DataDome

8 différents types d’attaques de bots que chaque entreprise devrait connaître

Table des matières
Bot management
Kira Lempereur, Sr. Technical Writer
15 Feb, 2024
|
min

Il est impossible de compter le nombre de bots, scripts et algorithmes qui existent pour infiltrer votre entreprise et lui nuire. Ils sont tout simplement trop nombreux. Mais il est possible de les catégoriser, car presque toutes les menaces automatisées peuvent entrer dans l’une des huit catégories suivantes. Comprendre comment contrer chaque type d’attaque par bot vous protégera contre même les menaces automatisées les plus avancées.

Voici les huit types d’attaques par bots :

  1. Scraping
  2. Scalping
  3. Account takeover
  4. Création de faux comptes
  5. Fraude à la carte
  6. Attaques DDoS de couche 7
  7. Vulnerability scanning
  8. Fraude publicitaire

Scraping

Le scraping est la collecte automatisée de données depuis vos sites web, applications et API, effectuée principalement à des fins malveillantes telles que la sous-cotation de vos prix ou la republication de votre contenu pour un gain financier frauduleux. Le scraping est souvent réalisé par un grand nombre de bots via des proxys distribués.

Le scraping est le type d’attaque par bot le plus courant, et est de plus en plus utilisé comme une « menace passerelle » vers d’autres attaques plus dommageables comme le scalping. En fait, nos données clients montrent que le scraping et le scalping à eux seuls représentent 98% de toutes les attaques par bots.

Les outils courants utilisés pour la prévention contre le scraping incluent :

Les CAPTCHA traditionnels et les WAF sont insuffisants pour arrêter les attaques de scraping avancées d’aujourd’hui, qui utilisent des bots malveillants pour demander l’accès à vos sites web, applications et API depuis des IP distribuées et souvent résidentielles.

Scalping

Le scalping implique l’achat de biens à disponibilité limitée pour les revendre à un coût plus élevé, généralement en utilisant des bots qui peuvent compléter le processus de paiement beaucoup plus rapidement que n’importe quel humain – permettant ainsi aux fraudeurs de s’accaparer et de stocker autant de votre inventaire que possible. Le scalping en ligne est presque entièrement automatisé.

Des techniques anti-bot comme l’empreinte digitale de l’appareil/navigateur, la réputation IP et l’analyse comportementale peuvent aider à déterminer si un utilisateur est un humain ou un bot, afin que les bots puissent être bloqués sans interrompre l’expérience utilisateur humaine.

Les techniques de détection de bots les plus efficaces sont coûteuses à exécuter manuellement, épuisant à la fois l’argent et le temps des équipes d’entreprise qui tentent de gérer la détection en interne. Une solution efficace doit évoluer avec le paysage des menaces et utiliser les techniques anti-bot les plus à jour possibles.

Account takeover

L’Account takeover (ATO) se produit lorsque des acteurs malveillants utilisent des bots pour prendre le contrôle de comptes d’utilisateurs. Ces comptes sont ensuite généralement utilisés à des fins frauduleuses, telles que le vol de valeur stockée, le vol d’identité, le vol d’informations de carte de crédit et les transactions frauduleuses. Pour exécuter une attaque ATO réussie, les bots utilisent le credential stuffing pour tester d’innombrables combinaisons nom d’utilisateur-mot de passe afin de gagner l’accès aux comptes et données des utilisateurs.

Trop souvent, les attaques ATO passent inaperçues jusqu’à ce que les bots accumulent un grand nombre de tentatives de connexion échouées sur plusieurs comptes. Les entreprises découvrent souvent l’ATO trop tard, lorsque les dégâts se sont déjà intensifiés. En fait, IBM rapporte que les informations d’identification volées ou compromises sont la cause la plus fréquente des violations de données et qu’elles sont les plus longues à identifier – en moyenne 327 jours avant d’être découvertes par les entreprises et coûtant en moyenne 150 000 dollars de plus par rapport aux autres violations de données.

L’ATO peut être quelque peu atténué par l’authentification multi-facteurs (MFA). Mais la MFA n’arrête pas toujours une attaque ATO, car une large gamme de techniques peut la contourner, comme les attaques par interception de réseau, les API d’authentification détournées, les échanges de SIM et l’ingénierie sociale.

Création de faux comptes

La création de faux comptes se produit lorsque des fraudeurs utilisent des bots pour créer de faux comptes d’utilisateurs sur votre site web ou application pour une activité malveillante, telle que la diffusion de logiciels malveillants, influençant les avis sur les produits ou la distribution de fausses informations.

Fraude à la carte

La fraude à la carte, le carding et le card cracking englobent tout ce qui est lié à l’utilisation frauduleuse des données de cartes de paiement. Le carding et le card cracking utilisent des bots pour tester et deviner les valeurs manquantes des données de carte volées pour effectuer des achats frauduleux ou transférer/voler des fonds.

Les attaques de fraude à la carte peuvent être détectées en surveillant les volumes élevés de petites commandes, les commandes avec des coûts d’expédition élevés, la géolocalisation des adresses IP, la vitesse de saisie et de transaction des données, le système de vérification d’adresse (AVS) et la valeur de vérification de la carte (CVV). Essayer de surveiller tous les détails pertinents manuellement est très chronophage, il est donc préférable d’automatiser ce processus.

Attaques DDoS de couche 7

Les attaques DDoS de couche 7 (distributed denial of service) ciblent la couche d’application dans le modèle OSI, typiquement de manière « lente et basse », en utilisant un trafic HTTP ou TCP extrêmement lent qui semble légitime. Les attaques DDoS sont perpétrées par d’énormes botnets qui peuvent submerger la plupart des infrastructures web.

L’accès facile d’aujourd’hui aux bots as a service (BaaS) et aux outils d’apprentissage automatique rend les attaques DDoS plus courantes et leur permet de durer plus longtemps que les attaques précédentes. Elles peuvent être atténuées manuellement en augmentant la capacité du réseau (ce qui devient rapidement coûteux), en créant de nouvelles règles WAF, des filtres IP manuels et une analyse de réseau ad-hoc. Cependant, chaque option manuelle est trop lente. De plus, le filtrage basé sur l’IP (y compris les WAF) est inefficace contre les milliers d’adresses IP de proxy utilisées par les bots.

Vulnerability scanning

Les fraudeurs exploitent le vulnerability scanning malveillant pour trouver des faiblesses potentielles à travers vos applications mobiles, sites web et API qu’ils peuvent ensuite cibler et exploiter pour la fraude en ligne. Cette recherche de vulnérabilités peut être effectuée manuellement par des humains, mais est généralement automatisée et complètement réalisée par des programmes logiciels ou des bots.

Fraude publicitaire

La fraude publicitaire fait référence à la pratique délibérée d’interagir avec des publicités en ligne pour générer des revenus illégitimes ou gaspiller les budgets des annonceurs. Cette pratique est souvent réalisée en masse avec des bots qui imitent les interactions humaines pour tromper les systèmes de sécurité. La fraude publicitaire conduit les annonceurs à payer pour de fausses impressions, de faux clics ou de fausses conversions qui n’ont pas de valeur réelle ou de potentiel pour l’engagement des clients. Elle fausse également les données de la campagne, ce qui complique la tâche des spécialistes du marketing en ligne lorsqu’il s’agit de déterminer les performances réelles d’une publicité. Notre liste de contrôle complète aide les entreprises à identifier les signes de fraude publicitaire dans leurs campagnes de marketing afin qu’elles puissent prendre les mesures qui s’imposent.

La fraude publicitaire peut être atténuée en utilisant des outils de détection de fraude avancés (comme Ad Protect) qui peuvent analyser les modèles de trafic, détecter les anomalies et identifier les activités frauduleuses telles que des motifs de clic inhabituels ou des taux de conversion improbables. Il est également crucial d’auditer et d’analyser régulièrement vos données de campagne pour identifier et arrêter les activités frauduleuses comme la fraude publicitaire.

En conclusion

Les moyens traditionnels de vous protéger contre tous les types d’attaques par bots sont insuffisants. Un WAF repose trop sur le filtrage basé sur l’IP, un CAPTCHA est une nuisance pour les humains et largement inefficace contre les bots, et une solution de détection interne est souvent trop encombrante à mettre en œuvre et difficile à maintenir.

DataDome est une solution sophistiquée de lutte contre les bots et la fraude en ligne qui vous protégera contre les huit types d’attaques par bots. Elle s’intègre de manière transparente à votre pile technologique existante, ne prend pas beaucoup de temps à configurer et fonctionne en arrière-plan sans nécessiter d’intervention humaine. Réservez une démo en direct aujourd’hui pour voir comment cela fonctionne, ou essayez DataDome gratuitement dès aujourd’hui.

DataDome
Kira Lempereur
Sr. Technical Writer
Kira Lempereur est rédactrice technique senior chez DataDome et responsable du pôle LGBTQ+ de l'entreprise. Elle collabore avec les équipes chargées de la recherche sur les menaces, du marketing et des produits afin de créer du contenu visant à renforcer un leadership éclairé en matière de lutte contre les bots et la fraude en ligne. Kira possède plus de 6 ans d'expérience dans le secteur de la cybersécurité, allant des logiciels antivirus d'entreprise à la lutte contre les bots.

Articles liés