Nel contributo che vi proponiamo qui di seguito, Jim Downey, Senior Product Marketing Manager di F5, elenca e analizza i tipi di attacchi bot che maggiormente colpiscono i retailer online durante le festività, tra cui scraping di contenuti, accumulo di scorte, rivendita/taglio dei prezzi, credential stuffing.
Buona lettura.
Le vacanze sono motivo di buon umore per i venditori retailer online. Il Black Friday e il Cyber Monday appena passati, così come gli acquisti natalizi, spesso rappresentano un’occasione per incrementare le vendite, magari dopo un anno di magra. Tuttavia, la concentrazione dei ricavi dell’e-commerce durante le festività può creare un notevole rischio: se qualcosa infatti va storto, tanto da condizionare le entrate durante queste settimane, c’è poco tempo per recuperarle. Nella gestione del rischio per le attività festive, c’è una potenziale minaccia che può essere ben considerata, quantificata e mitigata: il rischio dei bot.
I bot sono programmi software o script che eseguono compiti automatizzati e ripetitivi e sono onnipresenti sul web. Si stima che fino al 50% del traffico internet provenga da utenti non umani. Sebbene alcuni bot siano utili alle aziende, come i crawler di ricerca, i bot potenzialmente dannosi causano notevoli danni economici alle aziende di e-commerce, rallentando le prestazioni sul web e delle app, sottraendo merci, accaparrando scorte ed effettuando appropriazioni di account attraverso il cosiddetto “credential stuffing”, che comporta frodi e furti di identità.
Secondo il rapporto 2022 Holiday Season Cyber Threat Trends pubblicato dal Retail and Hospitality Information Sharing and Analysis Center (ISAC), “le vacanze sono il periodo dell’anno più intenso per i consumatori e per i professionisti della sicurezza informatica che devono affrontare minacce persistenti. Dall’inizio di ottobre alla fine di dicembre, le minacce informatiche alle organizzazioni si espandono sia in termini di scala che di intensità, in linea con l’aumento del traffico dei consumatori“.
Questo perché i cybercriminali che utilizzano i bot sono alla ricerca di denaro e, durante le festività, può accadere che prendano di mira il vostro sito di e-commerce e le applicazioni che presentano problemi di protezione.
Come i bot possono incidere sui vostri profitti durante le vacanze
Gli attacchi da parte dei bot possono assumere forme diverse e danneggiare le attività di vendita, le operazioni e le relazioni con i clienti in vari modi. Prevedere il meccanismo con cui i bot possono compromettere le applicazioni con sofisticati attacchi automatici e capire come mitigarli può aiutare un’azienda a raggiungere le stime di guadagno in vista delle festività. In particolare, i seguenti tipi di attacchi da parte dei bot sono pronti a compromettere la stagione dello shopping.
Scraping di contenuti
Lo scraping di contenuti prevede l’uso di bot automatizzati per raccogliere grandi quantità di dati da applicazioni profilate al fine di analizzarli, riutilizzarli o venderli altrove. Sebbene la raccolta di contenuti abbia usi legittimi (ad esempio, gli aggregatori di viaggi online effettuano lo scraping dei siti web delle compagnie aeree per raccogliere informazioni sulle tariffe aeree), lo scraping può essere utilizzato anche per scopi illegali, tra cui la manipolazione dei prezzi da parte dei concorrenti e il furto di contenuti protetti da copyright. Inoltre, volumi elevati di scraping possono avere un impatto sulle prestazioni del sito e causare malfunzionamenti, impedendo agli utenti legittimi di accedere al sito.
L’impatto dello scraping può essere particolarmente dannoso nei periodi di intensa attività commerciale, e quando un sito di e-commerce è già affollato di potenziali clienti. I concorrenti possono essere molto motivati a raccogliere dati aggiornati sui prezzi e il sovraccarico di traffico può far crollare o rallentare un sito, rendendolo poco responsive. Con lo shopping online, le performance sono fondamentali, dal momento che i concorrenti sono a portata di clic.
Accumulo di scorte
La gestione delle scorte di magazzino per le festività è difficile e i commercianti si trovano ad affrontare prove particolarmente ardue, soprattutto in questo momento di crisi della supply chain. I bot per l’accumulo delle scorte possono aumentare le sfide logistiche mettendo in attesa un gran numero di prodotti, rimuovendoli così dall’inventario e impedendo ai clienti reali di effettuare acquisti. L’accumulo di scorte e altre forme di manipolazione dei bot possono vanificare gli acquisti e minacciare la fedeltà dei clienti e la reputazione del brand, per non parlare dell’impatto sui ricavi, dal momento che i consumatori effettueranno i loro acquisti altrove.
Rivendita/taglio dei prezzi
I commercianti che propongono offerte a tempo limitato corrono il rischio che i bot dei venditori completino istantaneamente il processo di acquisto e di checkout online per acquistare prodotti all’ingrosso nel momento in cui vengono messi in vendita. Successivamente, rivendono questi articoli sui mercati secondari con un notevole ricarico. Sia i bot per gli acquisti che quelli per le scorte consentono ai malfattori di controllare le giacenze di magazzino e i livelli di prezzo, provocando una riduzione fittizia delle scorte e la frustrazione dei consumatori.
Credential stuffing
Il credential stuffing è un’altra tecnica guidata dai bot che può interferire con gli acquisti e i ricavi durante le vacanze. Sfruttando il fatto che molti utenti riutilizzano le password tra le varie app, gli autori degli attacchi testano un gran numero di credenziali compromesse sui form di login per impadronirsi degli account e commettere frodi. Le festività rappresentano un’ottima opportunità per i criminali di mettere in scena questi illeciti: gli aggressori approfittano dei pesanti carichi di lavoro dei team di cybersicurezza, sapendo che le organizzazioni impiegheranno più tempo per rilevare le frodi.
Anche quando i bot non riescono a impadronirsi degli account, spesso ne causano il blocco provando più volte password errate, costringendo i clienti a seguire la procedura di password dimenticata o a chiamare il servizio clienti. Quando un cliente ha il carrello pieno di regali per le vacanze, è un brutto momento per dirgli che il suo account è stato bloccato.
Non opponetevi ai bot generando attriti con i clienti
Sebbene sia fondamentale arginare i bot per raggiungere gli obiettivi di guadagno delle proprie vacanze, ci sono modi giusti e sbagliati di combatterli. Alcune difese anti-bot convenzionali, che apportano ulteriori problemi e difficoltà al processo di acquisto, possono essere altrettanto dannose per gli acquirenti quanto gli attacchi che si vogliono prevenire. Quando i clienti sono pronti ad acquistare, volete davvero tormentarli con irritanti CAPTCHA o costringerli a registrarsi per l’autenticazione a più fattori? Con i concorrenti a portata di clic, qualsiasi ostacolo può avere un impatto sui tassi di conversione.
Auguriamo al vostro staff di sicurezza di trascorrere una vacanza senza bot
Quando pensate ai bot e alle vacanze, tenete presente che i bot potenzialmente dannosi richiedono un impegno considerevole da parte dei team di sicurezza e dei team di assistenza clienti che si dedicano ai clienti infuriati che sono stati bloccati nel proprio account. I team di sicurezza informatica lavorano a lungo durante la stagione per cercare di bloccare i bot prima che possano danneggiare i vostri profitti e compromettere negativamente l’esperienza dei consumatori. Un’efficace riduzione dei bot può portare un po’ di sollievo ai collaboratori in prima linea.
Per saperne di più:
- How Bot and Fraud Mitigation Can Work Together to Reduce Risk(Joshua Goldfarb)
- Credential stuffing –How Online Accounts Get Taken Over by Cybercriminals(Frank Kyei-Manu)
- CAPTCHA Defeat – OWASP Automated Threats – CAPTCHA (OAT-009)(Kyle Roberts)