dimanche, 27 novembre 2022

Les détaillants en ligne doivent se préparer à un pic d’attaques opérées par des bots

Crédit : Dreamstime

Avec la saison des fêtes de fin d’année qui bat son plein, les sites marchands peuvent anticiper un pic d’escroqueries de prise de contrôle de compte, de déni de service distribué (DDoS) et d’autres attaques, consistant en des attaques au moyen d’API, qui représentent désormais près de la moitié du trafic de commerce électronique.

Selon un Selon un récent rapport de la société de sécurité des applications et des informations Imperva, les bots représentent généralement plus de 40 % du trafic vers les sites de vente au détail en ligne, avec environ 24 % du trafic provenant de « bad bots » qui participent à différents types d’attaques automatisées.

« Le grand danger pour le commerce électronique est plus visible pendant la saison des achats des fêtes, qui commence désormais dès octobre », a déclaré la société.

« Les mauvaises stars sont en fait devenues intelligentes avec les habitudes d’achat des clients, qui commencent des semaines avant des événements importants comme le Black Friday en raison des retards d’expédition et de la disponibilité des articles. ncers, en plus des tactiques de telles que les magasins utilisant des offres inégalées des semaines avant le Black Friday. »

Des robots malveillants avancés prennent le contrôle de

Au cours du passé année près des deux tiers des attaques observées sur les sites marchands en ligne sont en fait des attaques automatisées lancées à l’aide de bots. Il s’agit d’un pourcentage beaucoup plus élevé que la moyenne générale de 28 % dans toutes les industries. Tous les bots ne sont pas équivalents : leur niveau de sophistication va de basique à avancé.

Les bots simples sont des scripts automatisés qui se connectent à partir d’une seule adresse IP et n’essaient pas de se faire passer pour un navigateur humain.

Un bot modérément sophistiqué serait implémenté à l’aide d’un navigateur Internet sans tête avec toutes les capacités d’un moteur de navigateur Internet, comme l’exécution de JavaScript côté client. Un bot innovant est un bot qui utilise un navigateur Internet et essaie d’imiter le comportement humain consistant en des mouvements de souris et des clics, ce qui les rend plus difficiles à identifier.

Les bots modérés et avancés représentent les deux tiers de l’activité des bots selon Imperva, avec un taux d’utilisation des robots sophistiqués passant de 23 % il y a deux ans à 31 % l’année précédente. L’utilisation de bots avancés est plus fréquente dans les attaques contre les sites Web de commerce électronique que les sites d’autres marchés, car ils sont utilisés pour contourner les systèmes antifraude.

Les bots avancés tentent également de cacher leur zone réelle en acheminer le trafic via des proxys anonymes, des réseaux d’anonymisation tels que Tor ou via des services de cloud public.

Les attaques provenant de clouds publics représentent 44 % des attaques, restant l’origine la plus courante des attaques nuisibles contre les vendeurs. Au cours de l’année écoulée, le pourcentage d’attaques utilisant des structures d’anonymat est passé de 3,5 % à pratiquement 33 %.

Prise de contrôle de compte, thésaurisation des stocks et tout le reste

La prise de contrôle de compte est l’une des attaques de robots les plus courantes auxquelles sont confrontés les détaillants en ligne. Les comptes personnels peuvent contenir des cartes-cadeaux, des bons de réduction et des points de fidélité (sans parler des informations enregistrées sur les cartes de paiement), qui peuvent tous être utilisés par des pirates pour effectuer des achats trompeurs.

Achetez maintenant, payez plus tard (BNPL), un type de financement à court terme, est également une option de plus en plus courante chez les commerçants et peut être abusée via la prise de contrôle de compte et le vol d’identité.

Les attaquants accèdent aux comptes des consommateurs soit avec des logiciels malveillants qui prennent leurs informations d’identification ou prend le contrôle de leurs navigateurs Internet et effectue des actions en leur nom, ou en utilisant des techniques automatisées de force brute pour deviner les mots de passe.

Le piratage de compte est responsable de pratiquement un effort de connexion sur quatre sur les sites Web de commerce électronique, alors que pour les autres marchés, la moyenne est d’un sur dix. Plus de 90 % de ces attaques tentent de deviner les mots de passe des utilisateurs à l’aide informations d’identification provenant d’autres violations d’informations, une stratégie connue sous le nom de bourrage d’informations d’identification.

Pour atténuer la prise de contrôle de compte, les propriétaires de sites de commerce électronique doivent mettre en œuvre des politiques de mots de passe solides, limiter les tentatives de connexion, garder un œil sur Internet pour les vidages d’informations d’identification d’autres sites Web, recommandent ou obligent fortement les clients à changer leurs mots de passe et à motiver l’utilisation de l’authentification à deux facteurs (2FA).

Cependant, il convient de garder à l’esprit que 2FA n’est pas à l’épreuve des balles, avec les agresseurs utilisant souvent des attaques de phishing basées sur un proxy qui peuvent prendre des codes 2FA. Les attaques qui abusent des sessions déjà vérifiées et autorisées par 2FA des clients nécessiteraient des technologies de détection plus avancées qui surveillent et peuvent identifier les activités suspectes après une connexion efficace.

Thésaurisation et scalpage des stocks

strong>

Un autre type d’attaque de vacances typique opéré avec de mauvais bots est la thésaurisation ou le scalping. Cela cible les produits avec un stock minimal qui restent très demandés, y compris les articles extrêmement démarqués ou les produits de collection en édition limitée qui font généralement l’objet de projets marketing « à la mode ».

Ces campagnes et lancements d’articles sont régulièrement utilisés pendant la saison des achats des fêtes, en particulier autour du Black Friday et du Cyber ​​​​Monday. Les attaquants utilisent des bots, également surnommés Grinchbots, pour tenter d’obtenir autant d’inventaire que possible pour ensuite revendre les produits à profit.

« Au cours de la semaine du Black Friday 2021, Imperva a enregistré et atténué un attaque massive de scalping sur la chute par un marchand mondial d’un objet de collection en édition limitée », ont déclaré les chercheurs d’Imperva dans leur rapport. « L’attaque comprenait 9 millions de requêtes de robots sur la page du produit en seulement 15 minutes. Pour mettre les choses en perspective, c’est 2 500 % de plus que le trafic Web moyen sur le site du détaillant. »

Atténuation de ces attaques peut inclure la mise en place d’un système de file d’attente dans la salle d’attente ainsi que la mise à l’échelle des installations à l’avance pour pouvoir gérer une quantité de trafic beaucoup plus élevée que la normale.

La réduction des coûts est une autre attaque – ou plus précisément un générateur de trafic indésirable – qui est réalisé avec l’aide de bots. Cette activité consiste à gratter les tarifs sur les sites Web de commerce électronique pour proposer de bien meilleures offres sur les sites Web gérés par les ennemis ou leurs consommateurs pour exactement les mêmes articles.

L’exploitation de vulnérabilités pouvant entraîner l’exécution de code à distance ou l’exécution de fichiers l’inclusion est également automatisée à l’aide de bots. Les pirates utilisent ces attaques pour injecter un code destructeur qui vole les informations saisies par les utilisateurs dans les types de sites Web, y compris les pages de paiement.

Connu sous le nom de Magecart, écrémage en ligne. ou formjacking, ces attaques ont en fait harcelé de nombreux vendeurs au cours des dernières années et sont toujours courantes.

Des scientifiques de Sansec ont signalé une campagne d’attaque en novembre 2022 qu’ils ont baptisée TrojanOrders qui utilise une vulnérabilité de modèle de courrier ( CVE-2022-24086) dans Magento 2 et Adobe Commerce qui a été couvert en février. Sansec estime qu’un tiers des vendeurs utilisant ces plates-formes n’ont pas encore corrigé la vulnérabilité.

Pour exploiter cette vulnérabilité, les pirates doivent pouvoir forcer le système à envoyer un e-mail avec le code d’exploitation dans l’un des les champs. Un e-mail est généralement déclenché lors du positionnement d’une commande, donc le nom de l’attaque, mais ce n’est pas le seul déclencheur. Les performances telles que les listes de désirs partagés peuvent également être abusées.

JavaScript est un autre point d’entrée pour les agresseurs

Les efforts pour exploiter les vulnérabilités représentent environ 15 % des attaques sur sites Web de commerce électronique, selon les données d’Imperva, mais il convient de noter que l’injection de code de type Magecart peut également être obtenue en compromettant les ressources JavaScript tierces qui sont remplies dans les sites Web de commerce électronique.

« Généralement, il y a 47 ressources basées sur JavaScript qui s’exécutent côté client à tout moment, ce qui expose le marché à une menace extrêmement élevée d’attaques Magecart qui menacent de prendre les données les plus délicates des clients », ont déclaré les scientifiques d’Imperva. De plus, 73 % du code JavaScript rempli sur les sites Web de vente au détail provient de ressources tierces.

Pour réduire ces attaques par injection de code, les propriétaires de sites Web doivent corriger les vulnérabilités et conserver un stock de tous les services basés sur JavaScript. qui sont également autorisés à courir et à effectuer une évaluation des dangers pour chacun d’eux. La norme PCI DSS 4.0 récemment lancée consiste en des conseils sur la manière de sécuriser les pages de paiement et d’autres types sensibles contre les attaques Magecart.

Le déni de service distribué (DDoS) est également un type d’attaque courant exécuté avec le l’aide de bots et peut être très perturbateur pour le service tout au long de la saison des achats des Fêtes.

Imperva estime que les attaques DDoS représentent environ 23 % de toutes les attaques par rapport aux sites de vente au détail et qu’elles sont divisées en deux classifications : couche d’application ( Layer 7) qui ciblent les applications web elles-mêmes avec des demandes tentant de fatiguer les ressources de traitement offertes au serveur web ; et la couche réseau qui vise à fatiguer la bande passante disponible.

Les marchands doivent s’attendre à des attaques DDoS plus fortes

« Les vendeurs en ligne doivent s’attendre à voir des attaques DDoS plus importantes et plus puissantes attaques qu’auparavant », ont averti les scientifiques d’Imperva. « Le nombre d’attaques supérieures à 100 Gbit/s a doublé entre le premier et le deuxième trimestre 2022, et les attaques supérieures à 500 Gbit/s/0,5 Tbit/s ont augmenté jusqu’à 287 %. »

Pour la couche d’application DDoS, les ennemis utilisent désormais des techniques sophistiquées telles que le pipeline HTTP et le multiplexage qui leur permettent d’atteindre des taux de demandes par seconde (rps) sans précédent pendant des périodes prolongées et à partir d’un nombre réduit d’adresses IP. En 2022, Imperva a observé une attaque record qui a culminé à 10 millions de rps et a été introduite à partir d’un botnet de 12 000 IP.

Les commerçants sont encouragés à tester régulièrement leurs installations, en particulier avant les grandes occasions de shopping comme le Black Friday. et Cyber ​​Monday où ils se préparent à une augmentation considérable du trafic. L’utilisation d’un service d’atténuation DDoS pour toutes les ressources Web, comprenant l’infrastructure DNS, est également extrêmement conseillée.

Les API peuvent également être un point faible pour les détaillants en ligne puisque près de la moitié de leur trafic passe désormais par ces points de terminaison d’API. à partir d’applications mobiles et d’autres gadgets judicieux, tels que des assistants de maison ou de voiture qui peuvent effectuer des achats en ligne pour leurs propriétaires.

Selon Imperva, 12 % du trafic API vont aux points de terminaison qui traitent des données délicates telles que les cartes de crédit numéros, informations d’identification et informations sur les consommateurs et représentent une cible pour les agresseurs.

Encore 3 % à 5 % vont à des API non documentées que leur propriétaire ne connaît pas activement. Ce problème d’API fantôme peut survenir en raison de divers facteurs, tels que la dépréciation inappropriée d’un point de terminaison d’API sans l’éliminer de l’accès public, les versions non documentées de tout nouveaux points de terminaison d’API par les concepteurs ou l’exposition directe accidentelle d’API non publiques en raison aux erreurs de configuration.

Il est donc vraiment crucial pour les organisations d’effectuer des stocks de routine de leurs terminaux API et de les traiter avec exactement le même niveau de sécurité que leurs ressources Web.

Pendant les vacances saison d’achat en 2015, Imperva a vu les attaques d’API augmenter de 35 % entre septembre et octobre et de 22 % supplémentaires en novembre.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici