Transportista evita el fraude en los envíos
El cliente: Los 5 mejores mensajeros
Uno de los cinco principales proveedores de mensajería mundiales, con más de 50 mil millones de dólares en ingresos anuales, quería proteger a sus clientes de la apropiación de cuentas y evitar la creación fraudulenta de cuentas.
Desafío #1: Apropiación de cuentas
El proveedor quería proteger los inicios de sesión de los clientes en sus aplicações web y móviles contra ataques de credential stuffing . El credential stuffing es un ataque en el que los delincuentes prueban credenciales robadas de terceros en masa en aplicações de inicio de sesión para cometer el robo de cuentas. Los atacantes obtienen una lista grande de credenciales robadas y generalmente descubren que entre el 0,1% y el 2% de la lista es válida en un sitio objetivo porque los usuarios reutilizan las contraseñas.
Durante un período de ocho meses, el proveedor experimentó tres olas separadas de picos de automatización de gran volumen, además de tráfico automatizado sostenido. En algunos casos, el tráfico de ataque superó los 100 000 POST en un solo día, lo que representó un aumento del 50 % con respecto al tráfico legítimo. El proveedor también lanzó una importante actualización de API móvil nativa en el otoño de 2017, que fue atacada frecuentemente por atacantes.
Los ataques fueron costosos para el proveedor, que tuvo que reembolsar los fondos robados a sus clientes, así como cualquier cargo por devolución de cargos causados por transacciones no autorizadas realizadas con una tarjeta de crédito vinculada a la cuenta. Incluso los propios ataques de credential stuffing resultaron costosos para el proveedor. Los clientes inundaban el servicio de asistencia con quejas sobre paquetes faltantes o cuentas bloqueadas (lo que ocurría debido a excesivos intentos fallidos de inicio de sesión por parte de un atacante).
Desafío #2: Creación fraudulenta de cuentas
El proveedor también enfrentó un desafío con dos esquemas diferentes basados en la creación fraudulenta de cuentas. En el primer esquema, los delincuentes crearon programáticamente cuentas falsas usando direcciones de códigos postales ricos y respondiendo correctamente las preguntas de autenticación basadas en conocimiento utilizando datos personales disponibles públicamente. Luego utilizaron el servicio gratuito del proveedor para rastrear paquetes y recibir notificaciones cuando se enviaban. Esto permitió a los ladrones rastrear paquetes e interceptar envíos, muchos de los cuales incluían bienes que podían revender.
En el segundo esquema, los atacantes crearon cuentas falsas y les adjuntaron tarjetas de crédito robadas. Luego anunciaron servicios como envíos con descuento y reenvío de paquetes en mercados ilegítimos, utilizando cuentas falsas para comprar etiquetas de envío. Si la víctima del robo de tarjeta de crédito descubriera el fraude, el mensajero tendría que reembolsarle el costo del envío y posiblemente pagar tarifas de devolución de cargo al emisor de la tarjeta de crédito.
La solución
El proveedor primero intentó construir su propia solución para abordar estos desafíos. Se utilizó una combinación de un firewall de aplicação web, un equilibrador de carga y herramientas de análisis para intentar resolver el problema correlacionando los tickets de la mesa de ayuda con las quejas de los clientes y luego forzando el restablecimiento de la contraseña. Este enfoque de "hágalo usted mismo" no fue eficaz para mitigar los ataques automatizados y el fraude persistió.
Al no poder resolver el problema por sí solo, el proveedor recurrió a F5 Distributed Cloud Bot Defense y decidió implementar la solución en sus aplicações de inicio de sesión y creación de cuentas tanto en la web como en dispositivos móviles.
EL RESULTADO
Una implementación típica de Distributed Cloud Bot Defense tiene dos etapas: modo de observación y modo de mitigación. En el modo de observación, F5 analiza todas las solicitudes entrantes a la aplicação para personalizar su defensa y marcar el tráfico automatizado. En el modo de mitigación, F5 toma medidas programáticas según la naturaleza de la automatización y las necesidades del proveedor.
Modo de observación
Tan pronto como Distributed Cloud Bot Defense pasó al modo de observación, el proveedor pudo ver y comprender de inmediato la naturaleza completa de su tráfico de inicio de sesión. Como se muestra en la Figura 1, el servicio distinguió el tráfico humano legítimo (verde) de la automatización no deseada (rojo) en la aplicação de inicio de sesión durante el modo de observación.
Distributed Cloud Bot Defense también entregó al proveedor informes avanzados de inteligencia sobre amenazas que incluían información sobre las fuentes del tráfico automatizado. Por ejemplo, el servicio identificó que la mitad de la actividad automatizada era benigna, algo de lo que el proveedor no había sido consciente previamente.
Además, durante el modo de observación, Distributed Cloud Bot Defense identificó tres campañas automatizadas independientes, que están etiquetadas como 1, 2 y 3 en el gráfico. Estos grupos representaron casi la mitad de las transacciones automatizadas durante todo el período de observación. Si un grupo de ataque intenta eludir Distributed Cloud Bot Defense mediante una reestructuración, por ejemplo, utilizando nuevos servidores proxy a través de los cuales enrutar su tráfico o imitando un tipo diferente de navegador, el servicio aún puede identificar al grupo de ataque basándose en otras señales.
F5 también examinó cada campaña bajo el microscopio. La figura 2 es una vista enfocada de la campaña n.° 2 puesta a disposición del proveedor. Esta campaña fue un ataque de credential stuffing altamente distribuido lanzado desde más de 25.000 direcciones IP. Los ataques representaron más del 50% de todo el tráfico durante la campaña que duró tres días. La campaña también fue notable porque el atacante intentó navegar por un flujo de trabajo más allá del flujo de inicio de sesión.
Modo de mitigación
Después de un período de observación de casi seis meses, el proveedor pasó Distributed Cloud Bot Defense al modo de mitigación. El servicio bloqueó inmediatamente los ataques de credential stuffing , evitando así miles de robos de cuentas. El proveedor estimó que con F5 protegiendo sus aplicações de inicio de sesión y creación de cuentas de consumidores, podría ahorrar al menos $3,5 millones por año en pérdidas por fraude.
* F5 define una campaña como un grupo de solicitudes automatizadas que provienen de la misma fuente, identificada por cientos de señales propietarias.
Planes futuros
Debido al éxito de Distributed Cloud Bot Defense en la protección de los inicios de sesión de los consumidores en su sitio web y aplicación móvil, el proveedor está ampliando la implementación para proteger los registros de nuevas cuentas para clientes comerciales, así como otras aplicações comerciales, incluidos los servicios de inicio de sesión comercial, envío, pago y seguimiento.
El proveedor también está trabajando con F5 para permitir de manera eficiente la automatización legítima (benigna) de los clientes comerciales que utilizan la automatización en la aplicação de inicio de sesión del consumidor para enviar de manera eficiente sus productos.
- Eficacia a largo plazo para bloquear atacantes sofisticados y capacidad para identificar actividad maliciosa que conduce al fraude.
- Protección omnicanal que incluye puntos finales web, móviles y API.
- Servicio totalmente administrado que se convirtió en una extensión del equipo de seguridad del proveedor y se centró en ofrecer el resultado deseado: detener toda automatización no deseada.