آرکپچا یک سرویس محافظ بات یا کپچا فارسی است که از وبسایتها و کسبوکارهای آنلاین در برابر حملات باتهای مخرب محافظت میکند. www.arcaptcha.ir
انواع حمله باتهای مخرب به وبسایتها
باتها یا رباتهای اینترنتی، برنامهای نرمافزاری هستند که با هدف انجام کاری تکراری و بدون دخالت انسان طراحی میشوند.
رباتهای اینترنتی به طور کلی به دو دسته خوب و بد تقسیم میشوند:
ربات خوب: باتهایی که در راستای محقق شدن اهداف شخصی یا شغلی به سازمان ها یا افراد کمک میکنند. مانند رباتهای موجود در فضای مجازی، چت باتها، رباتهای موتورهای جستجو و ...
ربات بد: باتهایی که با هدف ضربه زدن به سیستمها برای منافع شخصی یا اخاذی مالی و خرابکاری در اینترنت فعایت میکنند و عموما رفتار کاربران واقعی را تقلید میکنند. این باتها بیشتر توسط هکرهای کلاه سیاه یا مجرمهای اینترنتی استفاده یا ساخته میشوند.
حدود ۴۰ درصد از ترافیک وبسایتها، توسط باتهای اینترنتی ایجاد میشود. صنعت بانکداری با ۴۲ درصد و صنعت فروش آنلاین و تهیه بلیط با ۳۹ درصد ترافیک مربوط به رباتهای بد، بیشترین ضربه را متحمل شدهاند.
۱. حمله Brute force
اولین حمله brute force است که می توان گفت سادهترین و قدیمیترین نوع حمله است. در این حمله هکر یا ربات با حدسزدن رمز عبور کاربران سعی در دسترسی به اطلاعات حساب کاربری آنها دارد. از این نوع حمله برای ایجاد اختلال در سرویسدهی وبسایتها یا بالا بردن ترافیک آنها نیز استفاده میشود. درسته که تنها ۵ درصد از نقصهای امنیتی برای حمله بروت فورس است اما این حمله میزان موفقیت بالایی دارد.
حملات بروت فورس ساده، دیکشنری، ترکیبی، معکوس، پر کردن اطلاعات و جدول رنگینکمان از انواع حملات brute force هستند.
حمله ساده بروت فورس: مهاجم در این حملات بدون استفاده از نرم افزار و تنها با حدس زدن اعداد قابل پیشبینی مثل تاریخ تولد، 123456 و ... به حساب کاربران دسترسی پیدا میکند.
حمله دیکشنری: در این حمله مهاجم بیشتر از عبارات یا کلمات خاص استفاده میکند. او ابتدا هدف را مشخص می کند و تمام کلمات یا عبارات احتمالی را تست میکند تا رمز را پیدا کند.
حمله ترکیبی: در این نوع حمله مهاجم از نرمافزارهایی کمک میگیرد و با ترکیب کردن عبارات خاص با اعداد یا کلمات، تلاش میکند رمز عبور را پیدا کند. میتوان گفت این حمله ترکیبی از حملات بروت فورس ساده و دیکشنری است.
حمله معکوس: در این حمله مهاجم از رمز عبورهای افشا شده ناشی از نقص پایگاهدادهها استفاده کرده و با در دست داشتن رمز عبور، سعی در حدسزدن نام کاربری دارد.
پُر کردن اطلاعات: مهاجم در این نوع حمله، از نامکاربری و رمزعبورهای درز پیداکرده از وبسایتهای دیگر استفاده میکند و آنها را روی وبسایتهای جدید میآزماید.
جدول رنگین کمان: این جدول از پیش فرض شده برای توابع هَش استفاده میشود تا آنها را معکوس کند و مهاجم بتواند توابع رمزنگار را پیشبینی کند.
برای مطالعه بیشتر در خصوص حمله brute force به این لینک مراجعه کنید.
۲. هرزنامه (spam)
باتهای اسپمر جزو معروفترین انواع باتها هستند. این باتها ماهیت نرمافزاری دارند و برای ارسال پیام اسپم به کاربران زیادی طراحی شده اند. از spam botها برای ارسال پیامهایی حاوی فرمهای فیشینگ اطلاعات کاربران، اظهار نظرهای جعلی، افزایش بازدید وبسایتها و تبلیغات نادرست و ... استفاده میشود.
باتهای اسپمر میتوانند از سیستمعامل شما دسترسی بگیرند و برای مخاطبان شما ایمیل ارسال کنند و یا با دسترسی به اطلاعات حسابکاربری تان عملیات فیشینگ را انجام دهند. اما تعداد اندکی از این ربات ها در وب تاریک (Dark web) فعالیت میکنند. آن ها اطلاعات مالی مهم و یا حسابهای اجتماعی را جمعآوری میکنند و در دارک وب میفروشند.
انواع بات اسپمر
انواع باتهای اسپمر شامل Scraper، Spam Email و اسپمرهایی که در صفحات وبسایت نظر ارسال میکنند، میباشد.
ایمیل اسپم: این رباتها در سایت ها به دنبال ایمیلهایی مشابه name.surname@domain.name می گردند. سپس پایگاهدادهای از این ایمیلها درست میکنند و ایمیلهایی حاوی بدافزار برایشان ارسال میکنند. و سعی میکنند اطلاعات شخصی را به سرقت ببرند.
نظر اسپم: این رباتها در بخش نظرات مربوط به محصولات یک وبسایت یا انجمنهای مختلف، کامنتهای جعلی یا لینکهایی برای بالاتر رفتن بازدید سایت خود میگذارند که موجب کاهش رتبه سئو وبسایت میشوند.
باتهای شبکههای اجتماعی: این رباتها در شبکههای اجتماعی با لایک کردن، کامنت گذاشتن، توئیت و ریتوئیت کردن، ارسال پیام به کاربران و ... فعالیت میکنند. تعداد این رباتها کم نیست و مانند بقیهی کاربران حساب هایی دارند که کاملا واقعی و قانونی به نظر میرسند.
۳. حملات Credential stuffing
در این نوع از حملات سایبری، مهاجم از اطلاعات کاربران که یک لیستی از رمزعبورها و نامهای کاربری است و به عنوان مثال توسط یک فروشگاه به بیرون درز کرده، برای ورود به وبسایت یا بانک استفاده میکند. این حملات به لطف افشای گستردهِ اطلاعات در بازار سیاه، رشد چشمگیری داشته و برای کسب غیرقانونی درآمد و خرابکاری بسیار محبوب شده است.
در این حمله بعد از اینکه مهاجم، رمز عبورها و نامهای کاربری افشا شده را جمعآوری کرده و در سرویسهای دیگر مانند شبکههای اجتماعی استفاده کرد، با احتمال حدود ۰.۱ تا ۰.۲ درصد با موفقیت به حساب کاربر دسترسی پیدا میکند. سپس اطلاعات شخصی مانند شماره کارت اعتباری را میدزدد و از آن ها برای ارسال فیشینگ و اسپم استفاده میکند.
درسته که احتمال موفقیت حملات credential stuffing از هر هزار حساب کاربری، یک مورد است ولی چون لیست حاوی اطلاعات کاربران (که حاوی میلیون ها یا میلیاردها مورد است) بین هکرها دست به دست می شود، همچنان این حملات ارزش تلاش کردن را دارند. با پیشرفت رباتهای سایبری و نرمافزارهای credential stuffing، مهاجمان با IPهای متفاوت و بیشمار به سیستمهای تعبیه شده در وبسایتها حمله میکنند در نتیجه وبسایت قربانی با حجم عظیمی از درخواستها و بالا رفتن ترافیک، مواجه میشود.
بر اساس جدیدترین تحقیقات انجام شده، ۸۵ درصد افراد از رمز عبور مشابه برای حسابهای کاربریشان استفاده میکنند. تا زمانی که این عادت متداول تغییر نکند یا وبسایتها از سرویس محافظ بات استفاده نکنند، حملات credential stuffing موثر خواهد بود.
تفاوت بین Credential stuffing و Brute force
برخی از فعالین حوزه امنیت، credential stuffing را زیرمجموعه ی brute force میدانند. اما با نگاهی دقیقتر میتوان متوجه تفاوتهایی بین این دو نوع حمله شد. در حمله بروت فورس مهاجم رمز عبورها را به صورت شانسی و بدون سند خاصی حدس زده و سعی در ورود به حساب کاربر دارد اما در حمله credential stuffing از اطلاعات درز شده از سرویس های دیگر استفاده میشود پس احتمال رسیدن به پاسخ صحیح و هک کردن اطلاعات کاربران، بالاتر است.
یک تفاوت خیلی مهم بین این دو نوع حمله این است که در حملات بروت فورس اگر رمز عبور قوی انتخاب شده باشد احتمال هک کردن آن بسیار پایین است اما در حملات credential stuffing تفاوتی ندارد که رمز عبور چقدر قوی یا ضعیف باشد، اگر یکبار رمز عبور فاش شود، اطلاعات حساب کاربری در خطر است.
۴. باتهای Scraper
قبل تر با حملات Credential stuffing ، Brute force و باتهای اسپمر آشنا شدید. یکی از حملاتی که به کسبوکارها آسیب وارد میکند و توسط مهاجمان یا صاحبان وبسایتها انجام میگیرد، حملات باتهای scraper است. این باتها برای سرقت اطلاعات مفید محصولات به جهت مقایسه قیمت، مورد استفاده قرار میگیرند. آنها تمام اطلاعات سایت و حتی تصاویر را به سرعت و بدون اجازه به سرقت برده و در وبسایت رقیب بارگزاری میکنند.
تمام وبسایتها هدف حملات scraperها هستند. این حملات بیشتر توسط نرمافزارهای خودکار یا باتها انجام میگیرد. مهاجمان بعد از مشخص کردن چندین وبسایت به عنوان هدف، انواع تصاویر، متن و محتوای ارزشمند، مشخصات محصولات و قیمت را شناسایی کرده و به پایگاهداده مرکزی ارسال میکنند. انجام این عملیات به قدری راحت است که نیاز به دانش برنامهنویسی ندارد و با جستجوی کوتاهی در گوگل میتوان انواع نرمافزارها مثل data miner یا web scraper را پیدا کرد.
باتهای scraper علاوه بر محتوای وبسایتها، به دنبال قیمت اجناس هم هستند. حتی روش پنهان کردن قیمت محصولات و نمایش آنها در صورت اضافه کردن محصول به سبد خرید هم نتوانسته مانع از فعالیت این باتها شود. به تازگی مهاجمان برای انجام حملات scraper از باتهای نسل سوم پیچیدهای استفاده میکنند که میتوانند صفحه وب را پردازش کنند. و با اجرا کردن جاوا اسکریپت، وضعیتی مشابه یک مرورگر واقعی پدید آورند. همانطور که گفته شد، این باتها می توانند با قرار دادن کالاها در سبد خرید، تخفیفها، مالیاتها و هزینه های حمل و نقل را مشاهده کرده و درنهایت قیمت کل مشتری را ببینند.
آسیب باتهای scraper به وبسایتها
اگر صاحب یک وبسایت فروشگاهی آنلاین هستید، حتما میدانید ثبت مشخصات و ویژگیهای محصولات و بروزرسانی آنها کاری پرهزینه و زمانبر است. بسته به وسعت کسبوکار، احتمالا به کارمندانی تماموقت برای این کار نیاز خواهید داشت. بات های scraper این اطلاعات را به سرقت برده و در اختیار رقبای شما قرار میدهند.
سرقت اطلاعات کاربران: باتهای scraper در صفحات پروفایل کاربران خزش میکنند. نام، ایمیل، شماره تماس و حتی علایق کاربران را استخارج میکنند. و نظرات کاربران را میخوانند. این اطلاعات برای اسپم، سواستفاده رقبا و یا حملات فیشینگ مورد استفاده قرار میگیرد.
آسیب به SEO وبسایت: بات های scraper میتوانند باعث کاهش رتبه سئو سایت اصلی شوند. ممکن است گوگل از مکانیزم پنالتی بهره ببرد؛ یعنی هر بار یکی از سایتها را (سایت تولید کننده محتوا و یا سایتی که محتوا را scrap کرده) به مخاطب نشان دهد. در این صورت سایت شما آسیب میبیند. بهخصوص اگر گوگل صفحات حاوی محتوای دزدیده شده را بالاتر از صفحات اصلی و قانونی قرار دهد. چنین ضررهایی میتوانند تأثیر فاجعه باری بر ترافیک ورودی معتبر و متعاقباً فروش برای صاحب قانونی محتوا داشته باشند.
تحمیل هزینه زیرساخت: در نهایت، هر نوع فعالیت بات هایscraper در وبسایت شما باعث ایجاد ترافیک و افزایش هزینههای زیرساختی میشود. به طور میانگین ۴۰ درصد از ترافیک وبسایتها توسط باتها ایجاد میشود! این حجم از ترافیک نامعتبر، هزینههای اضافی زیادی را به کسبوکارها تحمیل میکند.
باتهای Scraper یک تهدید جدی اما قانونی!
مهاجمین از ابزارهای پیچیده تری استفاده می کنند. مانند ربات هایی که کوکی ها را ذخیره می کنند یا حرکت ماوس، کلیک کردن و تایپ صفحه کلید را پیاده سازی می کنند. آن ها به راحتی تعاملات عادی کاربران را تقلید می کنند. و از محافظ های سنتی و چالش های JavaScript و مزرعه کپچا عبور میکنند.
جالب است بدانید که حملات scraper جرم محسوب نمیشوند. جمع آوری اطلاعات قیمت و مشخصات محصولات از رقبا، همواره یک بخش طبیعی از تجارت محسوب میشود. این فعالیت به صورت رسمی غیرقانونی نیست. به همین دلیل تعداد این ربات ها افزایش پیدا کرده و آمار حدود ۳۰ درصد از بازدیدکنندگان وبسایتها را به خود اختصاص داده. اگر دقیقتر به این موضوع نگاه کنید، رباتهایی که گوگل برای خزش وبسایتها استفاده میکند هم نوعی از بات های scraper هستند. اما کاربرد خزنده گوگل برای ساده کردن جستجو توسط اشخاص و یافتن ویژگیهای کلیدی هر وبسایت است. در حالی که پر واضح است استفاده از اثر، بدون اجازه صاحب آن و در اینجا استفاده از محتوای scrap شده در واقع نقض قانون کپی رایت است. با این وجود، scrap کردن قیمت، سرقت اطلاعات مفید، مشخصات و توضیحات کالاها و دادههای موجودی کالاها، به طور چشمگیری شرایط خدمات وب سایتهای قربانی حملات بات های scraper را تعدیل میکند. قیمت محصولات و تعداد موجودی از ویژگیهای بسیار پراهمیت یک کسب وکار در بازار پر تلاطم تجارت است. زیرا میتوان از آنها به عنوان سلاحی رقابتی استفاده کرد! برخی از مشاغل از سواستفاده رقبا شکایت کردهاند، هرچند شکایت هم راه به جایی نداشته است.
مطالب تکمیلی این مقاله را میتوانید در وبلاگ آرکپچا مطالعه کنید.
همچنین برای باخبر شدن از مطالب جدید، ما را در ویرگول دنبال کنید.
مطلبی دیگر از این انتشارات
کپچا چیست و چرا فایروال یا WAF برای مقابله با بات مناسب نیست؟
مطلبی دیگر از این انتشارات
پشت صحنه حل کپچا
مطلبی دیگر از این انتشارات
تصاحب حساب کاربری (ATO)