Компании Qrator и Wallarm подвели итоги сезона распродаж в электронных магазинах и связанных с ними атак. В конце года у электронных магазинов случается пик продаж, поэтому прекращение обслуживания, даже минимальное, может привести к серьезным финансовым потерям. Причем до сих пор конкуренция между электронными магазинами настолько высока, что конкурирующие стороны не гнушаются заказывать атаки на конкурентов, хотя и сами хакеры часто требуют «выкуп» за прекращение атак.
Как отмечает Александр Лямин, генеральный директор компании Qrator, спецификой атак на электронные магазины является то, что нередко они осуществляются на уровне приложений. Связано это с тем, что электронный магазин – сложная система, работающая на основе СУБД. В ней иногда встречаются сложные запросы, приводящие к повышению нагрузки на системы, поэтому хакерам даже не приходится переполнять каналы доступа к серверам, на которых работают электронные магазины. Достаточно просто найти такие страницы, которые создают большую нагрузку на базу данных, и не уставать повторять запросы к ним. При этом сеть может быть и не нагружена, т. е. защита от классического DDoS срабатывать не будет, но заказать товар в электронном магазине становится сложно, поскольку база данных тормозит процесс.
Атаки, которые перегружают базу данных или веб-сервер, называются DDoS уровня приложений, защититься от них самостоятельно и даже с привлечением внешних компаний весьма сложно. Ведь для этого нужно изучить работающее у клиента приложение и провести для него нагрузочное тестирование, что на работающем интернет-магазине сделать довольно сложно. У Qrator для выявления подобных атак используется система распознавания роботов. «Поведение реальных людей предсказуемо и хорошо обнаруживается, – пояснил Александр Лямин. – Достаточно блокировать активность роботов, чтобы защититься от такого типа атак, и мы это умеем».
Впрочем, роботы используются хакерами и для других целей. В частности, для подбора кодов на скидку, которые практикуют некоторые магазины. Валидность номера карты на скидку, как правило, можно определить на сайте магазина, чем и пользуются хакеры. С помощью простого перебора они обнаруживают номера скидочных карт, покупают товары с большими скидками, а потом продают их. В результате, по заверениям Ивана Новикова, генерального директора Wallarm, злоумышленники получают до 10 тыс. руб. прибыли за один час перебора.
Понятно, что для электронных магазинов, которые имеют такие скидочные программы, это не только прямые потери от продаж по скидкам, но и репутационный ущерб – если реальный покупатель получит карту, которая уже была использована мошенником, то он не получит скидку и будет этим недоволен.
Следует отметить, что авторы скидочных программ редко заботятся об их безопасности. В частности, иногда используют десятизначные числа для карт скидок. При этом карты выпускаются миллионными тиражами, что для сети крупного ритейлера нормально. В результате премиальные номера располагаются слишком близко: в среднем на десять номеров – один скидочный. Понятно, что простой перебор номеров будет работать достаточно эффективно. Впрочем, есть и другая проблема – генерация чисел карт выполняется с помощью псевдослучайной последовательности. В такой ситуации злоумышленник по нескольким номерам может угадать вектор инициализации и подобрать всю псевдослучайную последовательность, т. е. сразу угадать миллион номеров карт. По словам, Ивана Новикова, такие случаи уже были.
Таким образом, при подготовке программы выпуска скидочных карт стоит предварительно провести ее экспертизу. Для этого нужно оценить сложность подбора номера карт. Желательно использовать не только цифры, но и буквы. Не использовать для генерации кодов псевдослучайные последовательности, а только хорошие генераторы случайных чисел. Кроме того, на сайте необходимо обеспечить защиту от роботов, например, с помощью технологии CAPTCHA. В противном случае скидочная кампания вместо привлечения новых клиентов может вызвать серьезные потери.
Компания Wallarm проводит консультации по правильной организации скидочных программ.