DataDome

Comment Datadome a protégé une plateforme de billetterie contre une attaque de création de faux comptes distribuée

Table des matières
Account fraud Scalping
Antoine Vastel, VP of Research
28 Jun, 2024
|
min

Dans cet article, nous couvrons les détails d’une attaque de création de faux comptes qui a ciblé une plateforme bien connue de billetterie événementielle en Europe. À la fin de l’attaque, qui a duré moins d’une journée, plus de 147 millions de tentatives malveillantes de création de faux comptes avaient été arrêtées par la protection de DataDome.

Chiffres clés

Pendant 21 heures au total, du 11 avril à 21h au 12 avril à 18h, les pages de connexion et de création de compte d’une plateforme européenne de billetterie événementielle ont été ciblées par une attaque de création de faux comptes.

2 8 3 5 1
2
9 7 4 9 8
9
9 3 5 7 6
9
3 8 9 2
0 2 0 8 3
0
0 3 9 3 4
0
0 3 8 4 4
0
Adresses IP effectuant chacune 491 requêtes en moyenne
~ 7 9 3 4
~
1 9 4 4 4
1
1 3 4 2 1
1
6 3 6 1 8
6
6 3 9 7
6 8 2 9 4
6
6 1 6 4 8
6
6 6 0 7 8
6
requêtes malveillantes par minute
1 7 8 0 0
1
4 6 0 3 0
4
7 7 6 9 1
7
3 2 2 1
m 9 4 9 9
m
i 7 9 2 0
i
l 9 8 2 5
l
l 3 9 8 1
l
i 4 1 4 9
i
o 8 4 2 3
o
n 7 7 9 8
n
s 7 2 5 3
s
en tout chaque minute

Vue d’ensemble de l’attaque de création de faux comptes

Le graphique ci-dessous (Image 1) représente le trafic de bots détecté pendant l’attaque de 21 heures par notre moteur de détection. L’attaque a atteint un pic de près de 6 millions de requêtes toutes les 30 minutes après seulement trois heures.

Attack Timeline Graph

Image 1: nombre de requêtes malveillantes de création de faux comptes traitées par le moteur de détection de bots de DataDome au fil du temps pendant l’attaque.

Distribution de l’attaque

Au cours de l’attaque, l’attaquant a utilisé plus de 299 000 adresses IP situées sur différents systèmes autonomes (AS) dans différents pays. L’image 2 représente le nombre d’adresses IP utilisées par l’attaquant par pays, ainsi que le type d’AS, pour les cinq premiers pays.

IPs per country by autonomous system graph

Image 2: nombre d’adresses IP utilisées pour les requêtes malveillantes dans les cinq premiers pays impliqués dans l’attaque, séparées par type de proxy (FAI contre autres types, comme les proxys de centre de données).

Bien que la technologie sous-jacente soit probablement la même, l’attaquant a également varié le navigateur que les bots de ticket semblaient utiliser en modifiant l’agent utilisateur, avec Firefox comme navigateur principal et Chrome en deuxième position. L’image 3 représente le nombre de requêtes malveillantes par « navigateur internet » utilisé par l’attaquant.

Different Browsers Used in Attack Graph

Image 3: volume de requêtes malveillantes par « navigateur » impliqué dans l’attaque.

Indicateurs de compromission (IoC) de l’attaque

L’attaque était fortement distribuée avec plus de 299 000 adresses IP, et l’attaquant a utilisé près de 6 000 agents utilisateurs distincts basés sur différentes versions de navigateurs. Pourtant, il y avait quelques points communs entre les requêtes :

  • chaque bot utilisait le même accept-language : de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7 ;
  • les bots variaient le nombre de requêtes qu’ils effectuaient par adresse IP utilisée ;
  • les bots utilisaient des adresses IP résidentielles propres, dont environ la moitié étaient des proxys qui n’avaient pas encore été observés dans des attaques sur d’autres clients que DataDome protège ;
  • l’attaquant faisait des requêtes sur seulement trois URL : Page d’accueil, Connexion, et /account ;
  • les bots n’exécutaient JavaScript sur aucune requête.

Comment l’attaque a-t-elle été bloquée ?

Grâce à notre approche de détection multi-couches, l’attaque a été bloquée en utilisant différentes catégories indépendantes de signaux. Ainsi, si l’attaquant avait changé une partie de son bot (par exemple, empreinte ou comportement), il aurait probablement été détecté en utilisant d’autres signaux et approches.

Les principaux signaux et approches de détection ici étaient les suivants :

  • absence d’exécution de JavaScript : l’attaquant n’a jamais envoyé aucune des charges utiles JS, que ce soit depuis notre balise JS ou notre page de vérification de l’appareil ;
  • détection comportementale : notre moteur comportemental a détecté un volume anormal de requêtes sur des chemins précieux par adresse IP ;
  • incohérence de l’empreinte digitale côté serveur : l’attaque avait une empreinte digitale unique côté serveur qui présentait certaines incohérences.

Conclusion

En plus de l’épuisement des ressources du serveur causé par tant de requêtes, la création de faux comptes et d’autres types de fraude aux comptes peuvent causer des dommages massifs à l’expérience client, à la réputation de la marque et aux bénéfices. Ces attaques peuvent être effectuées par une ou deux adresses IP seulement, mais de plus en plus d’attaquants utilisent des méthodes hautement distribuées pour essayer de contourner la protection.

Le puissant moteur de détection ML multi-couches de DataDome examine autant de signaux que possible, des empreintes digitales à la réputation, pour détecter même les bots les plus sophistiqués. Suivre l’évolution des empreintes digitales des bots, comme l’utilisation de proxys, est essentiel pour lutter contre les principales menaces d’aujourd’hui, et DataDome peut le gérer.

Pour mieux comprendre comment DataDome peut arrêter les attaques de création de faux comptes, réservez une démo aujourd’hui.

DataDome
Antoine Vastel
VP of Research
Antoine Vastel est vice-président de la recherche chez DataDome, où il supervise le SOC et l'équipe de recherche sur les menaces. À ce titre, il se concentre sur l'amélioration du moteur de détection des bots en temps réel de DataDome à travers différentes approches, notamment la détection comportementale, l'empreinte digitale HTTP/navigateur, la détection des proxys/IP infectés et la détection des fermes à CAPTCHA. Antoine est titulaire d'un doctorat en informatique avec une spécialisation dans l'empreinte digitale des navigateurs.

Articles liés