انواع حمله بات‌های مخرب به وب‌سایت‌ها

بات­‌ها یا ربات‌های اینترنتی، برنامه‌ای نرم‌­افزاری هستند که با هدف انجام کاری تکراری و بدون دخالت انسان طراحی می‌شوند.

ربات‌های اینترنتی به طور کلی به دو دسته خوب و بد تقسیم می­‌شوند:

ربات خوب: بات­‌هایی که در راستای محقق شدن اهداف شخصی یا شغلی به سازمان­ ها یا افراد کمک می­‌کنند. مانند ربات­‌های موجود در فضای مجازی، چت بات­‌ها، ربات‌­های موتورهای جستجو و ...

ربات بد: بات­‌هایی که با هدف ضربه زدن به سیستم­‌ها برای منافع شخصی یا اخاذی مالی و خرابکاری در اینترنت فعایت می‌کنند و عموما رفتار کاربران واقعی را تقلید می‌کنند. این بات‌ها بیشتر توسط هکرهای کلاه سیاه یا مجرم‌های اینترنتی استفاده یا ساخته می­‌شوند.

حدود ۴۰ درصد از ترافیک وب‌سایت‌ها، توسط بات‌های اینترنتی ایجاد می‌شود. صنعت بانکداری‌ با ۴۲ درصد و صنعت فروش آنلاین و تهیه بلیط با ۳۹ درصد ترافیک مربوط به ربات‌های بد، بیشترین ضربه را متحمل شده‌اند.

۱. حمله Brute force

اولین حمله brute force است که می توان گفت ساده‌­ترین و قدیمی‌ترین نوع حمله است. در این حمله هکر یا ربات با حدس‌زدن رمز عبور کاربران سعی در دسترسی به اطلاعات حساب کاربری آن‌­ها دارد. از این نوع حمله برای ایجاد اختلال در سرویس‌دهی وب­‌سایت‌­ها یا بالا بردن ترافیک آن‌­ها نیز استفاده می‌­شود. درسته که تنها ۵ درصد از نقص­‌های امنیتی برای حمله بروت فورس است اما این حمله میزان موفقیت بالایی دارد.

حملات بروت فورس ساده، دیکشنری، ترکیبی، معکوس، پر کردن اطلاعات و جدول رنگین‌­کمان از انواع حملات brute force هستند.

حمله ساده بروت فورس: مهاجم در این حملات بدون استفاده از نرم ­افزار و تنها با حدس زدن اعداد قابل پیش­بینی مثل تاریخ تولد، 123456 و ... به حساب کاربران دسترسی پیدا می‌­کند.

حمله دیکشنری: در این حمله مهاجم بیشتر از عبارات یا کلمات خاص استفاده می‌­کند. او ابتدا هدف را مشخص می‌ کند و تمام کلمات یا عبارات احتمالی را تست می‌­کند تا رمز را پیدا کند.

حمله ترکیبی: در این نوع حمله مهاجم از نرم‌افزارهایی کمک می‌­گیرد و با ترکیب کردن عبارات خاص با اعداد یا کلمات، تلاش می‌کند رمز عبور را پیدا کند. می‌­توان گفت این حمله ترکیبی از حملات بروت فورس ساده و دیکشنری است.

حمله معکوس: در این حمله مهاجم از رمز عبورهای افشا شده ناشی از نقص پایگاه‌داده‌­ها استفاده کرده و با در دست داشتن رمز عبور، سعی در حدس‌زدن نام کاربری دارد.

پُر کردن اطلاعات: مهاجم در این نوع حمله، از نام‌کاربری و رمزعبورهای درز پیداکرده از وب‌سایت‌های دیگر استفاده می‌کند و آن‌ها را روی وب­‌سایت‌­های جدید می‌آزماید.

جدول رنگین­ کمان: این جدول از پیش فرض شده برای توابع هَش استفاده می‌­شود تا آن­ها را معکوس کند و مهاجم بتواند توابع رمزنگار را پیش‌بینی کند.

برای مطالعه بیشتر در خصوص حمله brute force به این لینک مراجعه کنید.

۲. هرزنامه (spam)

بات‌های اسپمر جزو معروف‌­ترین انواع بات‌­ها هستند. این بات‌ها ماهیت نرم‌افزاری دارند و برای ارسال پیام اسپم به کاربران زیادی طراحی شده‌ اند. از spam botها برای ارسال پیام­‌هایی حاوی فرم‌­های فیشینگ اطلاعات کاربران، اظهار نظرهای جعلی، افزایش بازدید وب­‌سایت‌­ها و تبلیغات نادرست و ... استفاده می‌­شود.

بات­‌های اسپمر می‌­توانند از سیستم­‌عامل شما دسترسی بگیرند و برای مخاطبان شما ایمیل ارسال کنند و یا با دسترسی به اطلاعات حساب‌کاربری ­تان عملیات فیشینگ را انجام دهند. اما تعداد اندکی از این ربات ­ها در وب تاریک (Dark web) فعالیت می‌کنند. آن­ ها اطلاعات مالی مهم و یا حساب‌‌های اجتماعی را جمع‌­آوری می‌­کنند و در دارک وب می‌فروشند.

انواع بات‌ اسپمر

انواع بات‌های اسپمر شامل Scraper، Spam Email و اسپمرهایی که در صفحات وب­سایت نظر ارسال می‌کنند، می­‌باشد.

ایمیل اسپم: این ربات‌­ها در سایت ­ها به دنبال ایمیل‌هایی مشابه name.surname@domain.name می ­گردند. سپس پایگاه‌داده‌­ای از این ایمیل‌­ها درست می‌­کنند و ایمیل‌هایی حاوی بدافزار برایشان ارسال می‌­کنند. و سعی می‌کنند اطلاعات شخصی را به سرقت ببرند.

نظر اسپم: این ربات‌ها در بخش نظرات مربوط به محصولات یک وب‌سایت یا انجمن‌های مختلف، کامنت‌­های جعلی یا لینک‌­هایی برای بالاتر رفتن بازدید سایت خود می‌­گذارند که موجب کاهش رتبه سئو وب‌­سایت می­‌شوند.

بات‌­های شبکه‌های اجتماعی: این ربات‌­ها در شبکه‌های اجتماعی با لایک کردن، کامنت گذاشتن، توئیت و ریتوئیت کردن، ارسال پیام به کاربران و ... فعالیت می‌­کنند. تعداد این ربات‌­ها کم نیست و مانند بقیه‌­ی کاربران حساب ­هایی دارند که کاملا واقعی و قانونی به نظر می‌­رسند.

۳. حملات Credential stuffing

در این نوع از حملات سایبری، مهاجم از اطلاعات کاربران که یک لیستی از رمزعبورها و نام‌های کاربری است و به عنوان مثال توسط یک فروشگاه به بیرون درز کرده، برای ورود به وب‌سایت یا بانک استفاده می­‌کند. این حملات به لطف افشای گستردهِ اطلاعات در بازار سیاه، رشد چشمگیری داشته و برای کسب غیرقانونی درآمد و خرابکاری بسیار محبوب شده است.

در این حمله بعد از اینکه مهاجم، رمز عبورها و نام‌­های کاربری افشا شده را جمع‌آوری کرده و در سرویس‌­های دیگر مانند شبکه‌­های اجتماعی استفاده کرد، با احتمال حدود ۰.۱ تا ۰.۲ درصد با موفقیت به حساب کاربر دسترسی پیدا می‌­کند. سپس اطلاعات شخصی مانند شماره کارت اعتباری را می‌دزدد و از آن ­ها برای ارسال فیشینگ و اسپم استفاده می‌کند.

درسته که احتمال موفقیت حملات credential stuffing از هر هزار حساب کاربری، یک مورد است ولی چون لیست حاوی اطلاعات کاربران (که حاوی میلیون ­ها یا میلیاردها مورد است) بین هکرها دست به دست می­ شود، همچنان این حملات ارزش تلاش کردن را دارند. با پیشرفت ربات‌­های سایبری و نرم‌­افزارهای credential stuffing، مهاجمان با IPهای متفاوت و بی­‌شمار به سیستم­‌های تعبیه شده در وب­‌سایت‌ها حمله می‌­کنند در نتیجه وب­‌سایت قربانی با حجم عظیمی از درخواست­‌ها و بالا رفتن ترافیک، مواجه می‌شود.

بر اساس جدیدترین تحقیقات انجام شده، ۸۵ درصد افراد از رمز عبور مشابه برای حساب­‌های کاربری‌­شان استفاده می­‌کنند. تا زمانی که این عادت متداول تغییر نکند یا وب‌سایت‌ها از سرویس محافظ بات استفاده نکنند، حملات credential stuffing موثر خواهد بود.

تفاوت بین Credential stuffing و Brute force

برخی از فعالین حوزه امنیت، credential stuffing را زیرمجموعه ­ی brute force می‌­دانند. اما با نگاهی دقیق­‌تر می‌توان متوجه تفاوت‌هایی بین این دو نوع حمله شد. در حمله بروت فورس مهاجم رمز عبورها را به صورت شانسی و بدون سند خاصی حدس زده و سعی در ورود به حساب کاربر دارد اما در حمله credential stuffing از اطلاعات درز شده از سرویس­ های دیگر استفاده می‌شود پس احتمال رسیدن به پاسخ صحیح و هک کردن اطلاعات کاربران، بالاتر است.

یک تفاوت خیلی مهم بین این دو نوع حمله این است که در حملات بروت فورس اگر رمز عبور قوی انتخاب شده باشد احتمال هک کردن آن بسیار پایین است اما در حملات credential stuffing تفاوتی ندارد که رمز عبور چقدر قوی یا ضعیف باشد، اگر یکبار رمز عبور فاش شود، اطلاعات حساب کاربری در خطر است.

۴. بات‌های Scraper

قبل تر با حملات Credential stuffing ، Brute force و بات‌های اسپمر آشنا شدید. یکی از حملاتی که به کسب‌وکار­ها آسیب وارد می­‌کند و توسط مهاجمان یا صاحبان وب‌­سایت‌­ها انجام می‌­گیرد، حملات بات‌های scraper است. این بات‌ها برای سرقت اطلاعات مفید محصولات به جهت مقایسه قیمت، مورد استفاده قرار می‌گیرند. آن‌ها تمام اطلاعات سایت و حتی تصاویر را به سرعت و بدون اجازه به سرقت برده و در وب‌سایت رقیب بارگزاری می­‌کنند.

تمام وب­‌سایت­‌ها هدف حملات scraperها هستند. این حملات بیشتر توسط نرم­‌افزارهای خودکار یا بات‌­ها انجام می‌گیرد. مهاجمان بعد از مشخص کردن چندین وب­‌سایت به عنوان هدف، انواع تصاویر، متن و محتوای ارزشمند، مشخصات محصولات و قیمت را شناسایی کرده و به پایگاه‌داده مرکزی ارسال می‌کنند. انجام این عملیات به قدری راحت است که نیاز به دانش برنامه‌نویسی ندارد و با جستجوی کوتاهی در گوگل می‌­توان انواع نرم‌­افزارها مثل data miner یا web scraper را پیدا کرد.

بات‌های scraper علاوه بر محتوای وب­‌سایت‌­ها، به دنبال قیمت اجناس هم هستند. حتی روش پنهان کردن قیمت محصولات و نمایش آن­ها در صورت اضافه کردن محصول به سبد خرید هم نتوانسته مانع از فعالیت این بات‌ها شود. به تازگی مهاجمان برای انجام حملات scraper از بات‌های نسل سوم پیچیده‌ای استفاده می‌کنند که می‌توانند صفحه وب را پردازش کنند. و با اجرا کردن جاوا اسکریپت، وضعیتی مشابه یک مرورگر واقعی پدید آورند. همانطور که گفته شد، این بات‌ها می توانند با قرار دادن کالاها در سبد خرید، تخفیف‌ها، مالیات‌ها و هزینه های حمل و نقل را مشاهده کرده و درنهایت قیمت کل مشتری را ببینند.

آسیب بات­‌های scraper به وب‌­سایت‌­ها

اگر صاحب یک وب‌سایت فروشگاهی آنلاین هستید، حتما می‌دانید ثبت مشخصات و ویژگی‌های محصولات و بروزرسانی آن‌ها کاری پرهزینه‌ و زمان‌بر است. بسته به وسعت کسب‌وکار، احتمالا به کارمندانی تمام‌وقت برای این کار نیاز خواهید داشت. بات های scraper این اطلاعات را به سرقت برده و در اختیار رقبای شما قرار می‌­دهند.

سرقت اطلاعات کاربران: بات‌های scraper در صفحات پروفایل کاربران خزش می‌کنند. نام، ایمیل، شماره تماس و حتی علایق کاربران را استخارج می‌کنند. و نظرات کاربران را می‌خوانند. این اطلاعات برای اسپم، سواستفاده رقبا و یا حملات فیشینگ مورد استفاده قرار می‌گیرد.

آسیب به SEO وب‌سایت: بات های scraper می‌توانند باعث کاهش رتبه سئو سایت اصلی شوند. ممکن است گوگل از مکانیزم پنالتی بهره ببرد؛ یعنی هر بار یکی از سایت‌ها را ‌(سایت تولید کننده محتوا و یا سایتی که محتوا را scrap کرده) به مخاطب نشان دهد. در این صورت سایت شما آسیب می‌بیند. به‌خصوص اگر گوگل صفحات حاوی محتوای دزدیده شده را بالاتر از صفحات اصلی و قانونی قرار دهد. چنین ضررهایی می‌توانند تأثیر فاجعه باری بر ترافیک ورودی معتبر و متعاقباً فروش برای صاحب قانونی محتوا داشته باشند.

تحمیل هزینه زیرساخت: در نهایت، هر نوع فعالیت بات هایscraper در وب‌سایت شما باعث ایجاد ترافیک و افزایش هزینه‌های زیرساختی می‌شود. به طور میانگین ۴۰ درصد از ترافیک وب‌سایت‌ها توسط بات‌ها ایجاد می‌شود! این حجم از ترافیک نامعتبر، هزینه‌های اضافی زیادی را به کسب‌وکارها تحمیل می‌کند.

بات­های Scraper یک تهدید جدی اما قانونی!

مهاجمین از ابزار­های پیچیده ­تری استفاده می ­کنند. مانند ربات­ هایی که کوکی ­ها را ذخیره می ­کنند یا حرکت ماوس، کلیک کردن و تایپ صفحه کلید را پیاده سازی می ­کنند. آن­ ها به راحتی تعاملات عادی کاربران را تقلید می­ کنند. و از محافظ­ های سنتی و چالش ­های JavaScript و مزرعه کپچا عبور می­کنند.

جالب است بدانید که حملات scraper جرم محسوب نمی‌شوند. جمع آوری اطلاعات قیمت و مشخصات محصولات از رقبا، همواره یک بخش طبیعی از تجارت محسوب می‌شود. این فعالیت به صورت رسمی غیرقانونی نیست. به همین دلیل تعداد این ربات­ ها افزایش پیدا کرده و آمار حدود ۳۰ درصد از بازدیدکنندگان وب­‌سایت‌ها را به خود اختصاص داده. اگر دقیق‌تر به این موضوع نگاه کنید، ربات‌هایی که گوگل برای خزش وب‌سایت‌ها استفاده می‌کند هم نوعی از بات های scraper هستند. اما کاربرد خزنده گوگل برای ساده کردن جستجو توسط اشخاص و یافتن ویژگی‌های کلیدی هر وب‌سایت است. در حالی که پر واضح است استفاده از اثر، بدون اجازه صاحب آن و در اینجا استفاده از محتوای scrap شده در واقع نقض قانون کپی رایت است. با این وجود، scrap کردن قیمت، سرقت اطلاعات مفید، مشخصات و توضیحات کالاها و داده‌های موجودی کالاها، به طور چشمگیری شرایط خدمات وب سایت‌های قربانی حملات بات­ های scraper را تعدیل می‌کند. قیمت محصولات و تعداد موجودی از ویژگی‌های بسیار پراهمیت یک کسب­ وکار در بازار پر تلاطم تجارت است. زیرا می‌توان از آن­‌ها به عنوان سلاحی رقابتی استفاده کرد! برخی از مشاغل از سواستفاده رقبا شکایت کرده‌اند، هرچند شکایت هم راه به جایی نداشته است.

مطالب تکمیلی این مقاله را می‌توانید در وبلاگ آرکپچا مطالعه کنید.
همچنین برای باخبر شدن از مطالب جدید، ما را در ویرگول دنبال کنید.