Attaques par déni d’inventaire, inventory hoarding et shopping bots : comment les prévenir ?

Qu’est-ce qu’un déni d’inventaire et en quoi les shopping bots sont-ils impliqués ?

Le déni d’inventaire, ou “inventory hoarding”, est un type d’attaque de cybersécurité dans laquelle un script automatisé, ou « shopping bot », ajoute plusieurs fois un produit ou un service d’e-commerce dans le panier d’achat sans jamais terminer la transaction. Le site marchand pense ainsi que le produit ou le service est en rupture de stock, et les acheteurs légitimes voient que le produit ou le service n’est pas disponible.

Le déni d’inventaire est généralement effectué par des programmes automatisés spécialisés/shopping bots. Ceux-ci peuvent représenter une menace très importante pour les sites web de commerce électronique, car ils entraînent non seulement une perte directe de revenus, mais aussi des dommages à long terme, voire permanents, à la réputation de l’entreprise ciblée.

Vous trouverez dans ce guide tout ce qu’il faut savoir pour prévenir les attaques par déni d’inventaire et mettre fin aux activités des shopping bots.

Quel est le but d’une attaque par déni d’inventaire ?

On parle d’attaque par déni d’inventaire, ou d’attaque par inventory hoarding, lorsque les shopping bots sélectionnent et conservent dans le panier d’achat un article peu disponible.

Le stock limité étant conservé dans le panier du bot, les acheteurs légitimes ne peuvent plus l’acheter. L’attaquant peut ne pas avoir l’intention d’achever le processus de paiement, mais seulement d’empêcher les acheteurs légitimes d’acheter l’article. Plusieurs raisons peuvent motiver les attaques par déni d’inventaire, notamment :

• Faire des profits/du scalping : les fraudeurs peuvent utiliser des shopping bots pour acquérir et accumuler des articles de valeur très demandés et en stock limité. Ils peuvent ensuite les vendre à un prix plus élevé, ce qui constitue une occasion de gagner rapidement de l’argent. Par exemple, il est de plus en plus fréquent d’utiliser des shopping bots (également appelés sneaker bots) pour acquérir des baskets en édition limitée.
• Raisons concurrentielles : le shopping bot peut appartenir à vos concurrents ou à un professionnel engagé par vos concurrents. Dans ce cas, l’attaque par déni d’inventaire vise à ruiner votre réputation et/ou à inciter vos clients à se rendre sur le site web de votre concurrent (qui propose toujours le produit/service en question).
• DDoS : l’attaque par déni d’inventaire peut être lancée dans le cadre d’une attaque par déni de service (DoS) au niveau de la couche applicative pour rendre l’ensemble du site d’e-commerce inutilisable.

Comment se déroule le déni d’inventaire :

Nous devons comprendre comment se déroule l’attaque et ce dont le pirate a besoin pour la mener à bien si nous voulons réussir à prévenir et à nous défendre contre les attaques par déni d’inventaire.

En général, une attaque par déni d’inventaire nécessite quatre éléments principaux :

• Shopping Bots

L’attaquant peut créer son propre bot ou utiliser des outils de bot prêts à l’emploi pour des sites web spécifiques. Par exemple, EasyCop, NikeSlayer, SupremeBot, etc. Avec l’essor des sites d’e-commerce et des achats en ligne en général, il est désormais possible d’acheter sur le marché différents bots de shopping personnalisables pour attaquer un site web spécifique ou même un produit/service spécifique sur internet.

• Infrastructure

L’attaquant aura besoin d’une puissance de calcul suffisante pour permettre au shopping bot de faire son travail, et d’autres ressources comme des proxys, des adresses IP tournantes, un VPN, etc. Il faut une infrastructure pour s’assurer que le shopping bot fonctionne sans problème tout en évitant que les différentes solutions de détection et d’atténuation des bots ne détectent l’auteur de l’attaque.

• Payload

Pour les articles/produits dont la disponibilité est limitée, l’attaquant doit connaître la date et l’heure exactes du lancement du produit avant de pouvoir exécuter le shopping bot. Exécuter ces bots peut consommer beaucoup de ressources. Il doit donc savoir à quel moment les exécuter pour éviter de gaspiller des ressources coûteuses avant que les articles ne soient disponibles.

Généralement, un autre bot (spy bot ou recon bot) est déployé pour d’abord explorer et indexer le site e-commerce afin d’espionner les informations relatives à la sortie de l’article.

• Efficacité

Les attaquants auront besoin d’un système pour mener à bien l’opération en fonction de l’objectif. Si l’objectif de l’attaque est de scalper un produit, il leur faudra alors suffisamment de cartes de crédit pour effectuer les paiements et d’emplacements pour conserver les stocks. En revanche, si l’objectif de l’attaque est simplement de ruiner la réputation du site, ces mesures ne sont pas forcément nécessaires.

Comment détecter et prévenir les attaques par déni d’inventaire :

Comme nous pouvons le voir, le principal responsable d’une attaque par déni d’inventaire est le shopping bot. Si vous pouvez détecter sa présence et bloquer ses activités, vous pourrez également prévenir l’attaque par déni d’inventaire.

Cependant, détecter et atténuer efficacement des bots peut s’avérer plus facile à dire qu’à faire en raison de deux défis majeurs :

1. Nous ne pouvons pas simplement bloquer tout le trafic suspecté d’être des shopping bots, car il existe de bons bots susceptibles de profiter à notre site d’e-commerce. Par exemple, nous ne voulons pas empêcher accidentellement Googlebot d’explorer et d’indexer notre site, sinon nous ne serons pas classés sur Google.
2. Les nouveaux shopping bots sont de plus en plus sophistiqués et deviennent plus intelligents en se faisant passer pour des acheteurs humains légitimes. Ainsi, sans une solution de détection des bots appropriée, il peut être très difficile, voire carrément impossible, de détecter leur présence.

Lorsque nous élaborons une stratégie pour prévenir et gérer les attaques par déni d’inventaire, nous devons donc toujours prêter attention à ces deux défis. Vous trouverez ci-dessous quelques conseils efficaces pour relever ces défis :

1. Surveiller votre trafic pour détecter les Shopping Bots

Bien que ce ne soit pas une réponse universelle pour détecter les activités des shopping bots, on peut considérer que la surveillance et l’analyse de votre trafic sont des préalables importants aux autres mesures défensives.

Comme nous l’avons vu, les bots malveillants sont de plus en plus sophistiqués. Nous ne pouvons donc plus nous contenter de détecter les signatures/empreintes digitales et de bloquer les adresses IP pour lutter contre ces shopping bots. Nous devons plutôt rechercher les signes d’un comportement d’attaque sous-jacent.

Exploiter un shopping bot peut consommer beaucoup de ressources et, de nos jours, la concurrence entre les opérateurs de bots est très serrée. Même si vous ne pouvez pas bloquer complètement ces bots, vous pouvez donc les atténuer en modifiant leurs comportements pour les rendre inefficaces.

Nous pouvons détecter certaines anomalies comportementales communes aux shopping bots en surveillant votre trafic, notamment :

• Un pic soudain de requêtes ciblant certains produits (généralement des produits populaires) sans un nombre approprié de requêtes de navigation pour obtenir ces pages et/ou de requêtes vers d’autres produits. Les acheteurs normaux ont tendance à parcourir plusieurs produits différents. Cherchez donc les anomalies dans les modèles.
• La présence de recon/spy bots qui explorent votre site pour extraire des informations cachées sur les ventes et les dates de lancement. En général, ces bots recherchent des articles qui ne sont pas encore sortis et font des requêtes pour des pages qui n’existent pas encore.
• Les bots qui utilisent des services de proxy par rotation changent souvent l’adresse IP de l’utilisateur au cours d’une même session de shopping. Certains acheteurs légitimes peuvent toutefois utiliser ces services d’IP tournantes pour une raison ou une autre, alors cherchez également d’autres signes.

Lorsque vous détectez un ou plusieurs de ces comportements (et d’autres, en fonction de votre site et de ce que vous vendez), agissez en conséquence, et gérez ce trafic.

Cherchez également des signes génériques d’activités de shopping bots, notamment :

• Les pics de trafic : si le trafic augmente de façon anormale pendant près d’une semaine, cela peut être le signe de l’activité d’un bot. Par exemple, s’il y a un pic soudain de trafic alors qu’il n’y a pas de lancement de produit ou de vente, alors cela peut être le signe que des recon bots sont à l’œuvre.

• Les sources de trafic : un trafic « sain » et légitime peut provenir de divers canaux en fonction de vos activités de marketing (recherche organique, clics à partir d’une annonce, etc.). S’il y a beaucoup de trafic direct en provenance de nouveaux utilisateurs et de nouvelles sessions, il s’agit probablement d’un trafic de bots. Bien que cela soit assez rare de nos jours, les signes les plus évidents d’une attaque de bot sont les visites provenant d’une seule adresse IP.

• Les performances du site : un ralentissement important des performances de votre site peut être un signe de stress dû à un trafic de bots.

• Le taux de rebond : comme pour le trafic, un pic anormal du taux de rebond peut être le signe d’activités de bots. Les Reckon bots, par exemple, peuvent rechercher des informations sur un produit, puis quitter votre site sans visiter d’autres pages.

2. Mettre en œuvre une solution de détection et d’atténuation des attaques de shopping bots

Le moyen le plus efficace de prévenir les attaques par déni d’inventaire est de limiter les activités du shopping bot. Il est donc indispensable d’investir dans la bonne solution d’atténuation des bots.

Les logiciels d’atténuation des bots peuvent utiliser trois approches différentes pour détecter et gérer les activités des bots :

• Basée sur la signature/l’empreinte digitale : la solution de gestion des bots compare les signatures détectées sur une source de trafic avec une « empreinte digitale » connue, comme le type d’OS, la version/le type de navigateur, les appareils utilisés, l’adresse IP, etc.

• Basée sur un test : nous utilisons des tests comme le CAPTCHA pour mettre l’« utilisateur » au défi. S’il s’agit d’un utilisateur humain légitime, le défi devrait être assez facile à résoudre, mais un programme/bot automatisé le trouvera difficile, voire impossible.

• Basée sur le comportement : la solution de gestion des bots analyse le comportement du trafic en temps réel, par exemple en analysant les mouvements de la souris/les clics de l’utilisateur, si l’utilisateur suit un modèle ressemblant à des activités de bots, etc.

Les shopping bots étant aujourd’hui très sophistiqués, il est recommandé d’opter pour une solution de gestion des bots capable d’effectuer une détection basée sur le comportement. DataDome, par exemple, est une solution abordable de gestion des bots qui utilise des technologies d’IA et d’apprentissage automatique pour analyser le comportement du trafic, et qui peut atténuer les activités des bots malveillants en temps réel.

3. Bloquer les opérateurs de shopping bots connus

Bien que les opérateurs de bots plus sophistiqués utilisent des adresses IP tournantes et d’autres moyens pour masquer leur identité, nous pouvons empêcher les shopping bots moins sophistiqués d’accéder à nos ressources en bloquant les adresses IP/domaines connus des opérateurs de bots.

Vous devriez utiliser un CAPTCHA pour le centre de données Amazon.com, et bloquer, entre autres, Digital Ocean, GigeNet et Choopa, LLC, des centres de données connus pour héberger et fournir des services de proxy couramment utilisés dans les attaques de bots.

Vous pouvez également bloquer les navigateurs obsolètes (plus de trois ans) et utiliser un CAPTCHA pour les navigateurs relativement anciens (+- 2 ans) qui veulent accéder à votre boutique.

Conclusion

Le déni d’inventaire est une menace de cybersécurité très courante sur les sites web d’e-commerce, où les shopping bots automatisés sont programmés pour ajouter des articles au panier d’achat du bot afin de les rendre indisponibles.

Si le déni d’inventaire constitue une menace sérieuse pour les sites d’e-commerce, nous pouvons prévenir efficacement ces attaques en détectant et en gérant les activités des shopping bots. Il est important d’avoir une solution de détection et d’atténuation des bots capable de détecter les activités des bots et de bloquer le trafic malveillant en temps réel.