Мошенники начали использовать тонкие настройки поведения ботов, что делает их совсем неотличимыми от людей. Об этом «Известиям» рассказали в «Лаборатории Касперского». Если раньше компьютерным программам предписывалось следовать из пункта А в пункт В, то усовершенствованные боты отклоняются от прямой линии, трясут мышкой и показывают свойственную людям скорость передвижения курсора. С их помощью можно массово скупать билеты на спортивные турниры или обогащаться за счет программ лояльности интернет-магазинов. С появлением очеловеченных ботов специалисты вынуждены искать новые способы защиты от мошеннических схем с их участием.
Простые боты, которые раньше использовались злоумышленниками для различных мошеннических схем и легко ловились программами для обеспечения кибербезопасности, стали по своему цифровому поведению абсолютно неотличимыми от людей.
— Боты, которых мы наблюдали пять лет назад, когда только появилась пассивная биометрия (автоматизированное наблюдение за тем, как конкретный человек использует свой гаджет. — «Известия»), намного примитивнее нынешних, — рассказал «Известиям» руководитель направления Kaspersky Fraud Prevention Максим Федюшкин. — Раньше они просто перемещались из точки А в точку В. Теперь же появилось множество настроек — например, характеристика силы притяжения курсора. Указывается не только скорость перемещения, но и степень отклонения от прямой, а также замедление движения в некоторых точках.
Таким образом, у злоумышленников появилась возможность тонкой настройки поведения ботов, которые, как известно, могут применяться как для помощи пользователям, так и им во вред.
Активное использование систем пассивной биометрии началось примерно пять лет назад. С тех пор многие компании собирают персонализированные профили пользователей, для того чтобы предлагать им товары и услуги.
— При этом разработчики предпочитают не афишировать сбор поведенческой биометрии, — объясняет ведущий аналитик «СёрчИнформ» Алексей Парфентьев. — Если сам факт и указывается, то он спрятан в сухой и абстрактный текст пользовательского соглашения и объяснен желанием «улучшить работу сервиса».
В частности, вот как выглядит выдержка из условий использования сервисов Google:
«Наши системы автоматически анализируют ваш контент (в том числе электронные письма), чтобы предоставлять информацию, полезную вам… Помимо прочего, мы собираем уникальные идентификаторы, а также такие данные, как тип и настройки браузера и устройства, операционная система, мобильная сеть (включая название оператора и номер телефона) и номер версии приложения. Нами также регистрируется информация о взаимодействии ваших приложений, браузеров и устройств с нашими сервисами, в том числе IP-адрес, отчеты о сбоях, сведения о действиях в системе, дата и время, когда вы посетили наш ресурс, и URL, с которого вы на него перешли (URL перехода)».
Под обтекаемым словосочетанием «уникальные идентификаторы», в частности, предполагается даже то, как пользователь держит свой смартфон (угол наклона), передвигается из точки в точку, с какой скоростью нажимает на кнопки телефона или клавиатуры, если речь идет о компьютерах. Информация снимается со встроенного в телефон гироскопа, акселерометра, а также тачпада на экране.
Эт данные могут послужить основой для создания личного профиля пользователя. Согласно уже созданному профилю, можно определить, кто именно пользуется девайсом, — поэтому отпадает необходимость все время проверять пользователя. Не нужно запрашивать код из SMS, почту или пароль. Многие компании в настоящее время пытаются разработать такую систему аутентификации.
Кроме того, многие компании пытаются на основе данных пассивной биометрии тестировать свои приложения и гаджеты, для того чтобы предсказать покупательский спрос.
— Эти технологии уже начали использоваться, — отметил руководитель направления исследований и разработки экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Гончаров. — Например, в T-Mobile создали специализированного робота, который может моделировать поведение потенциальных покупателей гаджетов, и используют его для тестирования приложений и функций мобильных устройств таким образом, чтобы предлагать своим клиентам то, чем они будут пользоваться чаще и с большим удовольствием. Схожей технологией, к примеру, воспользовались и разработчики так называемого роботизированного пальца, эмулирующего поведение человека. Наличие технологий как таковых создает и возможность создания ботов, а также применения их злоумышленниками.
И мошенники уже начали использовать эту возможность. Если раньше специалисты по информационной безопасности легко идентифицировали ботов по мгновенному перемещению и оптимальной траектории, то усовершенствованные программы учитывают и тряску рук, и «пляшущий» угол наклона телефона, и замедления в некоторых сегментах экрана компьютера.
С помощью такого очеловеченного бота можно скупить билеты на олимпиады и чемпионаты мира по футболу для последующей перепродажи, заполучить и израсходовать чужие мили для бесплатных путешествий авиатранспортом, а чаще — просто обогатиться за счет программ лояльности разных интернет-магазинов.
Если такая программа предполагает начисление 1 тыс. баллов за то, что пользователь интернет-магазина приводит друга, то миллион ботов могут превратить эту программу лояльности в успешное средство для обогащения.
Однако такие продвинутые боты — пока еще не очень распространенное явление, считает руководитель направления по развитию продуктов Secure Bank/Secure Portal Group-IB Павел Крылов.
— Чтобы бот мог прикинуться конкретным человеком, ему нужно собирать эти многочисленные параметры и строить такие же индивидуальные профили — как ведет себя конкретный пользователь. Это пока еще не очень распространено. И всё же мы считаем, что современная парадигма защиты должна строиться не только на проактивном выявлении мошенничества, но и на глубоком анализе поведенческих параметров пользователя, сценариев и каналов взаимодействия с ресурсом.
Специалисты предлагают свой алгоритм защиты от очеловеченных ботов.
— Представить себе, что кто-то из злоумышленников будет синтетически создавать миллионы уникальных программ, — невозможно, — пояснил Максим Федюшкин. — Злоумышленник может создать сто таких устройств, но все-таки не миллионы. Поэтому мы сейчас смотрим на характер поведения не только отдельного бота, но и массы пользователей.
Однако оптимальная защита, как считают все опрошенные эксперты, должна строиться на отслеживании и других показателей, в частности: уникальности устройства, IP-адреса и навигации.
Анна Урманцева