Dark background with blue code overlay
博客

准备好开启“假日血拼”模式了吗?爬虫程序也准备好了。

Susan McReynolds

Written by

Susan McReynolds

November 19, 2021

Susan McReynolds 对信息安全的方方面面都充满热忱。在过去 6 年多的时间里,Susan 一直在为品牌宣传、企业活动和安全营销计划注入创造力。 作为 Prolexic 的产品营销经理,Susan 专注于产品上市宣传与定位,让 DDoS 防护再度成为乐事。

11-22-21.png

“黑五”购物节和“网络星期一”购物节近在眼前。根据 印度排灯节中国双十一购物节 的前车之鉴,恶意爬虫程序很可能会对美国的零售商发起疯狂攻击,在这个节假日期间 与真正的购物者开始激烈的争夺 。不仅如此,其他风险也异常之高。全球 供应链问题飞涨的运输成本、通货膨胀以及 国内劳动力短缺, 这些问题对于已经饱受新冠疫情打击的零售业无异于雪上加霜。消费者已经被告知, 节假日购物清单上的热门商品 的供应很难得到保证,可能无法在圣诞节前及时送达。最近的一份报告指出, 42% 的节假日购物者 今年可能面临比往年更严重的商品缺货问题。 

而即将到来的节假日算得上是零售业在一年当中“决定成败”的关键时期,恶意攻击者已经准备好利用这一时期发起进攻。虽然网络犯罪分子有大量可以利用的攻击媒介、工具和漏洞,但其中特别值得注意的一个当属恶意爬虫程序,这类攻击给在线零售商及其最终效益造成了重大威胁。

爬虫程序之战

简单回顾一下,爬虫程序可以分成两类 - 良性爬虫程序与恶意爬虫程序。Googlebot 和 Bingbot 都属于良性爬虫程序,它们爬取零售商网站并为其编制索引,以帮助改善搜索结果。这些类型的爬虫程序没有不良意图,它们谨遵网站管理员的 robots.txt 文件所定义的规则。恶意爬虫程序则与此不同,这类爬虫程序专为实施各种恶意活动而构建,比如 为发起帐户接管 (ATO) 攻击而进行的撞库、比真正的客户快一步 抢到库存有限的商品 、第 7 层(应用层)DDoS 攻击、价格抓取、 礼品卡欺诈等等。Juniper Research 估计,电子商务欺诈(通常与恶意爬虫程序有关) 在 2021 年将增加 18%,给全球零售商造成的损失达到 200 亿美元 。RiskIQ 的另一项研究发现,电子商务 行业每分钟因在线支付欺诈损失大约 38,000 美元 。 

在了解这么多信息之后,在排灯节和双十一购物节之前和期间,Akamai 观察到爬虫程序操纵者全力发起攻击,并因此导致恶意爬虫程序活动大幅度上升,也就不足为奇了。 

bot-3.png

在印度排灯节期间,消费者打破了往年消费记录,给商家带来了 1.25 万亿卢比(约 168 亿美元)的收入。 

bot-2.png

11 月 11 日,中国双十一购物节给阿里巴巴和京东商城带来 再创新高的 1380 亿美元单日交易额

那么,这对“黑五”购物节和“网络星期一”购物节意味着什么?

根据上述数据,我们不难推测,以扰乱美国在线零售商为目标的恶意爬虫程序活动必定会激增。根据“黑五”购物节和“网络星期一”购物节之前的数据,我们已经注意到,恶意爬虫程序攻击自 9 月初以来呈现上升趋势,并在 10 月底出现了一次明显的高峰(见下图)。这次高峰出现的时间与 许多零售商鼓励美国消费者提前购买节假日商品的时间吻合。消费者开始出现在网购平台上时,爬虫程序操纵者也带着盗用的凭据一同出现。 

bot-1.png

企业可以采取哪些措施来避免爬虫程序毁掉节假日的欢乐气氛

  • 保持警惕,留意攻击者在 ATO 击杀链中的活动迹象。例如,恶意攻击者往往会先开展一些测试,从而为全面攻击做准备,所以在“黑五”购物节和“网络星期一”购物节之前的几天里,您很可能会注意到登录失败次数出现一个小高峰。切记,在 ATO 击杀链的 攻击武器研制和交付阶段 及早发现并阻止爬虫程序攻击者的行为非常重要,这可以帮助企业更好地抵御欺诈与滥用。

  • 如果您发现有更多爬虫程序突破防线,则应调整爬虫程序防御解决方案。注意:并非所有的爬虫程序管理解决方案都需要手动调整,请检查您的解决方案是否需要这样做。

消费者可以采取哪些行动来保护其帐户,以免被爬虫程序操纵者窃取和滥用

  • 检查您的帐户,留意其中是否有并非由您执行的更改,比如地址、信用卡信息、电话号码、电子邮箱等。这些都是十分有力的证据,表明攻击者后续会利用这个帐户,例如,攻击者先更改地址,这样后续的商品就会运送到他们的收货地点。

  • 如果您还没有更改所有电商购物平台帐户密码并增设 多重身份验证 (MFA), 那么请立即这么做。当然,我们一直推荐养成良好的密码使用习惯。不过,现在需要做的事情是为您的所有电商购物平台帐户改用新密码,保证即便您的凭据已经被盗并且流入暗网,在攻击者企图用其开启自己的节假日购物狂欢时,它们也是无效的。而增设 MFA 则提供了一道额外的保护层,可以防范动机不纯的攻击者。

  • 要警惕任何 新的社交好友添加请求或“10 个问题”游戏。攻击者通过社会工程和网络钓鱼来获取新密码或安全验证问题的答案。因此,从现在起,对于您不认识的人(对方可能甚至不是真人,而是爬虫程序)发来的好友添加请求,一定要格外小心!一定要小心那些“我问你答”类型的清单盘点游戏,比如询问您出生在哪个城市、最喜欢什么颜色、第一只宠物叫什么名字之类的问题,就算有趣也不要参与,不要发布答案。因为攻击者可以利用这些答案来尝试并猜测您的密码。

其他资源:

《中断帐户接管击杀链》

《The Underground Economy: Recon, Weaponization & Delivery for Account Takeovers》

《Human Fraud: Detecting Them Before They Detect You》



Susan McReynolds

Written by

Susan McReynolds

November 19, 2021

Susan McReynolds 对信息安全的方方面面都充满热忱。在过去 6 年多的时间里,Susan 一直在为品牌宣传、企业活动和安全营销计划注入创造力。 作为 Prolexic 的产品营销经理,Susan 专注于产品上市宣传与定位,让 DDoS 防护再度成为乐事。