С конца 2021 года мы начали фиксировать новый тип атак на бизнес-логику веб-приложений. Этот вектор часто называют SMS Leak, SMS-бомбингом или атакой на баланс SMS.
ОБ АТАКЕ
SMS Leak — это автоматизированная атака на бизнес-логику веб-ресурса (веб-сайта или API мобильного приложения). Механизм атаки эксплуатирует функциональность автоматизированной отправки SMS. Компании используют её для подтверждения авторизации при регистрации новых пользователей, восстановления паролей, заказов и оповещений клиентов.
SMS-бомбинг нацелен на исчерпание баланса у SMS-агрегатора или неконтролируемый расход бюджета компании-жертвы на отправку сообщений.
КТО ПОД УГРОЗОЙ
В зоне риска любой онлайн-бизнес, использующий двухфакторную авторизацию пользователей в личном кабинете: ретейл, банки, интернет-магазины, службы доставки еды, такси, каршеринг и многие другие сервисы.
КАК ПРОХОДИТ АТАКА
Злоумышленники используют ботнет. В этом случае алгоритм атаки запускается одновременно на множестве устройств, каждое из которых имеет свой IP-адрес. Это сильно затрудняет поиск и блокировку источника атаки.
Боты задействуют механизм двухфакторной авторизации. Используя «утёкшие» базы и генератор телефонных номеров, они формируют множество запросов на отправку авторизационных SMS.
Каждый нелегитимный запрос приводит к отправке SMS-кода подтверждения. На веб-приложение поступают десятки и сотни тысяч паразитных запросов в сутки. Месячный бюджет на SMS расходуется за несколько дней, а счёт от SMS-агрегатора может вырасти в десятки раз.
Пользователи начинают массово обращаться в техподдержку атакованной компании. Клиенты, получившие SMS-коды подтверждения, ошибочно полагают, что подверглись мошенничеству или попытке взлома аккаунта. Они обращаются в поддержку и создают дополнительную нагрузку, которая приводит к ухудшению качества клиентского сервиса.
РАЗМЕРЫ УБЫТКОВ
Впервые с SMS-бомбингом мы столкнулись в банковской сфере. Один из наших клиентов узнал об атаке постфактум. К моменту обнаружения счёт от SMS-агрегатора уже достигал 6 миллионов рублей.
Количество запросов к веб-приложению банка в среднем составляет 40 млн в сутки, из них — ботовых запросов было около 10%, и только 1% трафика составляли запросы SMS-бомбера. Даже такой, казалось бы, незначительный объём атаки может привести к ощутимым потерям. Если предположить, что стоимость отправки SMS составляет 1,5 руб. за сообщение, суточные убытки составят 600 000 ₽.
ПОЧЕМУ SMS LEAK СЛОЖНО ПРЕДОТВРАТИТЬ
Распределённые источники. Источники ботовой активности сильно распределены по множеству IP-адресов. С каждого отправляются единицы запросов в минуту. Из-за этого они не выглядят подозрительными для систем обнаружения аномалий.
Имитация суточной активности. Ботнет умело имитирует суточную активность пользователей — объём запросов плавно повышается днём и снижается ночью.
Однако ботовые фермы не знают о легитимных всплесках в мобильном трафике (например, реакциях на маркетинговую активность, пуш-уведомлениях или обновлениях) (рис. 1).
Рисунок 1. График разметки трафика за недельный период
Источники ботов и пользователей совпадают. Даже если SMS Leak был обнаружен, самостоятельно отсечь трафик атаки будет проблематично. В простейшем сценарии ботнет развёрнут в одной или нескольких хостинговых подсетях. В этом случае можно самостоятельно заблокировать атаку по IP-адресам источников.
В реальности основная часть продвинутых ботнетов использует сети мобильных операторов. Поэтому при попытке заблокировать ботов по IP-адресу источника доступ к ресурсу потеряют и легитимные пользователи, что приведёт к ещё большему росту обращений клиентов в поддержку.
Чтобы не затронуть легитимный трафик, потребуется его более тонкая фильтрация.
ОПТИМАЛЬНОЕ РЕШЕНИЕ — ЗАЩИТА С ПОМОЩЬЮ АНТИБОТ-ТЕХНОЛОГИИ
Для защиты от таких атак привычных средств защиты от DDoS-атак и взлома недостаточно. Необходимо в реальном времени определить, кто сформировал запрос — реальный пользователь или атакующий алгоритм. Даже если запросы ботов по своим параметрам не отличаются от «человеческих».
Такие решения называют Bot Protection, а ключевыми параметрами их работы являются точность и скорость детектирования.
Мы развиваем собственную технологию защиты от ботов Servicepipe Cybert с 2019 года. Услуги защиты на её базе способны определять и блокировать ботов с первого запроса, пропуская реальных пользователей, даже если с их устройств фильтруется трафик атаки.
КАК РАБОТАЕТ МНОГОФАКТОРНЫЙ АНАЛИЗ
Высокая точность и скорость блокировки достигается за счёт многофакторного анализа трафика в реальном времени:
В итоге для каждого запроса строится вектор факторов и вычисляется его легитимность. Все этапы анализа занимают менее 1 мс. (рис. 2).
Рисунок 2. Работа платформы ServicepipeCybert
КОМПЛЕКСНАЯ ЗАЩИТА ОТ АТАК НА БИЗНЕС-ЛОГИКУ
SMS Leak — это лишь одна из атак на бизнес-логику. Её, конечно, можно минимизировать собственными силами. Например, ограничить частоту отправки SMS для отдельного мобильного номера (допустим, не более 1 сообщения в 1–2 минуты). Или сделать доступной отправку SMS только на мобильных российских операторов либо ограниченного списка стран. Однако всё это лишь уменьшит ущерб, а не предотвратит атаки.
Мы в Servicepipe рекомендуем решать проблему системно и выбрать универсальное решение, которое защитит ваши онлайн-ресурсы и от SMS Leak, и от любых других автоматизированных угроз.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
