Il bagarinaggio dei bot sui servizi governativi israeliani
A cura di: Gon Avnon
Analisi riassuntiva
I ricercatori di Akamai hanno monitorato una situazione in cui i bot hanno sfruttato i cittadini israeliani tramite varie agenzie governative
Più di 700.000 israeliani hanno prenotato un appuntamento per il rinnovo del passaporto, creando un arretrato di mesi al Ministero dell'Interno.
Un gruppo di sviluppatori ha creato un bot per proteggere gli appuntamenti tramite MyVisit, la piattaforma di pianificazione degli appuntamenti utilizzata da alcuni uffici del governo israeliano, e l'ha rilasciato ad uso pubblico gratuito.
Subito dopo, un altro gruppo ha creato il proprio bot per l'acquisto e la vendita degli appuntamenti MyVisit per vari servizi governativi, tra cui il Ministero dell'Interno, il Ministero dei Trasporti, una compagnia di assicurazioni nazionale, le poste israeliane, la società elettrica e altro ancora. Ogni appuntamento viene venduto a più di 100 $.
MyVisit ha cercato di mitigare i bot utilizzando un CAPTCHA che è stato rapidamente aggirato dal bot dei criminali.
Per ostacolare efficacemente questi bot, è necessaria una soluzione più completa, offerta dai prodotti di gestione dei bot, in grado di utilizzare una varietà di misure: dal fingerprinting del dispositivo alla convalida del browser e alle sfide JavaScript fino a modelli avanzati di apprendimento automatico per l'analisi e la classificazione dei dati sul back-end.
Introduzione
Gli speculatori di bot sono un pericolo noto per gli acquirenti di e-commerce in tutto il mondo. Che si tratti di console di gioco, delle sneaker più in voga, di oggetti da collezione o schede grafiche, qualsiasi articolo in edizione limitata è un obiettivo per gli speculatori che traggono profitto dalla loro rivendita a consumatori meno tecnologicamente attrezzati.
In Israele, tuttavia, è emerso un nuovo minaccioso mercato del bagarinaggio: quello rivolto ai servizi governativi. Invece di farsi imbrogliare con biglietti per concerti ad un costo significativamente più alto del valore nominale, gli israeliani sono stati effettivamente truffati per servizi che riguardano la vita quotidiana. Questo mercato del bagarinaggio possiede il potenziale per creare un numero molto maggiore di danni rispetto al fatto di non poter andare in vacanza.
In questo post del blog, spiegherò dove è iniziata questa minaccia, dove è attualmente localizzata e il pericolo che rappresenta per Israele, ma non solo.
La corsa ai passaporti
Uno dei maggiori effetti che il COVID-19 ha avuto sulle nostre vite è stato il divieto immediato dei viaggi di piacere. Fortunatamente, siamo arrivati al punto in cui i viaggi hanno avuto una leggera ripresa ed è qui che inizia la nostra storia. Dopo essere stati effettivamente bloccati a casa per più di 2 anni, milioni di israeliani non vedono l'ora di viaggiare all'estero, rispolverando i loro passaporti a lungo dimenticati e, in centinaia di migliaia, stanno scoprendo che quei passaporti sono praticamente scaduti. Il Ministero dell'Interno post-pandemico, a corto di personale e impreparato a gestire queste richieste, si è visto sovraccaricare dal picco di israeliani desiderosi di partire per le vacanze. Con un arretrato di oltre 700.000 richieste, un contenzioso sindacale e il Ministero degli Esteri che sta esaurendo i passaporti, è un momento difficile per viaggiare all'interno e all'esterno dei confini israeliani.
Allora, come fanno gli israeliani a ottenere questi ambiti documenti? Per garantire un appuntamento per il rinnovo del passaporto, si dovrebbe controllare ripetutamente il sito web degli appuntamenti online MyVisit, che apre nuovi posti alle 7 del mattino, e sperare di trovare un appuntamento disponibile da qualche parte. Molti israeliani hanno aspettato per mesi e si sono recati in varie località del paese per gli appuntamenti del caso.
Tuttavia, alcuni sviluppatori hanno escogitato una soluzione migliore: un bot per la pianificazione degli appuntamenti, chiamata GamkenBot. In possesso delle informazioni di contatto e della sede preferita dagli utenti, il bot degli appuntamenti potrebbe velocizzare il sistema delle prenotazioni, trovando e garantendo rapidamente un posto disponibile non appena viene aperto. Questo bot, rilasciato per uso pubblico, è stato ampiamente ben accolto e i suoi creatori sono presto diventati i paladini del popolo nella battaglia contro la burocrazia.
La nascita di aziende avide
Sfortunatamente, la maggior parte delle cose che possono essere utilizzate per scopi leciti possono risultare anche dannose. Piuttosto rapidamente, molti hanno iniziato a sfruttare il bot "buono" per acquistare questi preziosi appuntamenti e venderli ai disperati cittadini.
Il 10 maggio, poco dopo il lancio di GamkenBot, su un canale Telegram è stato lanciato MyVisit Appointments Group. A quanto pare, il Ministero dell'Interno non è l'unico ufficio governativo a fare affidamento sul sistema di appuntamenti di MyVisit. In tal modo, il gruppo Telegram offre appuntamenti non solo per il rinnovo del passaporto, ma anche per l'Autorità della popolazione, la società elettrica israeliana, la compagnia di assicurazioni nazionale e le poste israeliane, il Ministero dei Trasporti e altro ancora. Gli amministratori affermano di essere un gruppo di sviluppatori il cui bot scansiona e prenota istantaneamente gli appuntamenti aperti, che successivamente vengono resi disponibili per l'acquisto. Sono previsti sconti anche per gli acquirenti di 2 o più appuntamenti.
In tal modo, i servizi governativi essenziali sono diventati una merce di scambio. Tuttavia, mentre l'estorsione dei cittadini che cercano servizi essenziali è già abbastanza grave, questa vulnerabilità può influire in modo molto più serio sulla sicurezza nazionale, di cui parlerò più avanti in questo post.
Gli sviluppatori di questi bot affermano di fornire un servizio per i propri clienti. In realtà, tuttavia, la loro attività non è diversa dal bagarinaggio di sneaker o di biglietti per i concerti. Questi sviluppatori si collocano tra il fornitore e il consumatore e addebitano una commissione di mediazione per una transazione che avrebbe potuto essere effettuata senza la loro interferenza.
MyVisit, il sistema di pianificazione degli appuntamenti, viene utilizzato dai vari uffici governativi per renderli più accessibili. Tuttavia, a causa di un'implementazione non sicura, questo sistema ha amplificato proprio il problema per la cui risoluzione era stato creato. L'implicazione è che i servizi finanziari, amministrativi e di altro tipo essenziali per la vita delle persone vengono effettivamente venduti con il pagamento di un riscatto.
Un rischio per la sicurezza nazionale
Purtroppo, le implicazioni non si esauriscono raggirando direttamente i cittadini per i programmi governativi di base. Ciò potrebbe dare adito a qualsiasi entità ostile o caotica per interrompere non solo l'emissione dei passaporti da parte del Ministero dell'Interno, ma anche la registrazione dei conducenti di camion e autobus presso il Ministero dei Trasporti, eventuali visite alla compagnia di assicurazioni nazionale o alla società elettrica e altro ancora. E se questo elenco si ampliasse includendo gli appuntamenti dei medici o le procedure ospedaliere?
Mitigazione della minaccia
MyVisit ha cercato di bloccare i bot integrando un CAPTCHA nella pagina di prenotazione, ma gli sviluppatori di bot hanno impiegato pochi giorni per superarlo.. In definitiva, CAPTCHA non è una soluzione anti-bot perché può essere aggirata utilizzando tecniche relativamente semplici, come resolver generati automaticamente, farm manuali o raccolta di token, a seconda della difficoltà del CAPTCHA e della motivazione dell'autore delle minacce.
Agli esordi, molti bot potevano essere rilevati da semplici anomalie dell'intestazione HTTP. Oggi, tuttavia, i bot si sono evoluti fino ad imitare abilmente le interazioni umane online. Per sconfiggere i bot moderni di oggi, i relativi prodotti di gestione utilizzano misure molto più avanzate. Il fingerprinting dei dispositivi e l'analisi comportamentale vengono combinati con modelli di apprendimento automatico e ricevono ogni giorno miliardi di richieste di rilevamento di tendenze e anomalie. Mentre gli sviluppatori di bot imparano a manipolare l'ambiente dei propri browser e a imitare il comportamento umano, i ricercatori che si occupano di minacce lavorano costantemente per migliorare le capacità di rilevamento alla ricerca di violazioni di attributi, tracce di automazione e nuovi metodi di elusione.
Alla fine, qualsiasi protezione anti-bot può essere aggirata da un criminale con motivazioni e risorse sufficienti, almeno su piccola scala. Tuttavia, bisognerebbe alzare gli standard il più possibile e sempre più in alto. In questo, almeno, sembra che alcuni uffici governativi siano piuttosto indietro rispetto alle società produttrici di sneaker.
Conclusione
Ci sono alcuni vantaggi significativi derivanti dall'utilizzo di bot nella società moderna. Ad esempio, il bot che ha aiutato a smistare gli appuntamenti è stato ben accolto dai cittadini perché ha rappresentato per loro un vero vantaggio. Chatbot e helper bot: hanno lo scopo di semplificarci la vita e, a parte alcuni piccoli inconvenienti che presentano, spesso lo fanno.
Con l'avanzare della tecnologia, attività sempre più complicate possono essere automatizzate e delegate ai bot. Anche se i bot ci evitano noiosi sforzi, offrono anche la possibilità di compiere azioni malevole. Per proteggere e garantire l'integrità della vita online, dobbiamo essere in grado di identificare e classificare i bot e tenerli lontano dai punti in cui non devono essere utilizzati.
