DataDome

5 attaques de bots les plus effrayantes bloquées par DataDome en 2022

Table des matières
Paige Tester, Director of Content Marketing
31 Oct, 2022
|
min

Aux premières loges pour observer toutes les nouvelles méthodes utilisées par les cybercriminels pour cibler les entreprises en ligne, nous avons observé des cyberattaques redoutables ! Vous trouverez ci-dessous les cinq attaques de bots les plus effrayantes que DataDome a contrées pour ses clients en 2022.

 

1. Un grand Mayday de 4 jours

Attaque par Credential Stuffing distribués

Qu’est-ce qui est plus effrayant qu’une attaque par Credential Stuffing distribués ? Une attaque non bloquée par Credential Stuffing distribués. Heureusement, notre client était bien protégé par DataDome.

Les attaques par Credential Stuffing mettent vos comptes d’utilisateurs en danger. Elles ciblent toutes sortes d’industries, allant des sites Web de commerce électronique à des jeux d’argent en passant par les services de streaming.

En mai 2022, une attaque par Credential Stuffing a visé un de nos clients – une plateforme de jeux – et a duré 4 jours. L’attaque a été distribuée sur plus de 91 millions d’IP. Chaque adresse IP a fait environ 1,18 tentative de connexion malveillante. Les politiques traditionnelles visant à limiter le débit n’auraient pas été déclenchées par la distribution des demandes, ce qui les aurait rendues inefficaces.

De plus, les adresses IP responsables de l’attaque de notre client étaient pour la plupart propres et n’avaient pas été impliquées dans d’autres activités malveillantes contre des clients la semaine précédente. Par conséquent, les moyens de défense courants tels que le blocage des adresses IP n’auraient pas permis d’arrêter l’attaque.

Au total, l’attaquant a initié 107 930 521 tentatives de connexion malveillantes !

Tentatives de connexion humaines par rapport aux tentatives de connexion de bots par heure, Graphique 1

La carte ci-dessous révèle le nombre de tentatives de connexion malveillantes par pays d’origine, montrant que cette attaque a été distribuée partout dans le monde. Le pirate disposait d’un nombre important d’IP propres situés dans des pays allant des États-Unis à la France en passant par la Chine.

Carte de bourrage d'identifiants, tentatives de connexion par pays

2. L’embuscade agressive d’avril

Attaque de 39 millions de DDoS sur un site Web classifié

En avril, une attaque DDoS a ciblé un site Web européen classifié, ainsi qu’une application mobile et impliquait plus de 39 millions de demandes de mauvais bots. Du vendredi au samedi, le site a subi une attaque DDoS active pendant environ 4 heures. L’attaque s’est produite en deux vagues :

  •  Première vague : vendredi soir, aux environs de 18 h et 0 h (CEST).
  •  Deuxième vague : samedi matin, aux environs de 10 h et 12 h.

Vue d'ensemble de 2 jours d'attaque DDoS

Des demandes provenaient de partout dans le monde, bien que la grande majorité provenait des États-Unis (24M), du Honduras (3,4 M), de l’Allemagne (2M) et du Canada (1,7 M). Les demandes provenaient de systèmes autonomes de mauvaise qualité, c’est-à-dire des systèmes autonomes de centres de données ou de systèmes fréquemment liés à des attaques. Le graphique ci-après montre le nombre de demandes par système autonome (AS) :

Demandes d'attaque DDoS par AS

3. Le Scalping sauvage de septembre

Attaque de scalping de 200 millions de demandes par jour sur un site Web de commerce électronique

En septembre 2022, nous avons observé un important flux continu de demandes provenant de proxys ISP (proxys hébergés dans des centres de données, mais enregistrés sous FAI) utilisés pour mener des attaques de scalping. Les bots surveillaient constamment la disponibilité de produits en édition limitée sur deux applications Web / mobiles – prêts à lancer des bots pour les acheter dès qu’ils sont disponibles.

Le graphique ci-dessous montre le trafic de scalping provenant de proxys ISP qui appartiennent à AT&T et à Time Warner Cable (TWC) en septembre. Il n’était pas rare de voir des pics de plus de 100 millions de demandes en 12 heures, ce qui représente plus de 200 millions de demandes de mauvais bots quotidiennes provenant de proxys ISP sur seulement deux clients de commerce électronique ciblés par des scalpers.

Demandes graphiques de Proxys ISP

4. Lutte contre la fraude effrayante de février

Attaque de scraping à grande échelle utilisant des bots comme service

Cette attaque s’est servi de BaaS (bots comme un service) et a duré environ 19 h, consistant d’environ 15,5 millions de demandes distribuées à partir de plus de 500 000 proxys résidentiels. En moyenne, l’attaque de scraping à grande échelle a généré environ 150 000 demandes toutes les 10 minutes sur les serveurs de notre client.

Graphique d'attaque BaaS

L’attaque a également été fortement distribuée sur des adresses IP provenant de différents pays :

Carte d'attaque BaaS

Le fait que la plupart des demandes provenaient d’Europe n’était pas surprenant, car l’attaque visait un site Web européen de premier plan. Le BaaS a choisi les IPs de manière automatique dans des pays réels pour éviter d’être bloqué facilement.

5. Le mois de juillet bouleversant

Attaque DDoS lancée à partir de proxys gratuits

En juillet, une attaque DDoS coordonnée a ciblé quatre sites Web / application, avec un pic de plus de 550 000 demandes de mauvais bots par minute. Les sites ciblés appartenaient à différentes catégories : e-commerce, réseau communautaire et social classifié, chacun représenté par une couleur unique dans le graphique ci-dessous.

Demandes de proxys gratuites par minute

Cette attaque a tiré parti de proxys principalement gratuits pour distribuer ses demandes.

Le trafic malveillant a semblé être lié au même pirate, même si les quatre clients ciblés ne partagent rien en commun. De plus, les demandes ciblaient des pages apparemment négligeables : pages d’accueil et de catégories.

D’un point de vue de l’empreinte digitale, les différents pics ne partagent pas beaucoup de caractéristiques communes, excepté leur caractère obsolète. Aucun des bots n’a exécuté de JavaScript (JS). En général, les bots fonctionnant à partir de proxys gratuits sont simples : aucune exécution JS, mauvaise prise en charge ou pas de cookie et empreintes digitales incohérentes ou obsolètes.

Les proxys gratuits, malgré leur qualité élevée (latence élevée, mauvaise réputation), peuvent causer des dommages importants à des sites et applications non protégés. Les pirates peuvent facilement trouver un certain nombre de proxys gratuits qui peuvent être utilisés à n’importe quel but, allant du DDoS au Credential Stuffing et au scanning de vulnérabilités.

Conclusion

Les attaques de bots peuvent apparaître sous différentes formes : Credential Stuffing, scalping, scraping, attaques DDoS et bien d’autres. Les pirates utilisent plusieurs techniques pour distribuer leurs attaques, notamment des proxys gratuits, des proxys ISP et des proxys résidentiels. De plus, les bots utilisés en tant que service rendent l’échelle d’attaques sophistiquées encore plus facile.

Ces types d’attaques se produisent chaque seconde sur Internet, sont dirigés par un nombre terrifiant de cybercriminels déterminés à exploiter des sites Web d’affaires, des applications et des API. Ne restez pas dans le noir, vous pouvez au moins découvrir quelles attaques vous ciblent grâce à notre essai gratuit. Nous serons heureux de neutraliser quelques mauvais bots avant qu’ils ne puissent vous atteindre.

DataDome
Paige Tester
Director of Content Marketing
Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.

Articles liés