全力以赴:运动鞋爬虫程序对假日购物的影响
视频作者:Joseph Martinez
简介
爬虫程序 让我们充分认识到了技术和安全领域中某些事物的两面性。一方面,它能够带来像提供简单的“物质享受”之类的好处,比如聊天机器人可以缩短回复时间或确保搜索引擎结果正确;另一方面,它也可能会造成巨大损害。
当安全专业人士探讨爬虫程序时,我们往往都会想到 分布式拒绝服务 (DDoS)。DDoS 对全球企业造成了一些重大破坏,甚至还严重波及到了这些企业的客户。
在所有 DDoS 攻击中, 2016 DynDNS 攻击可以说是臭名昭著,它造成了从网络基础架构到 FAANG(Facebook、亚马逊、苹果、Netflix 和 Google)层面的全线服务中断。但 DDoS 并未放慢脚步。相反,攻击者正在改变他们与 DDoS 相关的策略,开始将它用作一种 对勒索软件受害者进行二次敲诈勒索的方法。
但是,在消费者眼中,“爬虫程序”往往是指聊天机器人:一种您能够与之对话(如 ChatGPT)的程序,和/或能够帮助将您转到正确的团队来解决问题的客户服务机器人。毫无疑问,这些都更靠近爬虫程序谱系中“无害且有用”的一面。
消费者可能不知道的是,爬虫程序常常也是价格欺诈的元凶, 只要 您需要的商品有货,它们就会伺机而动。随着西方国家假日季即将到来,消费者需要在 每年的这个时间段提高警惕。
网络安全是每个人的责任
虽然 Akamai 安全情报组 (SIG) 通常仅发布深度技术安全研究内容,但在十月份的网络安全意识月活动中,我们认为有必要直接与作为消费者的您沟通,帮助您了解为何很难买到您想要的门票或限量版商品。
爬虫程序的类型很多,但在本博文中,我们将重点介绍恶意的“运动鞋爬虫程序”或“黄牛党爬虫程序”:它们是什么、它们是如何被使用的,以及它们的存在和使用如何影响消费者。
运动鞋爬虫程序是否非法?
所有律师都会这样告诉您,“这要看具体情况而定”。但是,它们确实违反了一些数字商务网站的条款和条件。事实上,只要拥有足够的专业知识,任何人都能够启动一个附加子产业:运动鞋爬虫程序即服务。
只需支付一定的费用,您便可以利用已构建好的现成爬虫程序。您可以直接购买以继续使用,也可以根据具体情况进行租用。费用可能会非常昂贵,在某些情况下 高达 500 美元 ,并且 使用此类服务并不保证您一定会获得该商品。这些服务能够提高获得几率,但当然不保证一定能买到。
投资有风险,购买需谨慎
尽管如此,这类服务还是有着莫大的诱惑力,尤其是在假日期间。如果您回家的时候带着孩子梦寐以求的限量版耐克运动鞋,那么“年度最佳父母”的桂冠非您莫属。但是,花 500 美元去买一个“有可能”是有风险的。请相信我们,因为我们工作的公司能够监测海量的爬虫程序流量数据,知道里面的猫腻,所以确实不值得冒这样的风险。
爬虫程序为何如此盛行?
我们已经知道有良性爬虫程序和恶意爬虫程序之分。无论您提到的是什么类型的爬虫程序,速度在爬虫程序盛行的时代都发挥着重要作用。这些爬虫程序执行任务的速度是人类无法想象的。凭借这一速度,它们能够更加高效的执行任务,从而为使用这些爬虫程序的公司节省大量的成本。
爬虫程序也可以减轻我们在日常生活中的精神负担:它们可以提供提醒、信息、通知等。简而言之,这些良性爬虫程序会让我们的生活变得更轻松。这正是必须将这些良性爬虫程序与恶意爬虫程序区分开来的原因,因为后者的目的是造成损害或欺骗系统。
爬虫程序会对消费者造成多大损害?
身在 Akamai,我们都非常熟悉爬虫程序。更重要的是,我们知道爬虫程序能够造成的损害。我们认为有必要展示恶意爬虫程序如何能够快速、直接地对受影响人员造成损害(如以下视频所示),特别是在网络安全意识月活动期间。
您不应该再怀疑您个人“是否”受到了数据泄露的影响;您受到影响的可能性明显要高于没有受到影响的可能性。我们所有人都在随处共享我们的数据,而且往往是无意识之举:在这里获得个免费试用机会,在那里创建个帐户——久而久之,攻击者便知道了我们的数据。
撞库:连环杀手
众所周知,重复使用密码的现象早已司空见惯,我们大多数人在人生中的某一时刻都曾犯过这样的错误。尽管不断有人出言反对这种做法,但对一些人来说,日益复杂的密码要求导致重复使用密码看起来成为了唯一选择。(如果您要寻求这方面的帮助,请直接跳到“3 种保护自己的方式”部分。)
重复使用密码是一种需要纠正的致命习惯,尤其是因为所谓的撞库。 撞库 是指恶意实体获得某个人被泄露的凭据,然后试图使用这些凭据在访问其他网站时进行身份验证。
例如:当您的某个社交媒体帐户的用户名和密码被窃取时,获得该信息的攻击者可能会使用它们登录银行网站或其他包含敏感信息的网站。
如果某个人是手动输入这些凭据的,这会是件非常困难的事情。但添加一个执行这种繁重操作的爬虫程序会如何呢?正如您在以上视频中看到的那样, 利用这种自动化过程,攻击者能够在数分钟内尝试使用数千种凭据组合登录某个网站。使用同一凭据组合的网站越多,您所面临的暴露风险越高。
3 种保护自己的方式
攻击者拥有凌驾于消费者之上的巨大优势,因为他们了解常用的防范措施以及如何绕过这些措施,所以这也是消费者必须保持警惕的原因。网络安全是每个人的责任。
您可以使用三种基本方式来保护自己:抵制使用运动鞋爬虫程序的诱惑、安装密码管理器以及坚持使用 多重身份验证 (MFA)。
1.抵制使用运动鞋爬虫程序的诱惑,不要用它们来购买限量版商品、热门音乐会门票或具有类似性质的商品
虽然运动鞋爬虫程序可能会增加您买到特殊商品的几率,让您心痒难耐,但使用它就意味着您将自己的付款方式和联系信息交给了对其一无所知的某个人。此外,您也直接导致了使用爬虫程序的问题。
请记住:这类爬虫程序永远无法保证您一定能买到想要的商品。实际上,运动鞋爬虫程序本身很可能是一个窃取您财富的骗局。
2.安装密码管理器来创建和保存复杂密码
作为确保在线信息安全相关措施的重要组成部分,再怎么强调密码使用习惯都不为过。由于密码要求会经常发生变化,因此最佳做法往往是,使用一款专为此用途设计的产品来代替您完成这项困难的工作。使用密码管理器将会更加轻松、安全:您只须记住一个密码,管理器会为您记住其余密码。
正所谓过犹不及,频繁更改忘记的密码和不经常更改这些密码一样糟糕。
朋友们,今天的内容已接近尾声
随着我们即将迎来另一个网络意识年,似乎相同的建议也重复了一遍又一遍。这并不是因为安全专业人士都很懒,而是因为这些防御措施并没有得到应有的广泛使用。
网络钓鱼、爬虫程序和撞库是从互联网诞生以来便一直存在的攻击方法,现在依然是攻击者向您发起攻击的一些最有效的方法。
他们也只是人
攻击者也是人。无论他们是勒索软件操纵者、僵尸网络创造者,还是民族国家实体:他们都是与你我一样的人。他们和我们所有人一样都在寻找生计。为这些恶贯满盈的个人赋予人性可能看起来很怪异,但有必要了解这一点:
这些攻击者在寻找最高效的方式来实现其目标。 因此,您为攻击者制造的困难越大,他们越有可能放弃攻击您而转向下一个目标。
网络安全意识的重要性
随着年底临近,各种爬虫程序闻风而动,互联网上欢喜与恐惧交织。 现在,是时候 好好学习 一下 有关网络安全的更多知识了。我们对科技的依赖程度越高,就越需要牢记这一点。
