Iniziate nel migliore dei modi: l'impatto dei bot sneaker sugli acquisti natalizi
Video di Joseph Martinez
Introduzione
I bot sono uno dei migliori esempi nei campi della tecnologia e della sicurezza di come qualcosa che può essere utilizzato in modo legittimo, ad esempio fornire semplici "comfort" come i chatbot con tempi di risposta rapidi o garantire risultati corretti nei motori di ricerca, possa essere utilizzato anche per causare gravi danni.
Quando pensano ai bot, i professionisti della sicurezza tendono a pensare agli attacchi DDoS (Distributed Denial of Service). Gli attacchi DDoS hanno causato gravi danni nelle organizzazioni di tutto il mondo e i clienti di tali organizzazioni hanno subito la maggior parte dell’impatto.
Uno dei più noti attacchi DDoS, l' attacco DynDNS del 2016, ha causato interruzioni fino al livello FAANG (Facebook, Amazon, Apple, Netflix e Google). Anche gli attacchi DDoS non stanno rallentando. Al contrario, i criminali stanno evolvendo le proprie strategie relative agli attacchi DDoS, incluso il loro utilizzo come metodo di estorsione secondario per le vittime del ransomware.
Per i consumatori, tuttavia, "bot" significa in genere un chatbot: un bot di conversazione (come ChatGPT) e/o un bot dell'assistenza clienti che serve per indirizzarli al team appropriato per la risoluzione di un problema. Certamente, questi bot rientrano nella parte "innocua e utile" dello spettro dei bot.
Quello che i consumatori potrebbero non sapere è che i bot possono anche (e molto spesso sono) la causa dell’aumento dei prezzi: nel caso in cui l'articolo desiderato è disponibile.. Con l’avvicinarsi delle festività natalizie occidentali, i consumatori devono essere ancora più vigili in questo periodo dell'anno.
La cybersicurezza è responsabilità di tutti
Sebbene l'Akamai Security Intelligence Group (SIG) in genere pubblichi solo ricerche approfondite sulla sicurezza tecnica, nell'ambito del mese di sensibilizzazione sulla cybersicurezza di ottobre abbiamo pensato che sarebbe stato opportuno parlare direttamente ai consumatori, per aiutarli a capire perché può essere difficile ottenere i biglietti o gli articoli in edizione limitata che desiderano.
Sebbene esistano numerosi tipi di bot, in questo post del blog ci concentreremo sui "bot sneaker" o "bot scalper" dannosi: cosa sono, come vengono utilizzati e in che modo la loro esistenza e il loro utilizzo influiscono sui consumatori.
Che cos'è un bot sneaker?
Un bot sneaker è un pezzo di codice dannoso progettato per estrarre informazioni dai siti web per prenotare articoli come scarpe da ginnastica (o sneaker) in edizione limitata, da cui deriva appunto il suo nome. Un bot sneaker viene anche definito "bot scalper" o "bot sniper". Questi bot non riguardano esclusivamente il settore calzaturiero. C'è stata un'esplosione di bot come questi anche al di là del commercio digitale, come nel caso del ritardo del rinnovo dei passaporti verificatosi a Israele durante l'estate del 2022.
Questi tipi di bot non solo causano grande frustrazione da parte dei potenziali clienti, ma alimentano anche il settore predatorio dell'aumento dei prezzi di rivendita. Probabilmente tutti abbiamo avuto l'esperienza di dover utilizzare siti di rivendita di terze parti con margini estremamente elevati per acquistare qualcosa che desideriamo veramente : si tratta di margini di profitto fino al 7000% .
I bot sneaker sono illegali?
Come risponderebbe un qualsiasi avvocato: "Dipende". In realtà, i bot sneaker violano i termini e le condizioni di diversi siti di e-commerce. Il fatto che chiunque possa creare un bot sneaker con le adeguate competenze ha dato origine ad un ulteriore sottosettore: quello dei bot sneaker come servizio.
A pagamento è possibile usufruire di bot già creati. È possibile acquistarli a titolo definitivo per un uso continuato o noleggiarli a seconda del caso. Le tariffe possono essere piuttosto elevate: fino a 500 dollari in alcuni casi e l'utilizzo di servizi come questi non vi garantisce di ottenere l'articolo; questi servizi possono aumentare le vostre possibilità, ma l'acquisto non è certamente garantito.
Rischioso (e non ne vale davvero la pena)
Tuttavia, la tentazione di utilizzare uno di questi servizi può essere molto forte, soprattutto durante le festività. Se tornaste a casa con quelle Nike in edizione limitata di cui vostro figlio parla in continuazione, diventereste il genitore dell'anno. Ma spendere 500 dollari per un "forse" è a dir poco rischioso e, a giudicare da quelli di noi che lavorano per un’azienda che dispone di una quantità incredibile di dati sul traffico dei bot, è davvero un rischio che non vale la pena correre.
Perché i bot sono così diffusi?
Abbiamo stabilito che esistono bot legittimi e bot dannosi. Indipendentemente dal tipo di bot a cui ci si riferisce, la velocità gioca un ruolo importante nell’ubiquità dei bot. L'estrema velocità con cui questi bot possono eseguire attività è inimmaginabile per un essere umano. Questa velocità consente di eseguire le attività in modo talmente più efficiente da poter produrre grandi risparmi sui costi per un’azienda che utilizza i bot.
I bot possono anche alleggerire il carico mentale nella nostra vita normale: possono fornire promemoria, informazioni, notifiche, ecc. In poche parole, questi bot legittimi ci semplificano la vita. Questo è il motivo per cui è molto importante separare questi bot legittimi da quelli dannosi, progettati per causare danni o ingannare il sistema.
Quanti danni può causare un bot a un consumatore?
Noi di Akamai conosciamo i bot. Ancora più importante, conosciamo i danni che i bot possono causare. Abbiamo ritenuto, soprattutto durante il mese di sensibilizzazione sulla cybersicurezza, che fosse necessario mostrare quanto velocemente un bot dannoso possa causare danni direttamente alla persona colpita (figura).
Non dovreste più sorprendervi “se” siete stati personalmente colpiti da una violazione dei dati; è di gran lunga più probabile che siate state colpiti piuttosto che non colpiti. Condividiamo tutti i nostri dati ovunque, spesso senza pensarci: per ricevere una prova gratuita, creare un account: tutto torna e i criminali lo sanno.
Credential stuffing: il serial killer
Non è un segreto che il riutilizzo delle password sia un'abitudine diffusa che ha riguardato la maggior parte di noi almeno qualche volta nella vita. Nonostante la continua retorica che sconsiglia questa pratica, i requisiti sempre più complessi delle password possono far sembrare il riutilizzo delle password l’unica opzione per alcune persone. (Se necessitate di assistenza a tale riguardo, passate alla nostra sezione "3 modi per proteggersi" ).
Il riutilizzo delle password è un'abitudine fondamentale da interrompere, soprattutto a causa del cosiddetto credential stuffing. Il credential stuffing si verifica quando un'entità dannosa ottiene le credenziali divulgate di una persona e tenta di utilizzare tali credenziali per autenticarsi su altri siti web.
Ad esempio: Se il nome utente e la password di un account di social media vengono compromessi, un criminale con tali informazioni potrebbe utilizzarli per accedere a siti web bancari o ad altri siti con informazioni sensibili.
Ciò sarebbe già abbastanza grave se tali credenziali venissero immesse manualmente da un utente. Ma aggiungendo un bot che fa il lavoro pesante? Come potete vedere nella figura, con questo processo automatizzato, un criminale potrebbe tentare migliaia di combinazioni di credenziali su un sito in pochi minuti. Più siti hanno la stessa combinazione di credenziali, maggiore è il rischio di esposizione.
3 modi per proteggersi
I criminali hanno un enorme vantaggio rispetto ai consumatori perché sono a conoscenza delle misure di difesa comuni e di come aggirarle, motivo per cui è imperativo rimanere vigili. La cybersicurezza è responsabilità di tutti.
Ci sono tre modi fondamentali con cui è possibile proteggersi: Combattere la tentazione di interagire con i bot sneaker, utilizzare un gestore di password e utilizzare sempre l'autenticazione multifattore (MFA).
1. Combattere la tentazione di interagire con i bot sneaker per articoli in edizione limitata, biglietti per concerti famosi o cose simili
Cercare di aumentare le vostre possibilità di acquistare articoli speciali, può sembrare molto allettante, ma interagendo con i bot sneaker state effettuando un pagamento e fornendo le vostre informazioni di contatto a qualcuno di cui non sapete nulla. In primo luogo, state anche contribuendo direttamente al problema della presenza di bot.
Ricordate: l'acquisto dell'articolo non è mai garantito; in effetti, lo stesso bot sneaker molto probabilmente potrebbe essere una truffa per rubarvi i soldi.
2. Utilizzate un gestore di password per creare e mantenere password complesse
Non ci stancheremo mai di ripetere che la gestione delle password è una parte fondamentale per proteggere le vostre informazioni online. Con i continui cambiamenti dei requisiti, spesso è meglio affidare questo compito a un prodotto appositamente progettato per questo scopo. Ciò renderà tutto più facile e sicuro: dovrete solo ricordare una singola password e il gestore memorizzerà le altre password.
Cambiare troppo spesso le password dimenticate può risultare tanto dannoso quanto non cambiarle abbastanza.
3. L'utilizzo dell'MFA è imprescindibile!
Abilitare e utilizzare l'MFA ovunque sia possibile è un altro ottimo consiglio di sicurezza di base. Ciò costringe un criminale a eseguire più passaggi per acquisire il controllo dell'account, fornendo diverse occasione per fallire.
A questo scopo è preferibile utilizzare un metodo diverso dagli SMS (messaggi di testo), ma l' autenticazione a due fattori Basata su SMS è meglio di niente!
Siamo giunti alla fine
Preparandoci a un altro anno di sensibilizzazione sulla cybersicurezza, sembra che continuino a essere riciclati sempre gli stessi consigli. Ciò non è dovuto al fatto che i professionisti della sicurezza siano pigri; dipende dal fatto che questi metodi di difesa non sono ancora così ampiamente utilizzati come dovrebbero essere.
Phishing, bot e credential stuffing sono metodi di attacco che esistono essenzialmente fin dagli albori di Internet e costituiscono ancora alcuni dei modi più efficaci con cui un criminale può sfruttarvi.
Sono solo esseri umani
Un criminale è un essere umano. Che si tratti di un operatore di ransomware, di un autore di botnet o anche di un'entità di stato nazionale: sono essere umani. Cercano di guadagnarsi da vivere proprio come il resto di noi. Può sembrare strano umanizzare questi soggetti criminali, ma è necessario comprendere questo punto:
questi criminali stanno cercando il modo più efficiente per raggiungere il proprio obiettivo. Quindi, più rendete le cose difficili per un criminale, maggiori sono le possibilità che lascino perdere.
L'importanza della sensibilizzazione sulla cybersicurezza
Con l'avvicinarci alla fine dell'anno, insieme ai bot e all'ambiente in continua evoluzione di rischio e piacere che chiamiamo Internet, è un dovere verso se stessi documentarsi maggiormente sulla cybersicurezza. Più diventiamo dipendenti dalla tecnologia, più diventa fondamentale occuparsene.
