精选文章

机器人的崛起(Dan Woods 问答第 2 部分)

从传播谎言、操纵社交媒体用户到扰乱全球商业,机器人是一个越来越热门的话题。 

在我们与 F5 全球情报主管 Dan Woods 的问答第二部分中,我们探讨了机器人的作用、需要注意的风险以及组织如何适应不断演变的威胁。 (第一部分链接)    

什么是机器人?为什么它们具有潜在危险?

机器人是自动执行任务的代码片段。 检查礼品卡余额就是一个例子。

为什么有人会这样做? 其实,不法分子只需 16 位卡号和 PIN 码即可窃取礼品卡上存储的金额。 他们可以使用上述机器人的修改版本来检查数百万甚至数十亿个卡号-PIN 对的余额。 当他们找到带有余额的卡号-PIN 对时,他们可以将其出售给第三方。 礼品卡的真正主人直到尝试使用时才会意识到余额被盗。

机器人还被用来抓取保险公司的网站。 如果您想要人寿保险报价,您需要经过一个询问您的年龄、居住地、职业等流程。 竞争对手和第三方可以使用机器人来执行相同的工作流程,每次提供不同的答案。 这使得他们能够对保险公司的定价算法进行逆向工程。

最大的问题之一是恶意机器人会尝试从暗网或某些企业的入侵中获取泄露的用户名和密码,以攻击其他企业的登录应用。 由于消费者习惯重复使用用户名和密码,这些攻击通常会接管 0.1-3.0% 以上的账户。 因此,当恶意行为者尝试数亿个用户名/密码对时,他们最终会危及数千万个帐户。

其他破坏性的例子包括机器人在限时运动鞋或音乐会门票发售后 30 秒内购买大量限时运动鞋或音乐会门票,然后在二级市场上以高价转售。 或者,如果一家公司为开设在线账户提供一些有价值的东西,比如一杯免费的咖啡,那么机器人可以创建数千个账户来享受数千杯免费的咖啡。 或者犯罪组织需要大量的网上账户来进行洗钱活动。

所有的机器人都是坏的吗?

并非所有机器人都是坏的。 例如,Googlebot 抓取并索引数十亿个网站以实现搜索。 Kayak 和其他在线旅行社搜集了许多旅游公司的机票和酒店价格,为客户提供最优惠的价格。

机器人对社交媒体公司有何影响?

几年前,一家社交媒体公司与 F5 合作,以更好地了解针对其网络和移动应用的活跃机器人。 当我们在线部署客户端信号(帮助我们识别机器人的信号)时,我们确定超过 90% 的登录都与机器人有关。 根据较高的登录成功率以及与客户的讨论,这些账户与甜心骗局有关。 不幸的是,一些社交媒体公司对了解其机器人流量的真相不感兴趣,因为真相会对他们的 DAU 和股票价格/估值产生负面影响。

机器人如何影响舆论和操纵社交媒体用户?

想象一下,如果一个恶意行为者通过程序控制数百万个 Twitter、TikTok、Facebook 或 Instagram 账户,他们会产生多大的影响力? 首先,他们可以扩大大量新闻和内容来影响舆论。

在过去的六到七年里,每当我在上线之前看到一种激励措施、一种手段以及缺乏有意义的对策时,我总是会在上线后观察到我所期望的自动化。 我毫不怀疑,政治和国家行为者正在利用社交媒体平台来影响舆论甚至选举。

每个人都是容易受影响的。 有些人比其他人更多。 如果一个喜剧演员讲了一个笑话,你不笑,但其他人都笑了,你可能会开始相信这个笑话实际上很有趣。 这就是情景喜剧使用笑声的原因。 一个人越容易受到影响,就越有可能根据同龄人的压力改变自己的观点——即使这些同龄人实际上是机器人。

为什么公司低估了机器人问题?

许多机器人因欺诈而增加了损失。 但损害还不止于此——根据机器人的数量,它还可能增加与 CDN 或根据交易数量收费的欺诈工具相关的成本。 此外,它们会对延迟产生负面影响并破坏合法客户的用户体验。 扭曲的指标也可能对企业支出和决策产生负面影响。

大多数公司都想知道真相。 那些使用 F5 的人了解了真相,但那些尝试将检测机器人作为 DIY 项目的人几乎总是低估了问题的规模,原因如下。

首先,机器人现在使用数十万甚至数百万个 IP 地址。 安全团队通常可以识别出最嘈杂的几百或几千个 IP。 然而,他们错过了机器人仅使用过几次的长尾 IP。 其次,机器人攻击通常会随着时间的推移逐渐出现,这使得它们更难识别并且不会与有机增长混淆。 与 F5 合作后,组织常常发现结果令人震惊和难以置信,但当他们看到数据时,他们很快就会相信。

组织应该采取什么措施来减少其网站上的机器人问题?

两件事:它们必须收集客户端信号(来自用户、用户代理、设备和网络),并且必须有两个阶段的防御。

客户端信号的示例包括按键和鼠标点击/移动的时间、插件、字体、屏幕利用率、核心数量、用户代理如何执行浮点数学或呈现表情符号等等。

你不需要数百或数千个信号。 你只需要几十个很难被欺骗的高质量信号。 这些信号通常使用网页和移动浏览器中的 JavaScript 以及与原生应用一起安装的 SDK 来收集。当攻击者在网页上受到攻击时,他们会转向攻击移动 API。JavaScript 和 SDK 也必须经过充分强化,以使逆向工程变得极其困难。

现在让我们看一下防御的两个阶段。

第一阶段接近实时(低于 10 毫秒),并利用与单个交易相关的信号。 如果有信号表明这是一个不受欢迎的机器人,请采取缓解措施。 如果信号表明交易来自人类,则将其传递到原点进行正常处理。 虽然第一阶段可以识别几乎所有的机器人,但它无法跟上重组(当攻击者意识到他们的攻击正在被缓解时,因此决定改进他的机器人来克服对策)。

重组是组织需要第二阶段防御的原因。 第一阶段接近实时,而第二阶段则是回顾性的。 它是 AI/ML 模型对聚合交易(过去 30 秒、分钟、小时、天、几天等内发生的所有交易)进行操作的地方。 即便如此,组织也不能完全依赖 AI/ML 来寻找重组工具。 他们必须让人类审查人工智能/机器学习系统发出的警报,以消除误报。 并确保 AI/ML 模型正在正确学习。 当组织在第二阶段发现不需要的机器人流量时,他们还必须能够更新实时防御措施以缓解新发现的机器人流量,而不会影响合法客户的流量。

F5 以托管服务的形式提供防御的两个阶段,即 AI/ML 和人类。 战斗机器人永远不应该是一个 DIY 项目。

机器人威胁是否会变得更严重?

虽然无法量化,但机器人问题在过去六到七年里确实有所增加。 在此期间,我看到恶意和滋扰机器人对几乎所有垂直领域的公司发起自动化攻击。 正当我认为我已经看到了所有用例时,又出现了一个新的用例。 永远不要将注意力从球上移开!