Il report però non esamina soltanto il volume di traffico prodotto, ma anche l’origine degli attacchi di questi bot e l’ora del giorno in cui è più probabile che si verifichino gli attacchi. E questo è un aspetto importante. Ad esempio i ricercatori hanno scoperto che i cybercriminali che “lanciano” questi bot cattivi preferiscono nascondersi all’interno del normale flusso di traffico umano per evitare di far scattare l’allarme dei difensori. Banale, no? Ma questo significa anche che lo stereotipo comune di un hacker che attacca a notte fonda in una stanza buia davanti ai caratteri verdi su uno schermo nero è da abbandonare. Gli attaccanti impostano i loro bot per eseguire gli attacchi automatici nelle ore di ufficio e di notte probabilmente dormono.
Ce lo conferma Emanuele De Lucia, capo ricercatore di Cluster25: “I bot progettati per compiere operazioni malevole sono un grosso problema per tutte le realtà che possiedono una presenza online. Praticamente la totalità dei siti e delle applicazioni in rete sono attaccati da questo tipo di minaccia tutti i giorni. In accordo a nostri dati (gennaio-giugno 2021) in media il 19 % del traffico web di un portale e-commerce viene generato da bot malevoli”.
E infatti, tra gli esempi descritti nell’analisi di Barracuda i ricercatori raccontano di un bot dannoso che finge di essere uno scanner di vulnerabilità note (quindi un bot buono) ma in realtà esegue una ricognizione sistematica per individuare le vulnerabilità dei siti da attaccare. Un altro cerca di forzare con un attacco di forza bruta l’accesso a una pagina commerciale, un altro cerca di carpire le informazioni da un negozio di e-commerce business-to-business nel Regno Unito. Un altro ancora è relativo al bot che cerca di accedere il portale di login di una manifattura indiana producendo un traffico insolitamente elevato impersonando un dispositivo mobile durante la connessione a un hotspot.
I bot decidono i pezzi sul web
Ma per capire come i bot possono condizionare le scelte degli utenti, un buon esempio riguarda le tecniche di gestione dei prezzi sul web. Sappiamo tutti che le offerte commerciali sul web sono stabilite a partire dal rilevamento di una serie di informazioni su chi lo naviga e sui dispositivi che usa e che in base a queste informazioni due utenti diversi troveranno prezzi diversi per lo stesso prodotto, ma il prezzo può essere determinato dai bot che impersonano i potenziali acquirenti. Ecco, uno dei bot individuati da Barracuda lavorava per questo: effettuava il price scraping su un negozio di e-commerce con sede nell’Europa dell’Est. Lo scraping dei prezzi è uno strumento illegale di monitoraggio dei prezzi utilizzato per tenere traccia di altre informazioni preziose nell’e-commerce e nei viaggi. Il bot è capace quindi di estrarre informazioni dal catalogo web di ciascun competitor, inclusi i prezzi e tutte le altre modifiche che ruotano attorno alla vendita di un prodotto online e agisce esattamente allo stesso modo in cui farebbe un utente reale, navigando il web in modo naturale, pur essendo frutto di un algoritmo matematico ma permettendo l’elaborazione di una strategia di dynamic pricing dell’e-commerce. Che vuol dire? Vuol dire che grazie ai dati emersi dall’uso di questa tecnica di tracciamento dei prezzi, è possibile analizzare quando i prezzi della concorrenza salgono e scendono, e in quale misura, per modificare i propri e non perdere il margine di profitto al cambiare dei prezzi dei concorrenti.
I delinquenti che guidano i bot
Aggiunge De Lucia: “I portali e-commerce sono quelli effettivamente più colpiti dai bot in quanto possono suscitare l’interesse di diverse tipologie di operatori. Ci sono i “Resellers” operatori di bot che mirano ad acquistare prodotti ad alta richiesta e limitata disponibilità sui negozi online per poi rivenderli e guadagnare denaro; ci sono i “Concorrenti” che utilizzano bot al fine di effettuare azioni di concorrenza sleale su prezzi e contenuti della concorrenza; e poi ci sono i “Criminali” che li usano per automatizzare le pratiche di brute forcing delle credenziali di accesso di amministratori e clienti dei portali e-commerce col fine di accedere ad eventuali dati relativi alle modalità di pagamento per collezionarle e poi rivenderle o per utilizzarle direttamente in frodi o furti”.
In effetti i ricercatori di Barracuda hanno analizzato i modelli di traffico nei primi sei mesi del 2021 e hanno trovato che:
- I bot generano quasi i due terzi del traffico Internet, con i bot dannosi che rappresentano quasi il 40% di tutto il traffico.
- Le applicazioni di e-commerce e i portali di accesso sono gli obiettivi più comuni dei bot persistenti avanzati.
- Il Nord America rappresenta il 67% del traffico di bot dannosi e la maggior parte di esso proviene da data center pubblici.
- La maggior parte del traffico bot proviene dai due grandi cloud pubblici, AWS e Microsoft Azure, in misura più o meno uguale.
- Poco più del 22% del traffico di bot dannosi proviene dall’Europa; il traffico di bot dannosi europei proviene con ogni probabilità da servizi di hosting o IP residenziali.
“Mentre alcuni bot come i crawler dei motori di ricerca sono innocui, la nostra ricerca rivela che oltre il 60% dei bot è dedicato a svolgere attività dannose su larga scala – ha affermato Nitzan Miron di Barracuda – ecco perché è di fondamentale importanza rilevare e bloccare efficacemente il traffico dei bot”.
I suggerimenti per farvi fronte sono pochi e neanche troppo immaginifici: mettere in sicurezza le applicazioni, installare un firewall per applicazioni Web, investire nella protezione contro i bot con soluzioni avanzate e utilizzare il machine learning per rilevare e bloccare attacchi bot nascosti che sembrano (quasi) umani.
All’aumentare delle difese però queste soluzioni si fanno via via più sofisticate. “Ma bisogna stare attenti a programmarle nel modo giusto – ci dice Stefano Fratepietro di Tesla consulting – alla fine sul cloud a pagamento come quelli di Aws e Microsoft ci sono anche mini bot casalinghi che gestiscono situazioni di qualsiasi tipo, dal robottino che su Amazon fa il controllo ogni 15 minuti per avvisarti di acquistare un oggetto non appena torna disponibile, fino a quelli per l’IoT e la gestione domotica. Ad esempio se il meteo prevede brutto tempo, il robottino, opportunamente programmato, chiude in automatico tutte le finestre di casa, al posto tuo”. Utile, no?