Анонсируем Cloudflare Account Abuse Protection: защита от мошеннических атак как со стороны ботов, так и со стороны людей

Сегодня Cloudflare представляет новый набор возможностей предотвращения мошенничества, предназначенных для предотвращения вредоносных действий с учетной записью еще до того, как они начнутся. Мы потратили годы на то, чтобы клиенты Cloudflare могли защищать свои приложения от автоматических атак, но ландшафт угроз изменился. Индустриализация гибридных атак, совмещающих автоматизированные и ручные действия, ставит перед владельцами веб‑сайтов сложную задачу в сфере безопасности. Рассмотрим, например, доступ к одной учетной записи из Нью-Йорка, Лондона и Сан-Франциско в течение пяти минут. Ключевой вопрос в этом случае не в том: «Это автоматизировано?» а скорее: «Это подлинно?» 

Владельцам веб-сайтов необходимы инструменты для предотвращения вредоносных действий на своем сайте, независимо от того, от кого они исходят.

Во время Birthday Week (Неделя инновация в честь нашего дня рождения) в 2024 году мы сделали функцию обнаружения утечек учетных данных доступной для всех клиентов, в том числе всех пользователей плана Free. С тех пор мы добавили идентификаторы обнаружения захвата учетных записей в рамках нашего решения по управлению ботами, чтобы помочь выявлять ботов, атакующих ваши страницы входа в систему. 

Теперь мы объединяем эти мощные инструменты с новыми. Проверка одноразовой электронной почты и оценка рисков, связанных с электронной почтой , помогают обеспечивать соблюдение настроек безопасности для пользователей, которые регистрируются, используя одноразовые адреса электронной почты (что является распространенной тактикой для создания поддельных учетных записей и злоупотребления продвижением) или чьи электронные письма считаются рискованными на основе шаблонов электронной почты и инфраструктуры. Мы также рады представить хэшированные идентификаторы пользователей — идентификаторы для каждого домена, генерируемые путем криптографического хэширования имен пользователей, — которые дают клиентам лучшее представление о подозрительной активности учетной записи и более широкие возможности для нейтрализации потенциально мошеннического трафика без ущерба для конфиденциальности конечных пользователей.

Новые возможности, о которых мы объявляем сегодня, выходят за рамки автоматизации, выявляя вредоносные действия и рискованные идентификаторы среди пользователей-людей и ботов. Account Abuse Protection доступна в рамках раннего доступа, и любой клиент Cloudflare Bot Management Enterprise может использовать эти функции без дополнительных затрат в течение ограниченного периода времени, до тех пор, пока в этом году решение Cloudflare для предотвращения мошенничества не станет общедоступным. Если вы хотите узнать больше об этой возможности раннего доступа, зарегистрируйтесь здесь.

Входной барьер для мошеннических действий опасно низок, особенно учитывая наличие огромных наборов данных и доступа к автоматизированным инструментам, позволяющим совершать мошенничество с учетными записями в больших масштабах. Владельцы веб-сайтов имеют дело не с отдельными хакерами, а с промышленным мошенничеством. В прошлом году мы отметили, что 41 % входов в систему в нашей сети использовались с использованием скомпрометированных учетных данных. С тех пор эта цифра только выросла: после раскрытия базы данных с 16 млрд записей и целого ряда резонансных утечек ситуация еще больше усугубилась. 

Более того, пользователи нередко повторно используют пароли на разных платформах, поэтому единственная утечка многолетней давности может по‑прежнему открыть доступ к ценной учетной записи интернет‑ритейлера или даже банковскому счету. Наша функция проверки скомпрометированных учетных данных — это бесплатный инструмент, который позволяет выяснить, был ли пароль раскрыт в рамках известной утечки данных с другого интернет‑сервиса или приложения в Интернете. Это сервис проверки учетных данных с сохранением конфиденциальности, который помогает защитить наших пользователей от использования скомпрометированных паролей, при этом Cloudflare выполняет такие проверки, не получая доступа к паролям пользователей в открытом виде и не сохраняя их. Пароли преобразуются в хэш — то есть, конвертируются в случайную строку символов с помощью криптографического алгоритма — с целью сравнения их с базой данных скомпрометирванных учетных данных. Если вы еще не включили нашу функцию проверки скомпрометированных учетных данных, включите ее сейчас, чтобы защитить свои учетные записи от простых взломов!

Доступ к обширной базе данных утечек учетных данных полезен только в том случае, если злоумышленник может быстро циклически просматривать их на множестве сайтов, чтобы определить, какие учетные записи все еще уязвимы из-за повторного использования паролей. В рамках нашего анализа в Черную пятницу 2024 года мы отметили, что более 60 % трафика на страницы входа в нашу сеть было автоматизировано. Это множество ботов, пытающихся взломать систему.

Чтобы помочь клиентам защитить свои конечные точки входа в систему от постоянных атак, мы добавили средства обнаружения захвата учетных записей (ATO-специфичные обнаружения), чтобы выявлять подозрительные модели трафика. Это часть нашего недавнего акцента на индивидуальных механизмах обнаружения: мы внедряем поведенческий анализ аномалий, настроенный под каждого конкретного клиента, использующего решения для управления ботами. Сегодня клиенты управления ботами могут отслеживать и нейтрализовывать попытки ATO-атак в своих запросах на вход непосредственно на информационной панели аналитики безопасности (Security analytics).

^{В карточке слева на панели аналитики безопасности (Security analytics) можно просматривать и оперативно устранять попытки захвата учетных записей.}

На прошлой неделе наши средства обнаружения ATO в совокупности выявляли в нашей сети в среднем 6,9 млрд подозрительных попыток входа в систему ежедневно. Эти обнаружения ATO, наряду со многими другими механизмами обнаружения в нашем решении для управления ботами, создают многоуровневую оборону от ATO и других вредоносных автоматизированных атак.

Распознать автоматизацию или распознать умысел и идентичность? Вот в чем вопрос. Наш ответ: да и да, поскольку оба являются критически важными уровнями надежной системы безопасности. Сегодня злоумышленники действуют в масштабах, ранее характерных лишь для корпоративных сервисов: они используют массивные базы со скомпрометированными учетными данными, задействуют «фермы» мошенников для подмены устройств и геолокации и создают синтетические личности, чтобы поддерживать тысячи — а то и миллионы — фейковых учетных записей для продвижения и злоупотребления платформами. Злоумышленник, вооруженный автоматизированными инструментами, может опустошать счета, злоупотреблять акционными предложениям, совершать платежное мошенничество или все вышеперечисленное.

Кроме того, автоматизация стала доступна как никогда прежде, особенно сейчас, когда пользователи все лучше осваивают использование агентов ИИ, и даже давно существующие, «традиционные» браузеры по умолчанию приобретают агентские возможности. Будь то злоумышленник, использующий агента ИИ в одиночку, или скоординированная мошенническая кампания, угроза уже не сводится к одному‑единственному скрипту — за ней может стоять человеческий умысел при автоматизированном исполнении.

Рассмотрим следующие сценарии, которые мы слышали от наших клиентов:

• В этом месяце у нас появилось 1000 новых пользователей, но более половины из них — поддельные профили, которые пользуются бесплатной пробной версией, а затем исчезают.

• Злоумышленник вошел в систему, используя правильный пароль. Как узнать, что это не реальный пользователь?

• Этот субъект действует в «человеческом» темпе — и при этом планомерно обнуляет счета пользователей.

Эти проблемы невозможно решить, опираясь только на оценку автоматизации; здесь необходимы проверки на подлинность и целостность. Это пробел, который устраняют наши специализированные возможности предотвращения мошенничества.

Начнём с оценки самой ранней точки, в которой может возникнуть злоупотребление учетной записью, — этапа ее создания. Фейковое или массовое создание учетных записей — одна из ключевых тем в обсуждении мошенничества на сайтах, поскольку оно открывает злоумышленникам путь к самому приложению — а порой и подрывает всю бизнес‑модель. 

Cloudflare предоставляет клиентам инструменты для оценки подозрительного создания учетных записей на этапе создания двумя способами:

1. Обнаружение одноразовых электронной почты: выявляйте случаи, когда пользователи регистрируются с одноразовыми или временными адресами электронной почты, которые обычно используются для злоупотреблений при промоакциях и создания поддельных учетных записей. Эти одноразовые сервисы электронной почты позволяют злоумышленникам создавать тысячи «уникальных» учетных записей без необходимости поддерживать реальную инфраструктуру, особенно это касается неаутентифицированных одноразовых электронных адресов, которые предоставляют мгновенный доступ без создания учетной записи или бесплатных неограниченных почтовых псевдонимов. Клиенты могут использовать это бинарное поле при создании правил для обеспечения настроек безопасности, выбирая полную блокировку всех одноразовых электронных писем или, возможно, выдавая проверочный запрос всем, кто пытается создать учетную запись с помощью одноразового электронного письма.

   

2. Риск электронной почты: Cloudflare анализирует шаблоны и инфраструктуру электронной почты, чтобы определить уровни риска (низкий, средний, высокий), которые клиенты могут использовать в правилах безопасности. Мы знаем, что не все адреса электронной почты созданы равными; адрес в формате firstname.lastname@knowndomain.com имеет иные характеристики риска, чем xk7q9m2p@newdomain.xyz. Уровни риска электронной почты позволяют клиентам задать приемлемый баланс между уровнем риска и степенью «трения» (дополнительных проверок) уже на этапе создания учетной записи. 

Проверка одноразовых адресов электронной почты и оценка риска электронной почты теперь доступны в разделах аналитики и правилах безопасности, позволяя владельцам сайтов защищать процесс создания учетных записей. Такие обнаружения решают фундаментальную проблему: к тому моменту, когда с учетной записью уже совершаются вредоносные действия, будет уже слишком поздно. Владелец сайта уже понес расходы на привлечение этого пользователя, мошенник успел израсходовать промокредиты, а исправление ситуации требует ручной проверки. Снижение риска, связанного с подозрительными электронными письмами, означает внесение необходимого уровня «трения» (проверки) уже на этапе регистрации — в тот момент, когда это имеет решающее значение.

Для того чтобы выявлять закономерности злоупотреблений, необходим мониторинг: не только на уровне сети, но и на уровне активности в самих учетных записях. Традиционно безопасность строилась вокруг анализа IP‑адресов и отдельных HTTP‑запросов, чтобы выявить автоматизированную активность, но владельцы сайтов смотрят шире: они учитывают не только сетевые сигналы, но и конкретных пользователей и их учетные записи. Именно поэтому мы расширяем наш набор инструментов для нейтрализации, чтобы он соответствовал способу фактической структуры приложений, делая упор на выявление мошеннической активности на уровне пользователей.

Злоумышленники могут легко менять IP-адреса, чтобы скрывать свои следы. Но когда им приходится снова и снова создавать новые, правдоподобные учетные записи, это создает для них огромные препятствия, особенно если включены защитные механизмы на этапе регистрации. Если мы выходим за рамки одного лишь сетевого уровня и сопоставляем мошеннические действия с конкретной скомпрометированной или вредоносной учетной записью, мы можем выявить целенаправленное поведение одного устойчивого злоумышленника и пресечь вредоносные действия. Таким образом, мы переносим стратегию защиты на уровень учетных записей, вместо того чтобы постоянно гоняться за меняющимися IP-адресами и резидентными прокси-серверами. Это означает, что наши клиенты могут нейтрализовывать вредоносные действия в зависимости от того, как их приложения разделяют идентификацию.

Чтобы предоставить владельцам веб-сайтов эту возможность, Cloudflare выпускает хэшированный идентификатор пользователя, который клиенты могут использовать в аналитике безопасности, правилах безопасности и управляемых преобразованиях. Идентификаторы пользователей — это криптографически хэшированные версии значений из поля имени пользователя, уникальные для каждого домена. Каждый идентификатор пользователя представляет собой зашифрованный, уникальный и стабильный идентификатор, сгенерированный для данного имени пользователя в клиентском приложении. Важно отметить, что фактическое имя пользователя не регистрируется и не хранится Cloudflare в рамках этой услуги. Как и в случае проверки утечек учетных данных и обнаружения ATO, которые определяют трафик входа в систему, а затем шифруют учетные данные для сравнения, мы отдаем приоритет конфиденциальности конечных пользователей и предоставляем возможность нашим клиентам принимать меры против мошеннических действий.

Имея доступ к хэшированным идентификаторам пользователей, владельцы веб-сайтов могут:

• Просматривать основных пользователей: какие учетные записи имеют наибольшую активность?

• Просматривать случаи, когда уникальный пользователь входит в систему из страны, в которой он обычно не бывает, или из нескольких стран за один день!

• Нейтрализовывать трафик на основе уникальных пользователей, например, блокировка пользователя с исторически подозрительной активностью.

• Объединять поля, чтобы узнать, когда учетные записи компрометируются с помощью утечки учетных данных.

• Просматривать, какие сетевые паттерны или сигналы связаны с уникальными пользователями.

^{Расширенное представление одного хэшированного идентификатора пользователя на информационной панели аналитики безопасности (Security analytics), показывающее данные активности этого уникального пользователя, включая его местоположение входа и браузер.} 

Такая возможность мониторинга на уровне пользователя меняет то, как владельцы веб-сайтов могут анализировать трафик и нейтрализовывать связанные с ним угрозы. Вместо анализа отдельных запросов в отрыве от контекста наши клиенты видят полную картину того, как злоумышленники нацеливаются на их систему и маскируются среди легитимных пользователей.

Если вы хотите узнать больше об этой возможности раннего доступа, зарегистрируйтесь здесь. Все клиенты Bot Management Enterprise уже сегодня могут добавить эти новые функции защиты от злоупотреблений учетной записью, и мы будем рады начать диалог со всеми без исключения потенциальными клиентами Bot Management.

В то время как обнаружения ботов по‑прежнему отвечают на вопрос об автоматизации и намерениях, механизмы обнаружения мошенничества погружаются в более глубокий вопрос подлинности. В совокупности они предоставляют владельцам веб-сайтов комплексные инструменты для борьбы с полным спектром злоупотреблений учетными записями. Этот пакет является одним из шагов в наших постоянных инвестициях для защиты всего пути пользователя — от создания учетной записи и входа в систему до безопасных платежей и целостности каждого взаимодействия.