X

Precisa de computação em nuvem? Comece agora mesmo

Logotipo da Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Dark background with blue code overlay

Blog

Bots se aproveitam de serviços do governo israelense

escrito por

Gon Avnon

June 23, 2022

escrito por

Gon Avnon

À medida que a tecnologia avança, tarefas cada vez mais complicadas podem ser automatizadas e delegadas aos bots. Embora esses bots nos poupem esforços tediosos, eles também apresentam possibilidades terríveis.

Por: Gon Avnon

Resumo executivo

  • Os pesquisadores da Akamai têm monitorado uma situação de um bot que tem aproveitado os cidadãos israelenses por meio de várias agências governamentais.

  • Mais de 700 mil israelenses estão tentando agendar a renovação de seus passaportes, criando atrasos de meses no Ministério do Interior.

  • Um grupo de desenvolvedores criou um bot para garantir os agendamentos por meio do MyVisit, a plataforma de agendamento de compromissos usada por alguns escritórios do governo israelense, e lançou-o para uso público gratuito.

  • Logo depois, um grupo diferente fez seu próprio bot para se aproveitar e vender agendamentos do MyVisit para vários serviços governamentais, incluindo no Ministério do Interior, no Ministério dos Transportes, no Seguro Nacional, nos correios de Israel, na companhia de eletricidade e muito mais. Cada agendamento era vendido por mais de US$ 100,00.

  • O MyVisit tentou mitigar os bots usando um CAPTCHA que foi rapidamente superado pelo bot dos agentes de ameaça.

  • Para impedir efetivamente esses bots, é necessária uma solução mais abrangente, conforme oferecida por produtos de gerenciamento de bots, usando uma variedade de medidas: desde o uso de impressões digitais no dispositivo, validação do navegador e os desafios do JavaScript até modelos avançados de machine learning que analisam e classificam os dados no back-end. 

Introdução

Os bots aproveitadores são um perigo conhecido para compradores de comércio digital em todo o mundo. Quer se trate de consoles de jogos, tênis na moda, itens colecionáveis ou placas gráficas, qualquer item de edição limitada é alvo para os aproveitadores que lucram com a revenda para consumidores menos tecnologicamente equipados. 

Em Israel, no entanto, surgiu um novo mercado ameaçador de aproveitamento: os serviços governamentais. Em vez de pagarem um valor significativamente maior em ingressos de um show, os israelenses estão sendo efetivamente enganados com serviços para a vida cotidiana. Este mercado de aproveitamento tem o potencial de criar significativamente mais danos do que apenas não ser capaz de viajar.  

Nesta postagem, explicarei onde esta ameaça começou, onde ela está atualmente e o perigo que ela representa para Israel e além.

A corrida dos passaportes

Um dos maiores efeitos que a COVID-19 teve em nossas vidas foi a restrição da viagem recreativa. Felizmente, chegamos ao ponto em que as viagens voltaram um pouco, e é aqui que a história começa. Depois de ficarem efetivamente presos em casa nos últimos dois anos, milhões de israelenses estão ansiosos para viajar para o exterior, procurando seus passaportes há muito tempo esquecidos e centenas de milhares estão descobrindo que esses passaportes estão quase vencidos. O Ministério do Interior, despreparado e com falta de funcionários, está sobrecarregado pelo surto de israelenses famintos por férias. Com um atraso de mais de 700 mil aplicações, uma disputa trabalhista e o Ministério de Relações Exteriores ficando sem passaportes, é um momento difícil para viajar para dentro e para fora de Israel. 

Então, como os israelenses estão obtendo esses documentos tão cobiçados? Para garantir com sucesso um agendamento para renovação do passaporte, é necessário verificar repetidamente o site de agendamento on-line MyVisit, que abre novas vagas às 7 horas da manhã, e esperar encontrar um agendamento disponível em algum lugar. Muitas pessoas esperam por meses e viajam pelo país para seus agendamentos. 

No entanto, alguns desenvolvedores criaram uma solução melhor: um bot de agendamento, chamado GamkenBot. Munido de suas informações de contato e localização preferencial, o bot de agendamento apressaria o sistema de agendamento, encontrando e garantindo rapidamente uma vaga disponível assim que fosse aberta. Isso foi lançado para uso público e foi amplamente bem recebido, e os criadores logo se tornaram campeões das pessoas na batalha contra a burocracia. 

Surgimento de negócios gananciosos

Infelizmente, a maioria das coisas que podem ser usadas positivamente também podem ser usadas de forma terrível. Bem rapidamente, as pessoas começaram a explorar o bot bem-intencionado para se aproveitar desses agendamentos premiados e vendê-los a cidadãos desesperados. 

Em 10 de maio, logo após o lançamento do GamkenBot, o MyVisit Appointments Group foi lançado em um canal no Telegram. Aparentemente, o Ministério do Interior não é o único escritório governamental a confiar no sistema de agendamento MyVisit. Assim, o grupo do Telegram oferece agendamentos não só para renovação de passaporte, mas também para a Autoridade populacional, a Corporação de eletricidade de Israel, o Seguro Nacional, os correios de Israel, o Ministério dos Transportes e muito mais. Os administradores alegam ser um grupo de desenvolvedores cujo bot analisa e instantaneamente reserva agendamentos livres que então ficam disponíveis para compra. São oferecidos até descontos para quem compra dois ou mais agendamentos.

 

Em 10 de maio, logo após o lançamento do GamkenBot, o MyVisit Appointments Group foi lançado em um canal no Telegram.
O grupo do Telegram oferece agendamentos não só para renovação de passaporte, mas também para a Autoridade populacional, a Corporação de eletricidade de Israel, o Seguro Nacional, os correios de Israel, o Ministério dos Transportes e muito mais.

E então, os serviços governamentais essenciais tornaram-se uma mercadoria negociável. Mas, embora a extorsão dos cidadãos que procuram serviços essenciais seja ruim o suficiente, esta vulnerabilidade pode ter uma implicação muito mais grave na segurança nacional, que vou abordar mais a frente nesta postagem.

Os desenvolvedores desses bots afirmam que estão realizando um serviço para seus clientes. A realidade, no entanto, é que seus negócios não são diferentes da revenda de tênis da moda ou ingressos para shows. Eles se colocam entre o provedor e o consumidor, e cobram uma taxa de mitigação por uma transação que poderia ter sido feita sem sua interferência.

O sistema de agendamento MyVist é usado pelos vários escritórios governamentais para torná-los mais acessíveis. No entanto, devido à falta de segurança na implementação, esse sistema amplificou o problema que foi criado para resolver. A implicação é que os serviços financeiros, administrativos e outros essenciais à vida das pessoas estão efetivamente sendo resgatados.

Um risco de segurança nacional

Infelizmente, as implicações não terminam em enganar os cidadãos diretamente para programas governamentais básicos. Isso poderia abrir a porta para qualquer entidade hostil ou caótica desligar não só a linha de passaporte do Ministério do Interior, mas também o registro de motoristas de caminhão e ônibus no Ministério dos Transportes, quaisquer visitas ao Seguro Nacional ou à Companhia elétrica e muito mais. E se esta lista for expandida para incluir consultas de médicos ou procedimentos hospitalares?

Atenuando a ameaça

O MyVisit tentou bloquear os bots incorporando um CAPTCHA na página de reservas, mas os desenvolvedores de bots levaram apenas dias para ultrapassar essa barreira. Em última análise, o CAPTCHA não é uma solução anti-bot pois pode ser ultrapassada usando técnicas relativamente simples, como resolvedores gerados automaticamente, resoluções manuais ou coleta de tokens, dependendo da dificuldade do CAPTCHA e da motivação do agente de ameaça.

Nos primórdios dos bots, muitos conseguiam ser detectados por anomalias simples do cabeçalho HTTP. Atualmente, no entanto, os bots evoluíram para imitar habilmente as interações humanas on-line. Para superar os bots modernos atuais, medidas muito mais avançadas são utilizadas por produtos de gerenciamento de bots. A impressão digital do dispositivo e a análise comportamental são combinadas com modelos de machine learning alimentados com bilhões de solicitações todos os dias para detectar tendências e anomalias. À medida que os desenvolvedores de bots aprendem a manipular o ambiente de seus navegadores e imitar o comportamento humano, os pesquisadores de ameaças estão trabalhando constantemente para melhorar os recursos de detecção, procurando adulteração de atributos, traços de automação e evasões emergentes.

Qualquer proteção anti-bot pode ser ultrapassada por um agente de ameaça com motivação e recursos suficientes, pelo menos em pequena escala. No entanto, devemos estabelecer padrões muito altos e sempre aumentá-los.

Eventualmente, qualquer proteção anti-bot pode ser ultrapassada por um agente de ameaça com motivação e recursos suficientes, pelo menos em pequena escala. No entanto, devemos estabelecer padrões muito altos e sempre aumentá-los. Pelo menos neste caso, parece que alguns escritórios governamentais estão bem atrás das empresas de tênis.

Conclusão

Existem algumas vantagens significativas dos bots na sociedade moderna. Por exemplo, o bot que ajudou a organizar os agendamentos foi bem recebido entre os cidadãos porque foi realmente benéfico para eles. Chatbots e bots ajudantes que se destinam a tornar nossas vidas mais fáceis e, apesar de alguns pequenos inconvenientes que possuem, muitas vezes ajudam.

À medida que a tecnologia avança, tarefas cada vez mais complicadas podem ser automatizadas e delegadas aos bots. Embora esses bots nos poupem de esforços tediosos e apoiem a realização de desafios maiores, eles também apresentam possibilidades terríveis. Para proteger e garantir a integridade da vida on-line, devemos ser capazes de identificar e classificar bots e mantê-los longe de onde não pertencem.

escrito por

Gon Avnon

June 23, 2022

escrito por

Gon Avnon

Publicações do blog relacionadas

O Behavioral DDoS Engine da Akamai é uma poderosa adição a qualquer estratégia de defesa em profundidade.
O Behavioral DDoS Engine da Akamai é uma poderosa adição a qualquer estratégia de defesa em profundidade.

Behavioral DDoS Engine da Akamai: um avanço na mitigação de DDoS moderna

November 07, 2024
À medida que a infraestrutura digital cresce, também aumentam as ameaças impostas pelos ataques de DDoS. Veja como o Behavioral DDoS Engine da Akamai pode manter seus negócios online.
por Aseem Ahmed e Abdeslam Bella
Leia mais
Nossa nova regra dedicada Rails está detectando dezenas de milhares de tentativas de injeção de código Rails diariamente em todo o mundo.
Nossa nova regra dedicada Rails está detectando dezenas de milhares de tentativas de injeção de código Rails diariamente em todo o mundo.

Rails sem desvios: como impedir ataques de injeção de código

November 06, 2024
Proteja seus aplicativos Ruby on Rails críticos por meio da detecção dedicada de injeção de código.
por Sam Tinklenberg, Maxim Zavodchik, e Aparna Mandal
Leia mais
Não há dúvida de que a revolução da IA transformou a cibersegurança, para melhor e para pior.
Não há dúvida de que a revolução da IA transformou a cibersegurança, para melhor e para pior.

Explorando a inteligência artificial: a IA é superestimada?

November 04, 2024
Mergulhe em tecnologias de IA como inferência, aprendizado profundo e modelos generativos para aprender como LLMs e IA estão transformando os setores de cibersegurança e tecnologia.
por Berk Veral
Leia mais