Оголошення про захист облікових записів Cloudflare від зловживань: запобігання шахрайським атакам ботів та людей

Сьогодні Cloudflare представляє новий набір можливостей запобігання шахрайству, розроблених для того, щоб зупиняти зловживання обліковими записами до їх початку. Ми роками надавали клієнтам Cloudflare можливість захищати свої програми від автоматизованих атак, але ландшафт загроз змінився. Індустріалізація гібридних зловживань, що поєднують автоматизовані й людські дії, створює складний виклик для безпеки власників вебсайтів. Розглянемо, наприклад, один обліковий запис, до якого здійснюється доступ з Нью-Йорка, Лондона та Сан-Франциско протягом тих самих п'яти хвилин. Основне питання в цьому випадку не в тому, «Чи він автоматизований?» а радше «Чи він справжній?»  

Власникам вебсайтів потрібні інструменти, щоб зупинити зловживання на їхніх вебсайтах, незалежно від того, від кого вони надходять.

Протягом нашого Тижня дня народження у 2024 році ми подарували всім клієнтам, включно з користувачами безкоштовного плану, функцію виявлення витоку облікових даних. Відтоді ми додалиі дентифікатори виявлення захоплення облікового запису як частину нашого рішення для управління ботами, яке допомагає виявляти ботів, що атакують ваші сторінки входу.

Тепер ми поєднуємо ці потужні інструменти з новими. Перевірка одноразових електронних адрес та оцінка ризиків електронної пошти допомагають забезпечити налаштування безпеки для користувачів, які реєструються за допомогою одноразових адрес електронної пошти, що є поширеною тактикою для створення фейкових облікових записів та зловживання рекламою, або чиї електронні адреси вважаються ризикованими на основі аналізу шаблонів та інфраструктури електронної пошти. Ми також раді представити хешовані ідентифікатори користувачів — ідентифікатори для кожного домену, що генеруються шляхом криптографічного хешування імен користувачів, які дають клієнтам можливість краще відстежувати підозрілу активність в обліковому записі та ефективніше протидіяти потенційно шахрайському трафіку, не порушуючи при цьому конфіденційність кінцевих користувачів.

Нові можливості, які ми представляємо сьогодні, виходять за межі автоматизації та виявляють зловмисну поведінку й ризиковані профілі серед реальних користувачів і ботів. Захист від зловживань обліковим записом доступний в режимі раннього доступу, і будь-який клієнт Bot Management Enterprise може використовувати ці функції без додаткової плати протягом обмеженого періоду, до моменту загального випуску Cloudflare Fraud Prevention пізніше цього року. Якщо ви хочете дізнатися більше про цю можливість раннього доступу, зареєструйтеся тут.

Поріг для здійснення шахрайських дій є небезпечно низьким, особливо з огляду на наявність величезних наборів даних та доступ до автоматизованих інструментів, які здійснюють шахрайство з обліковими записами у великих масштабах. Власники вебсайтів мають справу не лише з окремими хакерами, а й з промислово розвиненим шахрайством. Минулого року ми звернули увагу на те, що 41% входів у нашу мережу здійснюються за допомогою викрадених облікових даних. Цей показник лише зріс після розкриття бази даних, що містила 16 мільярдів записів, і з того часу було виявлено численні гучні випадки витоку даних.

Більше того, користувачі використовують одні й ті самі паролі на різних платформах, а це означає, що навіть витік даних, який стався кілька років тому, може й сьогодні дати доступ до цінних облікових записів у інтернет-магазинах або навіть до банківських рахунків. Наша перевірка витоку облікових даних — це безкоштовна функція, яка перевіряє, чи потрапив пароль у відомі бази даних, пов’язані з витоком інформації з інших сервісів або додатків в Інтернеті. Це сервіс перевірки облікових даних зі збереженням конфіденційності, який допомагає захистити наших користувачів від скомпрометованих облікових даних, тобто Cloudflare виконує ці перевірки без доступу до паролів кінцевих користувачів у відкритому тексті та без їх збереження. Паролі хешуються, тобто перетворюються на випадковий рядок символів за допомогою криптографічного алгоритму, для порівняння їх з базою даних викрадених облікових даних. Якщо ви ще не ввімкнули нашу функцію перевірки витоку облікових даних, увімкніть її зараз, щоб захистити свої облікові записи від легких зломів!

Доступ до великої бази даних викрадених облікових даних корисний лише тоді, коли зловмисник може швидко переглянути їх на багатьох сайтах, щоб визначити, які облікові записи все ще вразливі через повторне використання паролів. У нашому аналізі Чорної п'ятниці 2024 року ми виявили, що понад 60% трафіку на сторінки входу в систему в нашій мережі було автоматизованим. Це багато ботів, які намагаються проникнути всередину.

Щоб допомогти клієнтам захистити свої кінцеві точки входу від постійних атак, ми додали виявлення спроб захоплення облікових записів (ATO), щоб відстежувати підозрілі патерни трафіку. Це частина нашого нещодавнього акценту на виявлення для кожного клієнта, в рамках якого ми забезпечуємо виявлення аномалій у поведінці, унікальних для кожного клієнта, що користується сервісом управління ботами. Сьогодні клієнти сервісу управління ботами можуть безпосередньо на панелі аналітики безпеки переглядати та нейтралізувати спроби атак ATO у запитах на вхід.

^{На картці ліворуч на панелі інструментів аналітики безпеки ви можете переглядати та реагувати на спроби захоплення облікового запису.}

За останній тиждень наші виявлення ATO щодня фіксували в середньому 6,9 мільярда підозрілих спроб входу в систему по всій нашій мережі. Ці виявлення ATO, разом з багатьма іншими механізмами виявлення в нашому рішенні для управління ботами, створюють багаторівневий захист від ATO та інших зловмисних автоматизованих атак.

Розпізнати автоматизацію чи виявляти наміри та особу? Ось у чому питання. Наша відповідь: так і так, оскільки обидва є критично важливими рівнями надійної системи безпеки. Зловмисники тепер діють у масштабах, раніше доступних лише корпоративним сервісам: вони використовують масові витоки облікових даних, застосовують «ферми» шахраїв для підробки пристроїв та місцезнаходжень, а також створюють штучні профілі для підтримки тисяч, навіть мільйонів, фейкових облікових записів для просування та зловживання платформою. Людина, яка використовує автоматизовані інструменти, може знімати кошти з рахунків, зловживати акціями, здійснювати шахрайство з платежами або робити все це одночасно.

Крім того, автоматизація стає доступнішою, ніж будь-коли раніше, особливо з огляду на те, що користувачі все краще освоюють роботу з ШІ-агентами, а навіть давно відомі «традиційні» браузери поступово отримують функції агентів у стандартній комплектації. Незалежно від того, чи йдеться про окремого зловмисника, який використовує ШІ-агента, чи про скоординовану шахрайську кампанію, загроза не зводиться лише до одного сценарію — вона може поєднувати людський намір та автоматизоване виконання.

Розгляньмо такі ситуації, про які нам розповідали наші клієнти:

• Цього місяця у нас з'явилося 1000 нових користувачів, але більше ніж половина з них — це фейкові особи, які користуються безкоштовним пробним періодом, а потім зникають.

• Зловмисник увійшов у систему, вказавши правильний пароль, тож звідки мені знати, що це не справжній користувач?

• Ця особа діє в людському темпі й викачує кошти з рахунків.

Ці проблеми не можна вирішити лише оцінюючи автоматизацію; потрібна перевірка автентичності та цілісності. Саме цю прогалину усувають наші спеціалізовані засоби запобігання шахрайству.

Почнемо з оцінки найпершої точки потенційного зловживання обліковим записом: створення облікового запису. Створення фейкових або масових облікових записів — одна з найгостріших тем у дискусіях про шахрайство на вебсайтах, оскільки це може відкрити зловмисникам доступ до додатка або навіть до всієї бізнес-моделі.

Cloudflare надає клієнтам інструменти для виявлення підозрілого створення облікових записів на етапі їхнього виникнення двома способами:

1. Перевірка одноразових адрес електронної пошти: виявлення випадків, коли користувачі реєструються за допомогою одноразових або тимчасових адрес електронної пошти, які зазвичай використовуються для зловживання рекламними розсилками та створення фейкових облікових записів. Ці сервіси одноразових електронних адрес дають зловмисникам змогу створювати тисячі «унікальних» облікових записів без необхідності утримувати реальну інфраструктуру, зокрема — одноразові адреси без необхідності авторизації, що забезпечують миттєвий доступ без створення облікового запису, або безкоштовні необмежені псевдоніми електронних адрес. Клієнти можуть використовувати це бінарне поле під час створення правил для забезпечення налаштувань безпеки, блокування всіх одноразових електронних адрес або, можливо, надсилання перевірки кожному, хто намагається створити обліковий запис із використанням одноразової адреси електронної пошти.

   

2. Ризик електронної пошти: Cloudflare аналізує шаблони електронних адрес та їх інфраструктуру, щоб визначити рівні ризику (низький, середній, високий), які клієнти можуть використовувати в правилах безпеки. Ми знаємо, що не всі адреси електронної пошти однакові; адреса у форматі firstname.lastname@knowndomain.com має інші характеристики ризику, ніж xk7q9m2p@newdomain.xyz. Рівні ризику електронної пошти дозволяють клієнтам вказати свою готовність до ризику та незручностей під час створення облікового запису.

Як перевірка одноразових електронних адрес, так і оцінка ризику електронної пошти тепер доступні в аналітиці безпеки та правилах безпеки, що дозволяє власникам вебсайтів захищати процес створення своїх облікових записів. Ці механізми виявлення розв'язують фундаментальну проблему: коли обліковий запис вже починає зловживати, це означає, що вже запізно. Власник вебсайту вже сплатив витрати на залучення користувачів, шахрайський користувач використав промо-кредити, а для виправлення ситуації необхідна ручна перевірка. Зменшення ризику від підозрілих електронних адрес означає додавання відповідних обмежень під час реєстрації — саме тоді, коли це найважливіше.

Щоб зрозуміти схеми зловживань, необхідна прозорість: не лише в мережі, а й щодо активності облікових записів. Традиційно безпека означала аналіз IP-адрес та окремих HTTP-запитів для виявлення автоматизованої активності, але власники вебсайтів не обмежуються лише мережевими сигналами; вони також враховують своїх користувачів та відомі облікові записи. Саме тому ми розширюємо наш набір інструментів для пом’якшення наслідків, щоб адаптувати їх до реальної структури додатків, зосереджуючись на виявленні шахрайської діяльності на рівні користувачів.

Зловмисники можуть без зусиль змінювати IP-адреси, щоб приховати свої сліди. Однак вимога постійно створювати нові, достовірні облікові записи спричиняє значні труднощі, особливо в поєднанні із захистом облікових записів. Якщо вийти за межі мережевого рівня та прив’язати шахрайські дії до конкретного скомпрометованого або зловмисного облікового запису, ми можемо виявити цілеспрямовану активність одного постійного зловмисника і припинити зловживання. Таким чином, ми переносимо стратегію захисту на рівень облікового запису, замість того, щоб безрезультатно боротися з постійною зміною IP-адрес та проксі-серверами для домашнього використання. Це означає, що наші клієнти можуть протидіяти зловживанням, завдяки тому, як їхні додатки розмежовують ідентифікаційні дані.

Щоб надати власникам вебсайтів цю можливість, Cloudflare впроваджує хешований ідентифікатор користувача, який клієнти можуть використовувати в аналітиці безпеки, правилах безпеки та керованих перетвореннях. Ідентифікатори користувачів — це криптографічно хешовані версії значень у полі імені користувача для кожного домену, і кожен ідентифікатор користувача — це зашифрований, унікальний та стабільний ідентифікатор, згенерований для певного імені користувача в додатку клієнта. Важливо, що фактичне ім'я користувача не реєструється та не зберігається Cloudflare в рамках цього сервісу. Як і у випадку з перевіркою витоку облікових даних та виявленням ATO, які ідентифікують трафік входу, а потім шифрують облікові дані для порівняння, ми ставимо на перше місце конфіденційність кінцевих користувачів, водночас надаючи нашим клієнтам можливість вживати заходів проти шахрайської поведінки.

Маючи доступ до хешованих ідентифікаторів користувачів, власники вебсайтів можуть:

• Переглядати найактивніших користувачів: які облікові записи мають найбільшу активність?

• Дізнатися, коли унікальний користувач входить у систему з країни, з якої він зазвичай не входить, або з кількох країн протягом одного дня!

• Обмежувати трафік на основі унікальних користувачів, наприклад, блокуючи користувачів, які раніше демонстрували підозрілу активність.

• Об’єднувати поля, щоб побачити, коли на облікові записи здійснюються атаки з використанням викрадених облікових даних.

• Переглядати, які мережеві шаблони або сигнали пов'язані з унікальними користувачами.

^{Розгорнуте подання одного хешованого ідентифікатора користувача на панелі інструментів аналітики безпеки, що показує деталі активності цього унікального користувача, включаючи місце входу та браузер.}

Ця функція відстеження на рівні користувачів змінює підхід власників вебсайтів до аналізу та оптимізації трафіку. Замість того, щоб розглядати окремі запити окремо, наші клієнти можуть побачити повну картину того, як зловмисники атакують та ховаються серед законних користувачів.

Якщо ви хочете дізнатися більше про цю функцію в рамках раннього доступу, зареєструйтеся тут. Усі клієнти Bot Management Enterprise вже сьогодні можуть скористатися цими новими функціями захисту від зловживань обліковим записом, і ми будемо раді розпочати діалог з усім потенційними клієнтами, які використовують управління ботами.

Хоча виявлення ботів продовжуватиме відповідати на питання автоматизації та намірів, виявлення шахрайства стосується питання автентичності. Разом вони надають власникам вебсайтів комплексні інструменти для боротьби з усім spectrum зловживань обліковими записами. Цей пакет — це один з етапів наших постійних зусиль, спрямованих на захист усього шляху користувача — від створення облікового запису та входу в систему до безпечного оформлення замовлення та забезпечення цілісності кожної взаємодії.