Защищая пользователей, защищайтесь сами. Чем опасен SMS-бомбинг и как защитить онлайн-ресурс от атак на бизнес-логику

Защищая пользователей, защищайтесь сами. Чем опасен SMS-бомбинг и как защитить онлайн-ресурс от атак на бизнес-логику

С конца 2021 года мы начали фиксировать новый тип атак на бизнес-логику веб-приложений. Этот вектор часто называют SMS Leak, SMS-бомбингом или атакой на баланс SMS.

ОБ АТАКЕ

SMS Leak — это автоматизированная атака на бизнес-логику веб-ресурса (веб-сайта или API мобильного приложения). Механизм атаки эксплуатирует функциональность автоматизированной отправки SMS. Компании используют её для подтверждения авторизации при регистрации новых пользователей, восстановления паролей, заказов и оповещений клиентов.

SMS-бомбинг нацелен на исчерпание баланса у SMS-агрегатора или неконтролируемый расход бюджета компании-жертвы на отправку сообщений.

КТО ПОД УГРОЗОЙ

В зоне риска любой онлайн-бизнес, использующий двухфакторную авторизацию пользователей в личном кабинете: ретейл, банки, интернет-магазины, службы доставки еды, такси, каршеринг и многие другие сервисы.

КАК ПРОХОДИТ АТАКА

Злоумышленники используют ботнет. В этом случае алгоритм атаки запускается одновременно на множестве устройств, каждое из которых имеет свой IP-адрес. Это сильно затрудняет поиск и блокировку источника атаки.

Боты задействуют механизм двухфакторной авторизации. Используя «утёкшие» базы и генератор телефонных номеров, они формируют множество запросов на отправку авторизационных SMS.

Каждый нелегитимный запрос приводит к отправке SMS-кода подтверждения. На веб-приложение поступают десятки и сотни тысяч паразитных запросов в сутки. Месячный бюджет на SMS расходуется за несколько дней, а счёт от SMS-агрегатора может вырасти в десятки раз.

Пользователи начинают массово обращаться в техподдержку атакованной компании. Клиенты, получившие SMS-коды подтверждения, ошибочно полагают, что подверглись мошенничеству или попытке взлома аккаунта. Они обращаются в поддержку и создают дополнительную нагрузку, которая приводит к ухудшению качества клиентского сервиса.

РАЗМЕРЫ УБЫТКОВ

Впервые с SMS-бомбингом мы столкнулись в банковской сфере. Один из наших клиентов узнал об атаке постфактум. К моменту обнаружения счёт от SMS-агрегатора уже достигал 6 миллионов рублей.

Количество запросов к веб-приложению банка в среднем составляет 40 млн в сутки, из них — ботовых запросов было около 10%, и только 1% трафика составляли запросы SMS-бомбера. Даже такой, казалось бы, незначительный объём атаки может привести к ощутимым потерям. Если предположить, что стоимость отправки SMS составляет 1,5 руб. за сообщение, суточные убытки составят 600 000 ₽.

ПОЧЕМУ SMS LEAK СЛОЖНО ПРЕДОТВРАТИТЬ

Распределённые источники. Источники ботовой активности сильно распределены по множеству IP-адресов. С каждого отправляются единицы запросов в минуту. Из-за этого они не выглядят подозрительными для систем обнаружения аномалий.

Имитация суточной активности. Ботнет умело имитирует суточную активность пользователей — объём запросов плавно повышается днём и снижается ночью.

Однако ботовые фермы не знают о легитимных всплесках в мобильном трафике (например, реакциях на маркетинговую активность, пуш-уведомлениях или обновлениях) (рис. 1).

Рисунок 1. График разметки трафика за недельный период

Источники ботов и пользователей совпадают. Даже если SMS Leak был обнаружен, самостоятельно отсечь трафик атаки будет проблематично. В простейшем сценарии ботнет развёрнут в одной или нескольких хостинговых подсетях. В этом случае можно самостоятельно заблокировать атаку по IP-адресам источников.

В реальности основная часть продвинутых ботнетов использует сети мобильных операторов. Поэтому при попытке заблокировать ботов по IP-адресу источника доступ к ресурсу потеряют и легитимные пользователи, что приведёт к ещё большему росту обращений клиентов в поддержку.

Чтобы не затронуть легитимный трафик, потребуется его более тонкая фильтрация.

ОПТИМАЛЬНОЕ РЕШЕНИЕ — ЗАЩИТА С ПОМОЩЬЮ АНТИБОТ-ТЕХНОЛОГИИ

Для защиты от таких атак привычных средств защиты от DDoS-атак и взлома недостаточно. Необходимо в реальном времени определить, кто сформировал запрос — реальный пользователь или атакующий алгоритм. Даже если запросы ботов по своим параметрам не отличаются от «человеческих».

Такие решения называют Bot Protection, а ключевыми параметрами их работы являются точность и скорость детектирования.

Мы развиваем собственную технологию защиты от ботов Servicepipe Cybert с 2019 года. Услуги защиты на её базе способны определять и блокировать ботов с первого запроса, пропуская реальных пользователей, даже если с их устройств фильтруется трафик атаки.

КАК РАБОТАЕТ МНОГОФАКТОРНЫЙ АНАЛИЗ

Высокая точность и скорость блокировки достигается за счёт многофакторного анализа трафика в реальном времени:

• выявляются статистические аномалии;
• анализируются более 100 технических метрик запроса;
• запрос сопоставляется с подозрительными сигнатурами из нашей базы ботнетов и сигнатурами легитимных мобильных клиентов и браузеров;
• в случае сомнений — вычисляются поведенческие факторы.

В итоге для каждого запроса строится вектор факторов и вычисляется его легитимность. Все этапы анализа занимают менее 1 мс. (рис. 2).

Рисунок 2. Работа платформы ServicepipeCybert

КОМПЛЕКСНАЯ ЗАЩИТА ОТ АТАК НА БИЗНЕС-ЛОГИКУ

SMS Leak — это лишь одна из атак на бизнес-логику. Её, конечно, можно минимизировать собственными силами. Например, ограничить частоту отправки SMS для отдельного мобильного номера (допустим, не более 1 сообщения в 1–2 минуты). Или сделать доступной отправку SMS только на мобильных российских операторов либо ограниченного списка стран. Однако всё это лишь уменьшит ущерб, а не предотвратит атаки.

Мы в Servicepipe рекомендуем решать проблему системно и выбрать универсальное решение, которое защитит ваши онлайн-ресурсы и от SMS Leak, и от любых других автоматизированных угроз.