Dark background with blue code overlay
博客

在中国和日本,恶意僵尸网络攻击在节假日电商流量环境中呈激增态势

boaz-gelbord.png

Written by

Boaz Gelbord

March 10, 2022

Boaz Gelbord 是 Akamai Technologies 的高级副总裁兼首席信息官。他领导公司的信息安全部门,负责监督网络安全、信息安全合规性,以及保护 Akamai 在全球 135 个国家/地区 4,000 多个位置的系统、数据、员工和世界领先的智能边缘平台。

执行摘要:

  • 在中国和日本的节假日,恶意僵尸网络攻击呈激增态势。

  • Akamai 的数据显示,在中国农历春节前后,恶意僵尸网络流量增加了 15%。

  • 进一步的调查结果显示,日本新年前后的此类流量增加了 150%。

  • 这些数据再结合去年的其他数据(即中国双十一购物节期间的攻击流量增加了 3 倍)进一步表明,攻击者正在利用节假日前后增加的流量,对零售和电子商务垂直领域发起猛烈攻击。

  • 节假日前后在线购物者总流量的增加为攻击者提供了“掩护”,这使他们能够在网站承受高流量访问时更轻松地掩盖自己的攻击。

  • 虽然在欧洲、中东和非洲地区以及美国,年末节假日流量高峰期间也会出现类似的 激增, 但中国和日本却因其流量巨大而使网络攻击者更易于得逞。 

  • 此外,一些客户更倾向于在其线上购物个人资料中填写最新的信用卡信息和凭据,继而成为攻击者眼中的肥羊。

  • 攻击者主要通过入侵帐户和网站来窃取凭据。然后,这些数据会被放在暗网上出售,或用于其他攻击。

  • 此外,攻击者还会在特定电商网站上买光限量版或限量供应的商品,然后再转手以高价卖出。这种攻击不仅会损害零售企业的声誉,而且会令客户失望。

了解节假日前后僵尸网络活动的模式 有助于认清和量化节假日风险,然后通过正确的分析,可以为安全团队提供可纳入其防御策略的可行性数据。

 

Lunaryearhero.png

进入虎年,随着该地区开始恢复面对面的家庭聚会,标志着新冠疫情前的各种庆祝活动开始回归。但有一点没有变, 那就是 2021 年人们对网购的热情骤升, 单看去年的销售额,就上升了 28%。

2022 年网购的热潮持续升温,但恶意爬虫程序活动的数量也随之激增。Akamai 的数据显示,在春节临近和春节期间的这些天内,针对中国地区检测到的恶意爬虫程序活动比上一个月增加了 15%。虽然在欧洲、中东和非洲地区以及美国,年末节假日流量高峰期间也会出现类似的 激增, 但中国和日本却因其流量巨大而使网络攻击者更易于得逞:该区域的零售商和电商服务的是全球人口最多的市场。

也就是说,在数十亿完成节假日购物的购物者和旅行者的掩护下,恶意爬虫程序执行着各种专门设计的恶意活动,如撞库攻击、分布式拒绝服务 (DDoS) 攻击、价格抓取以及礼品卡欺诈等。Juniper Research 估计,2021 年电子商务欺诈(通常与恶意爬虫程序有关)飙升至 18% ,并导致全球零售商损失超过 200 亿美元(本年度的最终数据尚未报告)。

春节爬虫程序活动也出现了类似双十一购物节前后的激增

Akamai 研究人员监测并分析了整个亚太地区 2021 年底至 2022 年初这些节假日中的恶意僵尸网络(由数百万爬虫程序组成的群),目的是为了研究底层僵尸网络的攻击数据。通过揭示这些攻击趋势,IT 和网络安全团队可更好地了解他们所面对的攻击者。

我们的观察发现,针对中国零售和电子商务行业的恶意僵尸网络活动在春节前后激增了 15%。

China Retail-Lunar New Year Malicious Bot Activity_No-Y

这表明攻击流量明显增加,尽管从 双十一购物节 开始的僵尸网络攻击数量已经很高且从未完全回落。

China Commerce-Single Day Malicious Bot Traffic_No-Y

总之,此次活动让我们了解到中国地区在节假日前后面临的攻击模式,从 2021 年 11 月 11 日开始,僵尸网络攻击达到峰值,规模是平常的 3 倍以上。尽管在接下来的几个月里,攻击流量逐渐下降,但直到年底,攻击流量仍然相对较高,并随着春节零售流量的增加而再次达到峰值。

这样的高攻击流量并不足为奇,因为农历春节是中国的重大节日,持续时间很长。许多人都在购物和旅行。活动流量的增加为攻击者提供了可乘之机,因为各安全团队只有加大工作力度,才能在大量合法流量中检测到恶意流量。 

今年, 恰逢 2022 年北京冬奥会开幕, 这也对线上销售起到了拉动作用。不仅有超过 100 万的购物者涌向电子商务平台天猫的奥林匹克官方旗舰店,而且冬季运动装备的线上销售也同比增加了 180%(滑雪)和 300%(冰具),同时在 2022年 1 月 31 日至 2 月 4 日期间,Fliggy 上的“冰雪”旅行预订量也增加了 30%。

在整个中国地区,爬虫程序攻击在节假日出现激增 

与中国农历春节期间观察到的流量状况类似的是,节假日为攻击者在整个亚太地区发起攻击提供了巨大的机会。日本拥有全球 第四大电子商务市场, 销售额高达 1412.6 亿美元(仅次于中国、美国和英国),在每年节假日期间,恶意爬虫程序活动也出现了类似的增加。 

今年年初,Akamai 研究中心检测到针对日本零售业的恶意僵尸网络活动在 1 月初的新年前后增加了 2.5 倍。该攻击模式在新年后依旧持续了数周,因为攻击者仍在继续尝试撞库攻击、帐户接管 (ATO) 或对可能在节假日及时更新的个人信息数据进行收集。 

Japan Retail- New Year's Malicious Bot Activity_No-Y

这种模式与中国双十一购物节前后的攻击流量激增 3 倍(见上图)非常相似,这一相似性证明了两种节假日攻击模式之间的一致性。这些模式还表明,亚太地区的零售和电商企业在节假日期间面临的风险有所上升。 

恶意爬虫程序使电商企业面临一系列网络攻击风险 

Akamai 会全年跟踪善意爬虫程序和恶意爬虫程序在互联网流量中的比例。恶意攻击者永远不会完全停止攻击,但节假日前后的攻击量激增让我们知道,攻击者正在使用各种手段,利用高流量作为他们攻击活动的掩护。 

网络犯罪分子不仅会利用节假日期间人们购物和庆祝活动数量激增的机会下手,而且还会利用这样一种实际情况,即安全部门的人手会因员工休假陪伴家人或去旅行而不足。这恰好是攻击者突破企业网络防御层的大好时机,更重要的是,他们可以随心所欲,而且不会被发现或被及时拦截。

僵尸网络实施的网络攻击类型 

在撞库攻击中,爬虫程序被用来匹配攻击者在暗网上购买或自行窃取的盗用凭据,以找到各个帐户的匹配凭据。由于人们仍然经常在不同平台上使用相同的密码,因此犯罪分子知道他们只需尝试使用某密码登录一个零售网站,即可知道该密码(或其变体)是否可用于其他网站。 

这些撞库攻击会自动完成且速度极快,尤其是在节假日前后的流量高峰期间更是如此。随后,匹配的凭据会在暗网上出售或用于帐户接管。

通过爬虫程序进行帐户接管 (ATO) 是一种身份盗窃形式,网络犯罪分子可通过接管合法用户帐户以实施欺诈行为或窃取信用卡信息、礼品卡余额、会员积分或其他可以变现的客户利益。节假日就是绝佳时机:此时人们已获得信贷延期,并且帐户已做好花钱的准备。 

一旦这些帐户落入犯罪分子手中,他们的所有相关信息(会员积分、信用卡信息、个人信息)都将被使用或抓取,然后出售。 

一些恶意爬虫程序被用于侦察;这些恶意爬虫程序会寻找可入侵的网站中的漏洞,嵌入相应代码,并计划寻找和外泄数据的途径。 

当然还有其他类型的爬虫程序,旨在对电商网站进行泛洪攻击,迅速买光需求旺盛但库存供应有限的商品(类似于西方的“运动鞋爬虫程序”)。由于全球半导体芯片的持续短缺,以及远程办公对笔记本电脑和其他电子产品所用芯片需求的激增,芯片短缺会一直持续下去,网络犯罪分子趁机囤积了从游戏主机到汽车等各种商品,并在亚洲的二级市场以极高的价格出售。 

无论他们是试图通过使用不同的登录方式登录数千次来验证被盗的登录凭据,还是用勒索软件坐等着渗透并加密数据,我们都可以衡量他们的活动,并针对他们的下一次攻击制定相应的计划。

节假日攻击趋势可用作电子商务防御措施的可行性数据

全球的网络安全团队都清楚节假日流量的风险;对于那些负责零售以及电商网站数据和 IP 的人员来说,节假日的挑战更大。随着流量的增加,攻击者的攻击量也会增加,这些攻击可能会立即或在未来抓取数据,使网站客户流失,破坏网站功能,以及用加密数据换取赎金,所有这些都会给企业带来巨大的损失。

了解节假日前后僵尸网络活动的模式有助于认清和量化节假日风险,然后通过正确的分析,可以为安全团队提供可纳入其防御策略的可行性数据。 

了解详情

为了保护品牌和维持客户忠诚度,您需要基于攻击模式和恶意爬虫程序在节假日及以后的行为来制定策略。 详细了解 Akamai Bot Manager



boaz-gelbord.png

Written by

Boaz Gelbord

March 10, 2022

Boaz Gelbord 是 Akamai Technologies 的高级副总裁兼首席信息官。他领导公司的信息安全部门,负责监督网络安全、信息安全合规性,以及保护 Akamai 在全球 135 个国家/地区 4,000 多个位置的系统、数据、员工和世界领先的智能边缘平台。