Оголошення про захист облікових записів Cloudflare від зловживань: запобігання шахрайським атакам ботів та людей

Сьогодні Cloudflare представляє новий набір інструментів запобігання шахрайству, створених для того, щоб зупиняти зловживання обліковими записами до їхнього початку. Ми роками надавали клієнтам Cloudflare можливість захищати свої програми від автоматизованих атак, але ландшафт загроз змінився. Індустріалізація гібридних зловживань, що поєднують автоматизовані та людські дії, створює складний виклик для безпеки власників вебсайтів. Розглянемо, наприклад, один обліковий запис, до якого здійснюється доступ з Нью-Йорка, Лондона та Сан-Франциско протягом тих самих п'яти хвилин. Основне питання в цьому випадку не «Чи він автоматизований?», а скоріше «Чи він справжній?»

Власникам вебсайтів потрібні інструменти, які дозволяють зупиняти зловживання на вебсайтах незалежно від того, звідки вони надходять.

Під час нашого Тижня дня народження у 2024 році ми подарували всім клієнтам, включно з користувачами безкоштовного плану, функцію виявлення витоку облікових даних. Відтоді ми додали ідентифікатори для виявлення захоплення облікових записів як частину нашого рішення для управління ботами, що допомагає виявляти ботів, які атакують сторінки входу. 

Тепер ми поєднуємо ці потужні інструменти з новими. Перевірка одноразових електронних адрес та оцінка ризиків електронної пошти допомагають забезпечити налаштування безпеки для користувачів, які реєструються за допомогою одноразових адрес електронної пошти — поширеної тактики для створення фейкових облікових записів та зловживання рекламою, або для адрес, які вважаються ризикованими на основі аналізу шаблонів та інфраструктури електронної пошти. Ми також раді представити хешовані ідентифікатори користувачів — ідентифікатори для кожного домену, що генеруються шляхом криптографічного хешування імен користувачів. Вони дають клієнтам змогу ефективніше відстежувати підозрілу активність облікових записів та протидіяти потенційно шахрайському трафіку, не порушуючи конфіденційність кінцевих користувачів.

Нові можливості, які ми представляємо сьогодні, виходять за межі автоматизації та виявляють зловмисну поведінку й ризиковані профілі серед реальних користувачів і ботів. Захист від зловживань обліковими записами доступний у режимі раннього доступу, і будь-який клієнт Bot Management Enterprise може користуватися цими функціями без додаткової плати протягом обмеженого періоду — до загального випуску Cloudflare Fraud Prevention пізніше цього року. Якщо ви хочете дізнатися більше про можливості раннього доступу, зареєструйтеся тут.

Поріг для здійснення шахрайських дій надто низький, особливо з огляду на наявність величезних наборів даних та доступ до автоматизованих інструментів, які здійснюють шахрайство з обліковими записами у великих масштабах. Власники вебсайтів мають справу не лише з окремими хакерами, а й з промислово організованим шахрайством. Минулого року ми виявили, що 41% входів у нашу мережу здійснювалися за допомогою викрадених облікових даних. Цей показник лише зріс після розкриття бази даних із 16 мільярдами записів, і з того часу стало відомо про численні гучні випадки витоку даних.

Більше того, користувачі використовують одні й ті самі паролі на різних платформах. Це означає, що навіть витік даних кількарічної давності може й сьогодні надати доступ до цінних облікових записів у інтернет-магазинах або навіть до банківських рахунків. Наша перевірка витоку облікових даних — це безкоштовна функція, яка перевіряє, чи потрапив пароль до відомих баз даних, пов’язаних із витоком інформації з інших сервісів чи додатків. Це сервіс перевірки облікових даних зі збереженням конфіденційності, який допомагає захистити наших користувачів від скомпрометованих облікових даних. Cloudflare виконує ці перевірки без доступу до паролів кінцевих користувачів у відкритому тексті та без їх збереження. Паролі хешуються, тобто перетворюються на випадковий рядок символів за допомогою криптографічного алгоритму, для порівняння з базою даних викрадених облікових даних. Якщо ви ще не активували нашу функцію перевірки витоку облікових даних, увімкніть її зараз, щоб захистити свої облікові записи від легких зломів!

Доступ до великих баз викрадених облікових даних корисний лише тоді, коли зловмисник може швидко перевірити їх на багатьох сайтах, щоб визначити, які облікові записи залишаються вразливими через повторне використання паролів. У нашому аналізі Чорної п'ятниці 2024 року ми виявили, що понад 60% трафіку на сторінки входу в систему в нашій мережі було автоматизованим. Це багато ботів, які намагаються отримати несанкціонований доступ.

Щоб допомогти клієнтам захистити свої кінцеві точки входу від постійних атак, ми додалифункцію виявлення спроб захоплення облікових записів (ATO), яка відстежує підозрілі патерни трафіку. Це частина нашого підходу до індивідуального виявлення, у межах якого ми визначаємо аномалії поведінки, характерні для кожного клієнта, що користується сервісом управління ботами. Сьогодні клієнти цього сервісу можуть безпосередньо на панелі аналітики безпеки переглядати та нейтралізувати ATO-атаки у запитах на вхід.

^{На картці ліворуч на панелі інструментів аналітики безпеки ви можете переглядати та реагувати на спроби захоплення облікового запису.}

За останній тиждень наші механізми виявлення ATO щодня фіксували в середньому 6,9 мільярда підозрілих спроб входу по всій мережі. У поєднанні з багатьма іншими механізмами виявлення в нашому рішенні для управління ботами це базезпечує багаторівневий захист від ATO та інших зловмисних автоматизованих атак.

Що важливіше — розпізнати автоматизацію чи визначити наміри та ідентичність? Наша відповідь: і те, і інше, адже обидва підходи є критично важливими для побудови надійної системи безпеки. Зловмисники тепер діють у масштабах, які раніше були доступні лише великим організаціям. Вони використовують масові витоки облікових даних, застосовують «ферми» шахраїв для імітації пристроїв та місцезнаходжень, а також створюють штучні профілі для підтримки тисяч або навіть мільйонів фейкових облікових записів для реклами та зловживання платформою. Людина, яка використовує автоматизовані інструменти, може знімати кошти з рахунків, зловживати акціями, здійснювати шахрайство з платежами або робити все це одночасно.

Крім того, автоматизація стає доступнішою, ніж будь-коли раніше, особливо з огляду на те, що користувачі все активніше застосовують ШІ-агентіів, а навіть давно відомі «традиційні» браузери поступово отримують вбудовані функції агентів. Незалежно від того, чи йдеться про окремого зловмисника, який використовує ШІ-агента, чи про скоординовану шахрайську кампанію, загроза не зводиться лише до одного сценарію — вона може поєднувати людський намір та автоматизоване виконання.

Розгляньмо такі ситуації, про які нам розповідали наші клієнти:

• Цього місяця у нас з'явилося 1000 нових користувачів, але понад половина з них — це фейкові особи, які користуються безкоштовним пробним періодом, а потім зникають.

• Зловмисник увійшов у систему, вказавши правильний пароль, тож як визначити, що це не справжній користувач?

• Ця особа діє як людина й викачує кошти з рахунків.

Ці проблеми не можна вирішити лише оцінюючи автоматизацію; потрібна перевірка автентичності та цілісності. Саме цю прогалину усувають наші спеціалізовані засоби запобігання шахрайству.

Почнімо з оцінки найпершої точки потенційного зловживання обліковим записом: створення облікового запису. Створення фейкових або масових облікових записів — одна з найгостріших тем у дискусіях про шахрайство на вебсайтах, адже воно може відкрити зловмисникам доступ до додатка або навіть до всієї бізнес-моделі. 

Cloudflare надає клієнтам інструменти для виявлення підозрілого створення облікових записів ще на етапі їхнього створення — двома способами:

1. Перевірка одноразових адрес електронної пошти: виявлення випадків, коли користувачі реєструються за допомогою одноразових або тимчасових адрес електронної пошти, які зазвичай використовуються для зловживання рекламними розсилками та створення фейкових облікових записів. Ці сервіси одноразових електронних адрес дають зловмисникам змогу створювати тисячі «унікальних» облікових записів без необхідності утримувати реальну інфраструктуру— Зокрема, йдеться про одноразові адреси без необхідності авторизації, що забезпечують миттєвий доступ без створення облікового запису, або безкоштовні необмежені псевдоніми електронних адрес. Клієнти можуть використовувати це бінарне поле під час створення правил для забезпечення налаштувань безпеки, блокування всіх одноразових електронних адрес або, можливо, надсилання перевірки кожному, хто намагається створити обліковий запис із використанням одноразової адреси електронної пошти.

   

2. Ризик електронної пошти: Cloudflare аналізує шаблони електронних адрес та їх інфраструктуру, щоб визначити рівні ризику (низький, середній, високий), які клієнти можуть використовувати в правилах безпеки. Ми знаємо, що не всі адреси електронної пошти однакові; адреса у форматі firstname.lastname@knowndomain.com має інші характеристики ризику, ніж xk7q9m2p@newdomain.xyz. Рівні ризику електронної пошти дозволяють клієнтам вказати свою готовність до ризику та незручностей під час створення облікового запису. 

Як перевірка одноразових електронних адрес, так і оцінка ризику електронної пошти тепер доступні в аналітиці безпеки та правилах безпеки, що дозволяє власникам вебсайтів захищати процес створення своїх облікових записів. Ці механізми виявлення розв'язують фундаментальну проблему: коли обліковий запис вже починає використовуватися для зловживань, діяти часто запізно. Власник вебсайту вже сплатив витрати на залучення користувачів, шахрайський користувач скористався промо-кредитами, а для виправлення ситуації необхідна ручна перевірка. Зменшення ризику від підозрілих електронних адрес означає додавання відповідних обмежень під час реєстрації — саме тоді, коли це найважливіше.

Щоб зрозуміти схеми зловживань, необхідна прозорість: не лише в мережі, а й на рівні активності облікових записів. Традиційно безпека зосереджувалася на аналізі IP-адрес та окремих HTTP-запитів для виявлення автоматизованої активності, але власники вебсайтів не обмежуються лише мережевими сигналами; вони також враховують своїх користувачів та відомі облікові записи. Саме тому ми розширюємо наш набір інструментів для пом’якшення наслідків, щоб адаптувати їх до реальної структури додатків, зосереджуючись на виявленні шахрайської діяльності на рівні користувачів.

Зловмисники можуть без зусиль змінювати IP-адреси, щоб приховати свої сліди. Водночас створення нових правдоподібних облікових записів потребує значно більше зусиль, особливо за наявності ефективного захисту облікових записів. Перехід від мережевого рівня до прив’язки шахрайських дій до конкретного скомпрометованого або зловмисного облікового запису, дозволяє виявити цілеспрямовану активність одного постійного зловмисника і припинити зловживання. Таким чином, ми переносимо стратегію захисту на рівень облікового запису замість безрезультатної боротьби з постійною зміною IP-адрес та використанням проксі-серверів. Це означає, що наші клієнти можуть протидіяти зловживанням, завдяки тому, як їхні додатки розмежовують ідентифікаційні дані.

Щоб надати власникам вебсайтів цю можливість, Cloudflare впроваджує хешований ідентифікатор користувача, який клієнти можуть використовувати в аналітиці безпеки, правилах безпеки та керованих перетвореннях. Ідентифікатори користувачів — це криптографічно хешовані значення імен користувачів для кожного домену, і кожен ідентифікатор користувача — це зашифрований, унікальний та стабільний ідентифікатор, згенерований для певного імені користувача в додатку клієнта. Важливо, що фактичне ім'я користувача не реєструється та не зберігається Cloudflare в рамках цього сервісу. Як і у випадку з перевіркою витоку облікових даних та виявленням ATO, які ідентифікують трафік входу, а потім шифрують облікові дані для порівняння, ми ставимо на перше місце конфіденційність кінцевих користувачів, водночас надаючи нашим клієнтам можливість вживати заходів проти шахрайської поведінки.

Маючи доступ до хешованих ідентифікаторів користувачів, власники вебсайтів можуть:

• Переглядати найактивніших користувачів: які облікові записи мають найбільшу активність?

• Дізнатися, коли унікальний користувач входить у систему з незвичної країни або з кількох країн протягом одного дня!

• Обмежувати трафік на основі унікальних користувачів, наприклад, блокуючи користувачів, які раніше демонстрували підозрілу активність.

• Об’єднувати поля, щоб побачити, коли на облікові записи здійснюються атаки з використанням викрадених облікових даних.

• Переглядати, які мережеві шаблони або сигнали пов'язані з унікальними користувачами.

^{Розгорнуте подання одного хешованого ідентифікатора користувача на панелі інструментів аналітики безпеки, що показує деталі активності цього унікального користувача, включаючи місце входу та браузер.}

Ця функція відстеження на рівні користувачів змінює підхід власників вебсайтів до аналізу та оптимізації трафіку. Замість того, щоб розглядати окремі запити окремо, наші клієнти можуть побачити повну картину того, як зловмисники діють і маскуються серед законних користувачів.

Якщо ви хочете дізнатися більше про цю функцію в рамках раннього доступу, зареєструйтеся тут. Усі клієнти Bot Management Enterprise вже сьогодні можуть скористатися цими новими функціями захисту від зловживань обліковим записом, і ми будемо раді розпочати діалог з усім потенційними клієнтами, які використовують управління ботами.

Хоча виявлення ботів продовжуватиме відповідати на питання автоматизації та намірів, виявлення шахрайства зосереджується на автентичності. Разом вони надають власникам вебсайтів комплексні інструменти для протидії всьому спектру зловживань обліковими записами. Цей пакет — це один з етапів наших постійних зусиль, спрямованих на захист усього шляху користувача — від створення облікового запису та входу в систему до безпечного оформлення замовлення та забезпечення цілісності кожної взаємодії.