Каталожный вызов: как хакеры пытались сорвать день распродаж «11.11»
Активность посетителей онлайн-площадок во Всемирный день шопинга, 11 ноября, выросла в два-три раза, сообщили «Известиям» в компаниях по кибербезопасности. Значительно увеличилось и число DDoS-атак на эти ресурсы, особенно на крупных ритейлеров, сообщили «Известиям» в компаниях по информационной безопасности. Пиковая активность только одной такой атаки ботовых запросов достигла 3,52 млн в минуту — это примерно в 50 раз выше самой большой «человеческой» нагрузки на ресурс. Боты в этот день атаковали интернет-магазины разными способами: создавали ложные заявки на бронь товара, закидывали горячие линии спам-звонками и массово заполняли формы обратной связи на сайтах, имитируя высокий спрос. О том, как перенесли онлайн-ресурсы день шопинга — в нашем материале.
Как и кто мешал Всемирному дню шопинга
Распродажа «11.11» во Всемирный день шопинга отметилась серьезными DDoS-атаками на крупных онлайн-ритейлеров, сообщили «Известиям» в компаниях по кибербезопаности.
Распродажа «11.11», или Всемирный день шопинга, масштабно отмечается с 2009 года — в этот день один из крупнейших онлайн-трейдеров объявил новую распродажу, аналогичную «черной пятнице», которая также проходит в ноябре. При этом была выбрана дата Дня холостяка — праздника, который в 1993 году придумали студенты из китайского города Нанкин. Традицию распродаж 11 ноября мгновенно подхватили онлайн и офлайн-ритейлеры всего мира.
— В пике одна из таких атак достигла 3,5 млн запросов в минуту. Это в 50 раз больше, чем пиковая человеческая нагрузка на крупный маркетплейс, — сказал «Известиям» руководитель аналитического отдела Servicepipe (специализируется на информационной безопасности и защите онлайн-ресурсов от DDoS, ботов и целевых атак) Антон Чемякин. — Однако ресурсы устояли под атакой. Недоступностей сервисов, за которыми мы следили, из-за нелегитимной активности не возникло.
Суммарный рост легитимного (человеческого) трафика на сайтах различных интернет-магазинов исчислялся в среднем в 20–30%, рассказал эксперт. Кроме того, был отмечен двух-трехкратный рост активности реальных пользователей на протяжении нескольких часов после рассылок бонусов, промокодов, сообщений клиентам.
— На большинстве ресурсов рост трафика начался еще 8 ноября, так как распродажа фактически началась в пятницу, а к 11.11 наблюдался некоторый спад — это говорит о том, что большинство пользователей совершили покупки в выходные, — сказал он. — И старт активного парсинга (автоматизированный сбор и структурирование информации с сайтов при помощи программы или сервиса. — «Известия») во время дня распродаж начался незадолго до начала акций, за несколько дней до 11.11. Фиксировались как попытки спарсить цены от профессиональных команд ботоводов, так и запуски простеньких ботнетов от полуслучайных новичков.
Ранний старт парсинга, возможно, связан с попыткой хакеров получить аналитику до и после начала акций, полагает он.
Количество атак ботов увеличилось еще в конце октября, рассказал «Известиям» директор платформы облачной киберзащиты Solar Space ГК «Солар» Артем Избаенков. В первую очередь, по его словам, под удар попали сайты малого бизнеса, это, в частности, небольшие интернет-магазины в регионах.
— И это связано со стартом сезона распродаж, включая Всемирный день шопинга «11.11» и знаменитую «черную пятницу», — сказал он. — В этот период боты атакуют интернет-магазины разными способами. Например, создают ложные заявки на бронь товара, закидывают горячие линии спам-звонками и массово заполняют формы обратной связи на сайтах, имитируя высокий спрос.
В результате, отметил эксперт, такая ситуация не оставляет небольшим компаниям времени на обработку настоящих заказов, что, в свою очередь, полностью останавливает рабочие процессы. Он добавил, что в октябре 2023 года компания фиксировала рост веб-атак на представителей российского онлайн-ритейла перед началом «11.11» на 50%. А в финальный день распродаж, 11 ноября, «МегаФон» выявил свыше 2,5 тыс. фишинговых ресурсов, что примерно в четыре раза больше среднедневного показателя этого года, рассказали «Известиям» в пресс-службе компании.
«Черная пятница», «11.11» и предновогодние распродажи традиционно популярны у мошенников, и основной приманкой для пользователей остаются крупные скидки, а также «закрытые» распродажи товаров по сверхнизким ценам, отметил руководитель проектов Координационного центра доменов .RU/ .РФ Евгений Панков.
— Однако стоит отметить, что доля успешных фишинговых атак в последнее время постепенно снижается, во многом благодаря усилиям СМИ и компаниям по информационной безопасности, постоянно повышающих осведомленность пользователей и их готовность противостоять действиям мошенников, — сказал он.
Как вели себя покупатели
При этом и покупатели вели себя в дни распродаж необычно.
— Мы фиксировали изменение пользовательского поведения фактически на всех защищаемых ресурсах, — рассказал Антон Чемякин. — Так, на 15–20% возросло количество запросов на получение информации о параметрах товара и количество запросов на добавление товара в корзину в рамках сессии, на 10–15% увеличилось количество уникальных пользовательских сессий.
Он отметил, что выросло и количество разного рода аномалий в трафике, в том числе легитимном.
— Например, технические специалисты одного из наших клиентов отметили рост числа пропущенных с иностранных ip-адресов запросов, получающих информацию о ценах товаров, — рассказал эксперт. — Подобная упрощенная метрика зачастую весьма эффективно позволяет выявить наличие ботовой активности. Однако детальное изучение трафика показало, что система не ошиблась: скачки были вызваны активностью тех 2–3% пользователей, которые сидят через популярные VPN-сервисы и выводят в топ иностранные ip-адреса.
По словам Антона Чемякина, проблемы у сайтов возникали и из-за легального трафика: сервисы начинали заметно тормозить из-за наплыва пользователей, одновременно получивших промокоды и побежавших их тратить.
Менеджер по развитию бизнеса в Pacific Studio Никита Смецкой призвал покупателей в период распродаж быть начеку. Он посоветовал в первую очередь проверять продавца, у которого они собираются приобрести товар.
— Убедитесь, что сайт или магазин, где вы совершаете покупку, надежен. Проверьте отзывы, рейтинги и контактную информацию, — порекомендовал он. — И не доверяйте слишком низким ценам — это может быть признаком мошенничества. Сравните цены на аналогичные товары у других продавцов.
А директор компании «Интернет-розыск» Игорь Бедеров посоветовал проверять гиперссылки и файлы.
— Перед тем как кликнуть на ссылку или скачать файл, удостоверьтесь в их безопасности с помощью антивирусного программного обеспечения, — сказал он. — И прежде чем посещать сомнительные сайты, изучите их регистрационные данные. Обратите внимание, что для безопасности личных данных россиян сайт должен быть физически размещен на территории РФ. Также обращайте внимание на срок существования сайта. Он не должен составлять несколько месяцев.
Никита Смецкой призвал при онлайн-оплате использовать только безопасные способы оплаты, отметив, что не стоит использовать незнакомые платежные системы.
— Предпочитайте проверенные способы оплаты, такие как банковские карты или электронные кошельки, — сказал он. — И не предоставляйте личные данные незнакомым людям и сомнительным сайтам: номер кредитной карты, паспортные данные или коды безопасности. Кроме того, убедитесь, что доставка осуществляется через проверенные службы. Не соглашайтесь на предоплату за доставку, если вы не уверены в надежности продавца.
Игорь Бедеров посоветовал для совершения финансовых операций в интернете использовать отдельный счет с ограниченным доступом.
— В настройках банковского приложения установите запрет на оплату без кода подтверждения или через SMS. Также рекомендуется использовать для расчетов онлайн отдельные пластиковые карты или виртуальные карты с лимитированным балансом, — сказал он.
Перед крупной распродажей и вообще любыми онлайн-покупками эксперт посоветовал запретив перевыпуск SIM-карты и другие манипуляции с ней без личного присутствия. Также он призвал использовать только сложные пароли для аккаунтов и не хранить их в браузере.
