоять очень непросто, и универсального решения этой проблемы не существует. Вредоносные боты имитируют поведение легитимных пользователей и эксплуатируют ограничения архитектуры веб-приложения, неидеальные дизайн-решения, бизнес-логику веб-ресурса.

Особая сложность в том, что умные боты — не всегда плохие боты, они бывают и хорошими, например, краулеры поисковых систем. Грань между нелегитимными и легитимными ботами довольно условна — поведение ботов может быть незаметным для веб-ресурсов и даже желательным, выполняющим полезные функции:

• индексацию контента для поисковых систем;
• мониторинг доступности и работоспособности сайтов;
• автоматизацию рутинных задач на сайтах.

Однако ИБ-команды всё чаще сталкиваются с ситуациями, когда боты реально создают большие проблемы для веб-ресурсов.

Кто в зоне риска и как именно паразитный бот-трафик вредит сайту

Основные жертвы бот-атак — это веб-ресурсы сегмента электронной торговли, бронирования, классифайдеры, различные агрегаторы. Если обобщить, то в зоне риска — веб-сайты с большим количеством транзакций, которые максимально открыты для интернет-пользователей.

У таких ресурсов есть полный набор интерфейсов в публичном интернете, через которые пользователь смотрит каталог товаров и делает заказ. В набор интерфейсов входит сайт и мобильные приложения для разных платформ, которые взаимодействуют с бэкэндом через API.

Веб-ресурсы e-com-сегмента работают в условиях жесткой конкуренции и буквально воюют за потребителя. Чтобы конверсия была выше, любой интернет-пользователь может совершить большую часть действий на сайте до аутентификации: посмотреть каталог, добавить товары в избранное, добавить понравившиеся товары в корзину и так далее. Этой особенностью бизнес-логики веб-приложений активно пользуются злоумышленники, эксплуатирующие вредоносных ботов.

Примеры вредоносных действий ботов

➡️ Умные боты могут постоянно вызывать API, увеличивая количество запросов к бэкенду. Из-за этого кратно возрастает нагрузка на ИТ-инфраструктуру, придется закупать дополнительное оборудование или увеличивать затраты на услуги провайдера. В некоторых случаях объемы нелегитимного трафика могут превышать объемы легитимного трафика. С масштабом веб-ресурса растет масштаб подобных проблем, напрямую влияющих на бизнес-показатели.

➡️ Боты-парсеры могут скрыто сканировать ресурсы в поисках ценной информации о товарах и ценах в интернет-магазинах. Помимо этого они могут собирать данные пользователей: логины, пароли, платежные реквизиты. Получив доступ к такой информации, вредоносные боты могут использовать ее в различных мошеннических схемах: для перепродажи украденного контента, для взлома аккаунтов покупателей, для манипуляций ценами и ассортиментом на конкурирующих площадках. Такие действия наносят серьезный ущерб владельцам веб-ресурсов, приводят к потере доходов, репутационным потерям и утечке конфиденциальных данных.

➡️ С помощью вредоносных ботов-скальперов можно бронировать товары и билеты на сайтах как с целью перепродажи, так и просто для того, чтобы навредить конкуренту. Боты кладут в корзину товар, но не покупают его — в конце концов резервируются все складские запасы. Из-за этого легитимные пользователи не могут заказать товар, потому что для покупателей он «заканчивается», хотя на самом деле его никто не купил.

➡️ Боты-спамеры могут создавать DoS на уровне бизнес-процессов заказчика. К примеру, отправлять множество нелегитимных заявок с сайта. Это может привести к тому, что все менеджеры будут заняты обработкой этих нелегитимных заявок, а не реальных.

➡️ Вредоносные боты также могут искажать различные метрики на сайте: количество просмотров страниц, кликов по рекламе, регистраций и так далее. Такое поведение искажает реальную картину активности пользователей и снижает эффективность маркетинговых и рекламных кампаний.

Паразитный бот-трафик опасен для веб-ресурсов, потому что он негативно влияет на его позиции в поисковой выдаче, искажает реальную картину посещаемости сайта, создает высокую нагрузку на ИТ-инфраструктуру и, самое главное, может привести к серьезным проблемам с безопасностью.

В следующих статьях мы расскажем, какие виды умных ботов бывают и как можно защититься от паразитного бот-трафика.