X

Precisa de computação em nuvem? Comece agora mesmo

Logotipo da Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem

Dê o melhor de si: O impacto dos Sneaker Bots nas compras de fim de ano

Akamai Wave Blue

escrito por

Tricia Howard e Joseph Martinez

October 05, 2023

Tricia Howard

escrito por

Tricia Howard

Tricia Howard is an artist gone rogue who ended up in cybersecurity research. With a bachelor’s degree in theater arts and interests ranging from “Star Wars” to opera, she likes to bring a bit of pizzazz into the cyber realm. When she’s not helping researchers get their stories out efficiently and effectively, without denigrating the technical acumen of the piece, you can find her writing and performing security parody songs; dramatically reading cold emails; speed jigsaw puzzling; hanging out with her Pomsky dog, Darth; and begging people to smile. You can also catch Tricia live on her monthly show: Monthly Threat Brief: The SIG Download!

Joseph Martinez

escrito por

Joseph Martinez

Joseph Martinez is a Senior Solutions Engineer at Akamai.

À medida que nos aproximamos do final do ano, juntamente com os bots e o terreno em constante mudança de terror e alegria que chamamos de Internet, você deve se informar mais sobre cibersegurança.

Vídeo de Joseph Martinez

Introdução

Bots são um dos melhores exemplos nos campos de tecnologia e segurança de como algo que pode ser usado para o bem, como fornecer "confortos" simples, como chatbots com tempos de resposta rápidos ou garantir resultados corretos do mecanismo de busca, também podem ser usados para causar grandes danos.

Quando os profissionais de segurança pensam em bots, tendemos a pensar sobre negação de serviço distribuído (DDoS). O DDoS causou grandes estragos em organizações em todo o mundo, e os clientes dessas organizações sentiram a maior parte do impacto.

Um dos mais notórios de todos os ataques DDoS, o ataque DynDNS de 2016, causou falta de energia até o nível da FAANG (Facebook, Amazon, Apple, Netflix e Google). O DDoS também não está desacelerando. Pelo contrário, os invasores estão evoluindo suas estratégias em relação ao DDoS, inclusive usando-o como método de extorsão secundária para vítimas de ransomware.

Para os consumidores, no entanto, "bot" geralmente significa um chatbot: um mecanismo de conversa (como ChatGPT) e/ou um bot de atendimento ao cliente para ajudá-lo a direcionar para a equipe adequada para resolver seu problema. Certamente, esta definição está mais próxima da extremidade "inofensiva e útil" do espectro dos bots.

O que os consumidores talvez não saibam é que os bots também podem (e, muitas vezes, são) o motivo da manipulação de preços: se o item desejado estiver disponível. Com a época de festas de fim de ano ocidental se aproximando rapidamente, os consumidores precisam ficar ainda mais atentos.

A cibersegurança é responsabilidade de todos

Embora o Akamai Security Intelligence Group (SIG) normalmente publique apenas pesquisas de segurança profundamente técnicas, como parte do mês de conscientização sobre cibersegurança de outubro, achamos que seria pertinente falar diretamente com você, o consumidor, para ajudá-lo a entender por que pode ser difícil obter aqueles ingressos ou itens de edição limitada que você deseja.

Embora haja uma infinidade de tipos de bots por aí, nesta postagem de blog, falaremos somente de "sneaker bots" mal-intencionados ou "scalper bots": o que são, como são usados e como sua existência e uso afetam os consumidores.

Marque o vídeo

O que é um sneaker bot?

Um sneaker bot é um código mal-intencionado criado para capturar websites para reservar itens como tênis de edição limitada, que inspirou o nome. Você também pode ouvir nomes como "scalper bots" ou "sniper bots". Esses bots não são exclusivos para calçados. Também houve uma explosão de bots como esses, além do comércio digital, como no caso do atraso de renovação de passaporte que os israelenses enfrentaram no verão de 2022.

Esses tipos de bots não só causam grandes frustrações de clientes em potencial, mas também alimentam a indústria predatória de manipulação de preços de revenda. Todos nós já passamos pela experiência de ter que usar websites de revenda de terceiros com margens de lucro altíssimas para comprar algo que realmente queremos , estamos falando de uma margem de lucro de até 7000% aqui.

Os sneaker bots são ilegais?

Como qualquer advogado diria, a resposta é: "depende". No entanto, eles violam os termos e condições de vários websites de comércio digital. O fato de que qualquer pessoa pode criar um sneaker bot com o conhecimento adequado criou um sub-setor adicional: sneaker bots como serviço.

Basta pagar uma taxa e você pode aproveitar os bots que já foram criados. Você pode comprá-los imediatamente para uso contínuo ou alugá-los caso a caso. As taxas podem ser muito altas: até US$ 500 em alguns casos, e o uso de serviços como esses não garante que você obterá o item; esses serviços podem aumentar suas chances, mas a aquisição certamente não é garantida.

É arriscado (e não vale a pena)

No entanto, pode ser muito tentador usar um desses serviços, especialmente durante as festas de fim de ano. Você seria o pai do ano se chegasse em casa com os Nikes de edição limitada que seu filho tanto pediu sem parar. Mas US$ 500 por um "talvez" é arriscado, para dizer o mínimo e, acredite em nós que trabalhamos em uma empresa que vê uma quantidade estupenda de dados de tráfego de bots, realmente não vale a pena correr esse risco.

Por que os bots são tão comuns?

Determinamos que existem bots bons e ruins. Independentemente do tipo de bot a que se refere, a velocidade desempenha um papel importante na onipresença dos bots. A velocidade com que esses bots podem realizar tarefas é incomensurável para um ser humano. Essa velocidade permite que as tarefas sejam realizadas de forma muito mais eficiente, de modo que possam produzir grandes economias de custos para uma empresa usar bots. 

Os bots também podem nos aliviar da carga mental no nosso dia a dia: eles podem enviar lembretes, informações, notificações, etc. Em termos simples, os bots benignos facilitam nossas vidas. É por isso que é muito importante separar os bots bons dos maus, aqueles projetados para causar danos ou trapacear o sistema.

Quanto dano um bot pode causar a um consumidor?

Aqui na Akamai, conhecemos os bots. Mais importante ainda, sabemos o danos que eles podem causar. Sentimos, especialmente durante o mês de conscientização sobre cibersegurança, que era necessário mostrar a rapidez com que um bot mal-intencionado pode causar danos diretamente à pessoa afetada (Figura).

Você não deve mais se perguntar "se" você foi pessoalmente afetado por uma violação de dados; a chance de você ter sido afetado é muito maior do que não ter sido. Todos nós compartilhamos nossos dados em todos os lugares, muitas vezes sem atenção: obtemos uma avaliação gratuita aqui, criamos uma conta ali; tudo isso se acumula, e os invasores sabem disso.

Preenchimento de credencial: o assassino em série

Não é segredo que a reutilização de senhas é uma ocorrência comum da qual a maioria de nós já foi culpada em algum momento de nossas vidas. Apesar da retórica contínua que desaconselha essa prática, os requisitos de senha cada vez mais complexos podem fazer com que a reutilização de senhas pareça a única opção para algumas pessoas. (Se você está procurando ajuda nessa área, vá para nossa seção "3 maneiras de se proteger" .)

A reutilização de senhas é um hábito fundamental que devemos interromper, especialmente por causa do que é conhecido como preenchimento de credenciais. Preenchimento de credencial é quando uma entidade mal-intencionada obtém as credenciais vazadas de uma pessoa e tenta usá-las para autenticar seu acesso a outros websites.

Por exemplo: Se o seu nome de usuário e senha para uma conta de mídia social estiverem comprometidos, um invasor com essas informações poderá usá-los para fazer login em sites bancários ou em outros websites com informações confidenciais.

Isso seria bastante ruim se alguém tivesse que inserir essas credenciais manualmente. Mas e se você adicionasse um bot para fazer o trabalho pesado? Conforme ilustrado no gráfico, com esse processo automatizado, um invasor pode tentar milhares de combinações de credenciais em um website em questão de minutos. Quanto mais websites tiverem essa mesma combinação de credenciais, maior será o risco de exposição.

3 maneiras de se proteger

Os invasores têm uma enorme vantagem sobre os consumidores ao conhecer as medidas de defesa comuns e de como contorná-las, e é por isso que é fundamental ficar atento. A cibersegurança é responsabilidade de todos.

Há três maneiras básicas de se proteger: Resista a tentação de usar sneaker bots, obtenha um gerenciador de senhas e sempre use uma autenticação multifator (MFA).

1. Resista a tentação de usar sneaker bots para adquirir itens de edição limitada, ingressos para shows ou coisas assim 

Pode parecer muito atraente tentar aumentar suas chances de receber o(s) item(ns) especial(is), mas, ao interagir com sneaker bots, você entrega suas informações de pagamento e contato a alguém sobre quem você não sabe nada. Você também contribui diretamente para o problema de ter bots.

Lembre-se: Não há garantia de que você conseguirá o item; na verdade, o próprio sneaker bot pode ser um golpe para roubar seu dinheiro.

2. Obtenha um gerenciador de senhas para criar e manter senhas complexas

Nunca é demais enfatizar que excluir as senhas é uma parte essencial para manter suas informações seguras online. Com constantes mudanças nos requisitos, é geralmente melhor permitir que um produto especificamente projetado para essa finalidade faça o trabalho duro para você. Será mais fácil e seguro dessa forma: Você só precisa se lembrar de uma única senha e o gerenciador se lembrará do resto para você.

Alterar senhas esquecidas com muita frequência pode ser tão ruim quanto não alterá-las o suficiente.

3. Lembre-se SEMPRE de usar a MFA

Ativar e utilizar a MFA em tudo o que você pode é outra excelente dica de segurança básica. Isso força um invasor a percorrer várias etapas em direção a apropriação indevida de contas, o que aumenta as chances de eles falharem.

É preferível usar um método diferente de SMS (mensagens de texto) para isso, mas a autenticação de dois fatores de SMS é muito melhor do que não ter nada!

Chegamos ao fim, amigos

Ao embarcarmos em mais um ano de conscientização cibernética, parece que o mesmo conselho continua sendo reciclado várias vezes. Isso não acontece porque os profissionais de segurança são preguiçosos; é porque os métodos de defesa ainda não são tão amplamente usados quanto deveriam ser.

Phishing, bots e preenchimento de credenciais são métodos de ataque que estão por toda a parte desde o início da Internet e ainda são algumas das maneiras mais eficazes para um invasor explorá-la.

Eles são apenas humanos

Um invasor é um ser humano. Seja um operador de ransomware, um autor de botnet ou até mesmo uma entidade nacional: Eles são humanos. Eles estão tentando ganhar a vida, assim como todos nós. Pode parecer estranho humanizar estes vilões, mas é necessário compreender o seguinte ponto:

Esses adversários estão procurando a maneira mais eficiente de atingir seu objetivo. Portanto, quanto mais você dificultar a vida de um invasor, maior será a chance de ele continuar.

A importância da conscientização sobre a cibersegurança

Conforme chegamos ao final do ano, juntamente com os bots, os agentes mal-intencionados e o terreno em constante mudança de terror e alegria que chamamos de Internet, você deve a si mesmo se tornar mais informado sobre cibersegurança. Quanto mais dependentes da tecnologia nos tornamos, mais crítico se torna levar essa questão a sério.

Fique atento!
Akamai Wave Blue

escrito por

Tricia Howard e Joseph Martinez

October 05, 2023

Tricia Howard

escrito por

Tricia Howard

Tricia Howard is an artist gone rogue who ended up in cybersecurity research. With a bachelor’s degree in theater arts and interests ranging from “Star Wars” to opera, she likes to bring a bit of pizzazz into the cyber realm. When she’s not helping researchers get their stories out efficiently and effectively, without denigrating the technical acumen of the piece, you can find her writing and performing security parody songs; dramatically reading cold emails; speed jigsaw puzzling; hanging out with her Pomsky dog, Darth; and begging people to smile. You can also catch Tricia live on her monthly show: Monthly Threat Brief: The SIG Download!

Joseph Martinez

escrito por

Joseph Martinez

Joseph Martinez is a Senior Solutions Engineer at Akamai.

Publicações do blog relacionadas

Stiv Kupchik, pesquisador da Akamai, encontrou uma nova vulnerabilidade de elevação de privilégio (EoP) no cliente de registro remoto da Microsoft.
Stiv Kupchik, pesquisador da Akamai, encontrou uma nova vulnerabilidade de elevação de privilégio (EoP) no cliente de registro remoto da Microsoft.

Chamada e registro — ataque de retransmissão ao cliente WinReg RPC

October 19, 2024
Os pesquisadores da Akamai analisam uma nova vulnerabilidade que pode ser explorada para levar a ataques de elevação de privilégio contra computadores Windows.
por Stiv Kupchik
Leia mais
Esta derrubada é um grande passo para tornar a internet um lugar mais seguro.
Esta derrubada é um grande passo para tornar a internet um lugar mais seguro.

Derrubada do Anonymous Sudan: o papel da Akamai

October 16, 2024
O Departamento de Justiça anunciou a derrubada do Anonymous Sudan. Leia como a Akamai ajudou neste processo.
por Akamai SIRT
Leia mais
Este mês, temos um total de 117 CVEs em 60 componentes diferentes. Destas, três são críticas.
Este mês, temos um total de 117 CVEs em 60 componentes diferentes. Destas, três são críticas.

Perspectiva da Akamai sobre a Patch Tuesday de outubro de 2024

October 11, 2024
São muitas CVEs, mas não tenha medo: deixe para o Halloween. Este mês, temos um total de 117 CVEs e duas vulnerabilidades exploradas em uso.
por Akamai Security Intelligence Group
Leia mais