Nel giugno del 2022, gli hacker hanno sferrato un attacco contro Media Today, la più grande piattaforma australiana in lingua cinese. Gli aggressori hanno effettuato oltre 20 milioni di tentativi di reimpostare le password degli utenti nel sistema di registrazione della piattaforma. Tuttavia, non si trattava di esseri umani, bensì di bot, ovvero programmi complessi e automatizzati che sciamano su Internet ed eseguono istruzioni specifiche.
Mentre i bot benevoli possono raccogliere dati per i motori di ricerca, quelli malevoli possono prendere di mira i sistemi digitali, le applicazioni web e le interfacce di programmazione delle applicazioni (API), con l’intento di rubare dati o commettere frodi e attacchi DoS, il tutto con una velocità e un volume che i criminal hacker in carne e ossa non sarebbero in grado di eguagliare.
Secondo una recente ricerca, nei primi sei mesi del 2023 i bot hanno rappresentato poco meno della metà (48%) di tutto il traffico Internet e la maggior parte di questi era costituita da bot malevoli (30% in totale).
Non solo: gli attacchi dei bot malevoli si stanno evolvendo per diventare sempre più sofisticati. Sono sempre più bravi a imitare il comportamento degli esseri umani nonché a eludere i tradizionali controlli di sicurezza e, proprio per questo motivo, vengono utilizzati per effettuare attacchi avanzati contro le aziende.
Indice degli argomenti
Le tecniche di attacco dei bot malevoli
Le tecniche di attacco comprendono l’analisi delle vulnerabilità per trovare e sfruttare i bug, ma anche attacchi brute force, furti di credenziali e password spraying per rubare l’identità delle vittime e impossessarsi dei loro account di posta elettronica, soprattutto di quelli raggiungibili attraverso API vulnerabili.
I bot, infatti, sono armati di milioni di potenziali combinazioni di nomi utente e password e bersagliano gli obiettivi senza sosta, come dimostra il caso di Media Today.
Inoltre, i bot colpiscono le API con una frequenza sempre maggiore, in quanto si tratta di interfacce relativamente poco protette e ampiamente utilizzate in procedure e comunicazioni automatizzate.
Di conseguenza, il crescente utilizzo delle API ha reso più facile per i bot l’accesso e la manipolazione dei dati su larga scala.
Gli aggressori, dunque, prendono di mira le applicazioni che utilizzano le API per accedere agli account di posta elettronica: un esempio sono le applicazioni utilizzate nelle campagne di marketing, che inviano e monitorano le e-mail mandate in modo massivo o personalizzato a clienti potenziali o esistenti.
Le API sono progettate per connettersi e condividere dati con altre applicazioni e spesso si sottovaluta l’esposizione di tali informazioni.
La combinazione di interfacce applicative poco protette, criteri di autenticazione e accesso insufficienti, esposizione al mondo esterno e mancanza di misure di sicurezza specifiche per i bot, come la limitazione del volume e della velocità del traffico in entrata, rende queste API e i dati in esse contenuti estremamente a rischio di una violazione.
Come sconfiggere i bot malevoli
Le aziende possono sentirsi sopraffatte dalla grande quantità di soluzioni necessarie per bloccare i bot, ma la buona notizia è che molti fornitori di sicurezza stanno sviluppando soluzioni integrate, note come servizi WAAP (Web Application and API Protection) e WAF (Web Application Firewall), che garantiscono una difesa efficace contro i bot malevoli, in qualsiasi veste essi si presentino e qualunque sia il loro obiettivo.
Un Web Application Firewall (WAF) con protezione anti-bot monitora e filtra il traffico in entrata e in uscita tra un’applicazione web e Internet. Un WAF può proteggere le API dagli attacchi dei bot in diversi modi:
- Valutazione della “reputazione” degli indirizzi IP: Un WAF può bloccare o registrare le richieste provenienti da indirizzi IP notoriamente dannosi e associati a botnet, ovvero proxy utilizzate dai bot per lanciare gli attacchi, o a reti con routing anonimo.
- Limitazione della velocità del traffico in entrata: Un WAF può limitare il numero di richieste che un programma o un client può effettuare a un’API in un certo lasso di tempo. Ciò può impedire ai bot di sovraccaricare l’API in questione con un numero eccessivo di richieste o di colpirla con un attacco brute force.
- Rilevamento delle intrusioni: Un WAF è in grado di rilevare e bloccare le richieste che corrispondono a tecniche di attacco predefinite, come ad esempio SQL injection o cross-site scripting. In questo modo, si impedisce ai bot di sfruttare eventuali bug nelle API o di introdurre un codice dannoso.
- Analisi comportamentale: Un WAF può analizzare il comportamento dei programmi e identificare anomalie o divergenze rispetto alle caratteristiche dei normali modelli previsti, come la frequenza delle richieste, le relative dimensioni, gli header, i parametri o i cookie. Questo può aiutare il firewall a distinguere tra traffico umano e bot e a rilevare eventuali tentativi di imitazione del comportamento umano.
Parallelamente, rimane fondamentale rafforzare i capisaldi della sicurezza: l’implementazione di password sicure e l’autenticazione a più fattori, l’aggiornamento dei software, lo svolgimento di controlli di sicurezza regolari e la formazione degli utenti in materia di sicurezza.
Conclusioni
I bot stanno diventando più abili e, di conseguenza, le minacce più avanzate, quali la compromissione degli account e gli attacchi alle API, sono in aumento.
È importante disporre di più livelli di rilevamento e difesa, perché il panorama delle minacce evolve rapidamente. Ad esempio, di fronte ai limiti di velocità, gli aggressori potrebbero decidere di sferrare attacchi con un traffico bot ridotto e rallentato.
Oppure potrebbero optare per la tecnica di MFA-bombing, nota anche come MFA fatigue, per superare le barriere dell’autenticazione a più fattori. Con una soluzione di sicurezza resiliente in grado di garantire una protezione completa gli attacchi possono essere bloccati in diverse fasi, molto prima che abbiano la possibilità di causare seri danni.
