«Бот ты мне или не бот, рад ты мне или не рад?...»: Боты в Интернете (что это, как работает?)

Выбрать раздел:

1. Что такое Бот?

2. «Хорошие» боты

3. «Плохие» боты

4. Создание вредоносного ботнета

5. Примеры аналитических инструментов для обнаружения ботов на основе сигнатур

«Бот» (сокращение от «робот») – это программа, выполняющая автоматические заранее настроенные повторяющиеся задачи. Боты обычно имитируют поведение пользователя или заменяют его. Боты являются автоматизированными, потому они работают намного быстрее, чем пользователи. Они выполняют полезные функции, например, обслуживание клиентов или индексация поисковых систем. Однако боты также могут являться вредоносными программами, используемыми для получения полного контроля над компьютером.

Их встраивают в социальные сети, например, в «ВКонтакте», мессенджеры Telegram, WhatsApp, Viber, и на различные сайты, где они помогают общаться с людьми через приложение в телефоне или на веб-ресурсе в Интернете. Под каждый проект специалисты создают своего бота, который решает определённые задачи.

По данным компании Cloudflare США остаются основным источником бот-трафика, обеспечивая 34,6% мирового объёма. Германия занимает второе место (6,8%), за ней следуют Иран, Китай и Сингапур. Великобритания замыкает шестёрку (3,2%). Такой разрыв объясняется высокой концентрацией крупных технологических компаний в США, генерирующих значительное количество трафика. Amazon Web Services является крупнейшим источником бот-трафика с долей 12,7%, а Google с показателем 7,8% также вносит значительный вклад. Больше всего запросов от Google связано с работой поискового робота Googlebot, занимающегося индексацией веб-страниц.

Для функционирования бота может быть использовано любое устройство, имеющее подключение к Интернету:

– персональные компьютеры;

– мобильные устройства;

– элементы сетевой инфраструктуры;

– устройства интернета вещей (Internet of Things, IoT), в том числе:

Все это оборудование может стать частью ботнета. Ботнет – это несколько подключенных к интернету устройств, на каждом из которых работает один или несколько ботов, часто без ведома владельцев устройств. Каждое устройство имеет собственный IP-адрес, и трафик ботнета поступает с множества IP-адресов. Это затрудняет в частности выявление и блокировку источника вредоносного трафика со стороны ботов. Часто ботнеты расширяются сами по себе, рассылая с зараженных устройств спам-сообщения, заражающие другие устройства.

Боты делятся на скриптовых, API- и браузерных. Первые - простые программы, написанные на скриптовых языках, которые автоматизируют задачи, такие как заполнение форм или отправка запросов без взаимодействия с браузером. Вторые - взаимодействуют с веб-приложениями через API, это позволяет им эффективно заниматься автоматизированными задачами (например, сбором данных). Третьи - маскируют активность под обычных пользователей в Сети. Они могут включать более сложные стратегии, такие как имитация реального поведения пользователя, что затрудняет их обнаружение.

Боты также можно разделить на «хороших» и «плохих».

«Хорошие» – выполняют полезные задачи или улучшают пользовательский опыт. Например, поисковые, дающие необходимые данные о продукте или интернет-магазине, отвечающие на вопросы клиентов, присылающие документы, обрабатывающие заказы, принимающие оплату и др.

«Плохие» – преследуют вредоносные цели и могут нанести ощутимый урон интернет-компании различными способами, например, привести к краже личных данных клиентов, распространению вредоносного ПО, взлому аккаунтов и сайтов, а также к DDOS-атакам с целью вывода из строя веб-ресурса или создания поддельной учётной записи для рассылки спама.

Чат-боты – имитируют человеческий разговор.

Боты для совершения покупок – осуществляют мониторинг цен и поиск лучшей цены.

Боты-пауки или поисковые роботы – сканируют контент веб-страниц по всему интернету для оптимизации работы поисковых систем

Боты считывания веб-страниц – для считывания данных с веб-сайтов и сохранения их в автономном режиме для повторного использования.

Боты-сборщики информации – осуществляют сбор информации, соответствующей определенным критериям

Боты мониторинга – для мониторинга работоспособности веб-сайта или системы

Транзакционные боты – для совершения транзакций от имени людей

Боты-загрузчики – для автоматической загрузки программного обеспечения или мобильных приложений

«Плохие» – преследуют вредоносные цели и могут нанести ощутимый урон интернет-компании различными способами, например, привести к краже личных данных клиентов, распространению вредоносного ПО, взлому аккаунтов и сайтов, а также к DDOS-атакам с целью вывода из строя веб-ресурса или создания поддельной учётной записи для рассылки спама.

Спам-боты – сбор контактов, рассылка и размещение рекламного контента на форумах или в разделах комментариев для увеличения трафика определенных сайтов.

Вредоносные чат-боты – имитируют живых людей, подражая реальному человеческому общению, для получение личной информации, включая номера кредитных карт.

Боты обмена файлами – заражение устройств при поиске и загрузке файлов

Боты заполнения учетных данных – несанкционированного доступа к учетным записям пользователей

DoS и DDoS-боты – для создания чрезмерной нагрузки на ресурсы сервера и остановки работы сервисов.

Боты для атак на интернет-магазины – их целью является отображение товаров как отсутствующих в наличии.

Боты поиска уязвимостей – выявление уязвимостей в зловредных целях

Боты накручивания кликов – создание вредоносного трафика, нацеленного на платную рекламу

Боты мониторинга трафика – для перегрузки почтовых серверов и кражи данных.

В 2024 году количество бот-атак в России выросло на 30% по сравнению с 2023 г. Под удар попадали как крупные компании, так и малый бизнес из сфер ретейла, доставки и др. По данным Kaspersky DDoS Protection, злоумышленники чаще всего целятся в организации из финансовой отрасли и сферы розничной торговли. В первую очередь атакам подвергаются сайты с формой авторизации: они чаще всего привлекают бот-активность.

Для проведения таких атак и сокрытия источника атак злоумышленники могут распространять вредоносные боты через ботнет. Один из наиболее распространенных способов заражения компьютеров ботами – это загрузки. Вредоносные программы доставляются в виде файла загрузки через социальные сети или сообщения электронной почты, в которых рекомендуется перейти по ссылке. Ссылка часто представляет собой изображение или видео, содержащее вирусы и другие вредоносные программы. Компьютер, зараженный вредоносной программой, может стать частью ботнета. Бот также может отображать предупреждение о том, что компьютер заразится вирусом, если не перейти по соответствующей ссылке, однако именно при переходе по ссылке компьютер заражается вирусом.

Обнаружение ботов на основе сигнатур предполагает использование обширной и точной базы данных для отслеживания совпадений с именами (nickname) известных ботов. Этот подход точен при условии доступности соответствующей базы данных сигнатур.

– Advanced Bot Protection – данное решение собирает и анализирует посещаемость сайта для выявления аномалий. Чтобы определить, является посетитель человеком или ботом, программа использует статические и основанные на анализе реального времени поведения подходы.

Кроме этого, она также позволяет контролировать все типы трафика, включая человеческий, «хороших» и «плохих» ботов, а функции проверки браузера и расширенного автоматического обнаружения позволяют эффективно вычислять вредоносных ботов в общем пространстве IP-адресов. В то же время ПО гарантирует стабильный доступ к сайту для нужных ботов и людей. Пользователи будут защищены на всех точках доступа: через сайты, мобильные приложения и API.

Также Advanced Bot Protection предотвращает различные типы угроз, такие как агрегация и создание учетных записей, мошенничество с рекламой, обход CAPTCHA, кардинг, взлом карт, фингерпринтинг, футпринтинг, скрейпинг и многое другое.

– Finteza – этот программный инструмент подробно анализирует каждого посетителя сайта. Затем оценивает технические параметры заходов на сайт, проверяя операционные системы, браузеры, IP-адреса, разрешение экрана и многое другое. Также анализируется поведение пользователей на основе таких факторов, как имитация движений мыши или касаний экрана, используемое аппаратное обеспечение, время между действиями. После проведения анализа трафика Finteza на графике в разделе «качество» (Quality) отображает категории посетителей: реальный пользователь, сложный бот (маскируется под человека), продвинутый (может убедительно

имитировать поведение человека), примитивный (не пытается спрятаться) и вредоносный. В списке также указано, к какой группе относятся боты: рассылающие спам, подбирающие пароль или имитирующие действия.

– Radware Bot Manager – облачное ПО для обеспечения безопасности, ориентированное на поддержку малого и среднего бизнеса. Данное решение использует запатентованные технологии, искусственный интеллект и машинное обучение для создания уникального цифрового отпечатка для каждого посетителя и бота. После этого система идентифицирует посетителя как человека, поискового робота или вредоносного бота.

Программа фильтрует даже очень продвинутых человекоподобных ботов, поэтому настоящим (реальным) пользователям не приходится вводить капчу. Панель управления Radware Bot Manager, которая предоставляет подробные данные по бот-трафику с разделением по URL-адресам и разделам. На ней отображается информация о всех типах атак, осуществляемых на веб-ресурсы. Также доступна статистика фейкового трафика по странам.

Кроме того, инструмент защищает сайт, мобильное приложение и API от ботов, занимающихся веб-скрейпингом (технология получения данных путём извлечения их со страниц веб-ресурсов) и кражей контента. Процессы выполняются незаметно, чтобы настоящие посетители не испытывали трудностей с доступом к веб-ресурсу.

– Bot Traffic Protection – одно из эффективных решений, использующих технологию обнаружения прокси-серверов для выявления и предотвращения мошеннических действий в Интернете (IPQualityScore, IPQS), а также применяющих гибкий подход для обнаружения ботов с помощью различных пересекающихся проверок:

Это передовое решение поможет сдержать и найти даже самых изощренных ботов, имитирующих поведение человека. Оно позволяет предотвратить несанкционированный вход в учетную запись, сбор данных и покупки, а также любые другие типы автоматизированного мошеннического поведения.

Обнаружение ботов на основе сигнатур поведения предполагает анализ различных параметров, включая особенности просмотра страниц, движения мыши, нажатия клавиш и перемещения по URL-адресам в браузере. На основе этих данных создаются уникальные цифровые отпечатки каждого пользователя, а затем сравниваются с общей базой сигнатур ботов, в которой содержатся собранные с разных Интернет-ресурсов сигнатуры вредоносных ботов.

Например, в отличие от широко используемого поверхностного поведенческого анализа на основе взаимодействия в решении Radware Bot Manager для обнаружения ботов используется технология глубокого анализа поведения на основе намерений (Intent-based deep behavioral analysis, IDBA), которая выполняет поведенческий анализ на более высоком уровне абстракции намерения. В частности, захват аккаунта – это пример намерения, а «перемещение указателя мыши по прямой линии» – взаимодействия. IDBA позволяет понять намерение посетителей веб-ресурса и отфильтровать недопустимый трафик вредоносных ботов.

Кроме того, существует адаптивный алгоритм BotWalk, разработанный группой исследователей из Университета Нью-Мексико и Университета штата Мичиган (США). Он учитывает вектор развития поведенческих признаков ботов и позволяет регистрировать аномалии поведения аккаунтов в социальной сети, а затем использовать сформированные шаблоны поведения или их комбинации для обнаружения ботов.

В 2025 году прогнозируется дальнейшее увеличение количества бот-атак. Злоумышленники будут стремиться к полной имитации человеческого поведения, что создаст значительные сложности для отражения бот-атак. Наибольшую угрозу это будет представлять среднему и малому бизнесу особенно в электронной коммерции и среди интернет-провайдеров.

#кибербезопасность