Comment DataDome a protégé un site de cashback contre une attaque agressive de Credential Stuffing

Dans cet article, nous détaillons une attaque agressive de credential stuffing qui a visé un site web de cashback. À la fin de l’attaque, qui a duré moins d’une journée, plus de 2,2 millions de requêtes malveillantes avaient été stoppées par la protection de DataDome.

Mesures cls

Pendant 15 heures au total – de 11h30 le 26 mai à 3h00 le 27 mai – le point de connexion d’un site web de cashback a été ciblé par une attaque de credential stuffing.

Vue d’ensemble de l’attaque de credential stuffing

Le graphique ci-dessous (image 1) représente le trafic de bots détecté pendant les 15 heures de l’attaque par notre moteur de détection. L’attaque est restée intense tout au long de sa durée, comme le montre un plateau de requêtes plutôt qu’une série de pics et de creux. Pendant la majeure partie de l’attaque, entre 65 000 et 75 000 requêtes étaient effectuées toutes les demi-heures.

Image 1 : Nombre de requêtes malveillantes de credential stuffing traitées par le moteur de détection de bots DataDome au fil du temps

Répartition de l’attaque

Pendant toute la durée de l’attaque, l’attaquant a utilisé plus de 16 600 adresses IP situées dans différents pays. L’image 2 représente le nombre d’adresses IP utilisées par l’attaquant (déduit de l’adresse IP) pour chacun des cinq principaux pays.

Image 2 : Nombre d’adresses IP utilisées pour les requêtes malveillantes dans les cinq principaux pays impliqués dans l’attaque

Indicateurs de compromission (IoCs) de l’attaque

L’attaque a été distribuée avec 16 600 adresses IP différentes, mais il y avait des points communs entre les requêtes :

• L’attaquant a utilisé un seul user-agent : Mozilla/5.0 (iPhone; CPU iPhone OS 14_4_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148.
• Chaque bot utilisait la même accept-language : en-US.
• L’attaquant a utilisé des adresses IP de data centers plutôt que des proxys résidentiels.
• L’attaquant n’a effectué de requêtes que sur une seule URL : login.
• Les bots n’ont inclus le cookie DataDome dans aucune requête.

Comment l’attaque a-t-elle été bloquée ?

Grâce à notre approche de détection multi-couches, l’attaque a été bloquée en utilisant différentes catégories indépendantes de signaux. Ainsi, si l’attaquant avait modifié une partie de son bot (par exemple, son empreinte digitale ou son comportement), il aurait probablement été détecté en utilisant d’autres signaux et approches.

Bien que cette attaque ait été agressive, elle était aussi relativement simple. Le principal signal de détection ici était l’incohérence des empreintes digitales côté serveur. L’attaque avait un hachage d’empreinte digitale unique côté serveur, où le contenu de l’en-tête accept-encoding était mal formé en raison de l’absence d’espaces entre chaque valeur.

Conclusion

Les attaques de credential stuffing causent une énorme surcharge sur vos ressources serveur et comportent le risque d’account takeover, ce qui peut avoir des impacts négatifs sur la réputation de la marque et l’expérience client. Ces attaques peuvent être menées par une seule adresse IP, mais de plus en plus d’attaquants utilisent des méthodes distribuées pour tenter de contourner la protection, avec des degrés de succès variés.

Le puissant moteur de détection multi-couches de DataDome,  basé sur l’apprentissage automatique, analyse autant de signaux que possible, des empreintes digitales à la réputation, pour détecter même les bots les plus sophistiqués. Notre nouvelle solution, Account Protect, se concentre spécifiquement sur l’identification et l’arrêt de la fraude aux comptes, qu’elle soit menée par des bots ou des humains. Suivre l’évolution des empreintes digitales des bots, telles que l’utilisation de proxys, est essentiel pour lutter contre les principales menaces d’aujourd’hui ; et DataDome peut le faire.

Pour mieux comprendre comment DataDome peut stopper les attaques de credential stuffing, réservez une démo dès aujourd’hui.