Un coursier prévient la fraude à l'expédition

Le Client : Top 5 des coursiers

L'un des 5 premiers transporteurs mondiaux (« fournisseur ») avec plus de 50 milliards de dollars de revenus annuels souhaitait protéger ses clients contre la prise de contrôle de compte et empêcher la création de comptes frauduleux.

Défi n°1 : Prise de contrôle de compte

Le fournisseur souhaitait protéger les connexions des clients sur ses applications Web et mobiles contre les attaques de credential stuffing » . Le « credential stuffing » est une attaque dans laquelle des criminels testent en masse des informations d’identification volées à des tiers sur des applications de connexion pour commettre une prise de contrôle de compte. Les attaquants obtiennent une grande liste d’identifiants volés et découvrent généralement qu’environ 0,1 à 2 % de la liste est valide sur un site cible, car les utilisateurs réutilisent les mots de passe.

Sur une période de huit mois, le fournisseur a connu trois vagues distinctes de pics d’automatisation à volume important, en plus d’un trafic automatisé soutenu. Dans certains cas, le trafic d'attaque dépassait les 100 000 POST en une seule journée, ce qui représentait une augmentation de 50 % par rapport au trafic légitime. Le fournisseur a également publié une mise à niveau majeure de l’API mobile native à l’automne 2017, qui a été fréquemment ciblée par les attaquants.

Les attaques ont coûté cher au fournisseur, qui a dû rembourser les fonds volés à ses clients ainsi que les éventuels frais de rétrofacturation liés aux transactions non autorisées effectuées à l'aide d'une carte de crédit liée au compte. Les attaques de credential stuffing elles-mêmes étaient coûteuses pour le fournisseur. Les clients inondaient le service d'assistance de plaintes concernant des packages manquants ou le blocage de leurs comptes (ce qui se produisait en raison de tentatives de connexion infructueuses de la part d'un attaquant).

Défi n°2 : Création de compte frauduleuse

Le fournisseur a également été confronté à deux stratagèmes différents basés sur la création de comptes frauduleux. Dans le premier système, les criminels ont créé de faux comptes par programmation en utilisant des adresses dans des codes postaux aisés, en répondant correctement aux questions d'authentification basées sur les connaissances à l'aide de données personnelles accessibles au public. Ils ont ensuite utilisé le service gratuit du fournisseur pour suivre les colis et recevoir des notifications lorsque les colis étaient expédiés. Cela permettait aux voleurs de suivre les colis et d’intercepter les expéditions, dont beaucoup contenaient des marchandises qu’ils pouvaient revendre.

Dans le deuxième cas, les attaquants ont créé de faux comptes et y ont associé des cartes de crédit volées. Ils ont ensuite fait la publicité de services tels que des frais d'expédition et de réexpédition de colis à prix réduit sur des marchés illégitimes, en utilisant de faux comptes pour acheter des étiquettes d'expédition. Si et quand la victime du vol de carte de crédit découvre la fraude, le transporteur devra lui rembourser les frais d'expédition ainsi que éventuellement payer des frais de rétrofacturation à l'émetteur de la carte de crédit.

La solution

Le fournisseur a d’abord tenté de créer sa propre solution pour répondre à ces défis. Il a utilisé une combinaison d'un pare-feu application Web, d'un équilibreur de charge et d'outils d'analyse pour tenter de résoudre le problème en corrélant les tickets d'assistance avec les plaintes des clients, puis en forçant une réinitialisation du mot de passe. Cette approche DIY n’a pas été efficace pour atténuer les attaques automatisées et la fraude a persisté.

Incapable de résoudre le problème par lui-même, le fournisseur s'est tourné vers F5 Distributed Cloud Bot Defense et a décidé de déployer la solution sur ses applications de connexion et de création de compte, à la fois sur le Web et sur mobile.

Le résultat

Un déploiement typique de Distributed Cloud Bot Defense se déroule en deux étapes : le mode d'observation et le mode d'atténuation. En mode observation, F5 analyse toutes les requêtes entrantes vers l' application afin de personnaliser sa défense et de signaler le trafic automatisé. En mode d’atténuation, F5 entreprend des actions programmatiques en fonction de la nature de l’automatisation et des besoins du fournisseur.

Mode d'observation

Dès que Distributed Cloud Bot Defense est passé en mode observation, le fournisseur a pu immédiatement voir et comprendre la nature complète de son trafic de connexion. Comme le montre la figure 1, le service a distingué le trafic humain légitime (vert) de l’automatisation indésirable (rouge) sur l’ application de connexion pendant le mode d’observation.

Distributed Cloud Bot Defense a également fourni au fournisseur des rapports avancés de renseignements sur les menaces, qui comprenaient des informations sur les sources de trafic automatisé. Par exemple, le service a identifié que la moitié de l’activité automatisée était bénigne, ce dont le fournisseur n’avait pas eu connaissance auparavant.

De plus, pendant le mode d'observation, Distributed Cloud Bot Defense a identifié trois campagnes automatisées distinctes, étiquetées 1, 2 et 3 dans le graphique. Ces groupes ont représenté près de la moitié des transactions automatisées durant toute la période d’observation. Si un groupe d'attaque tente de contourner Distributed Cloud Bot Defense en se réorganisant, par exemple en utilisant de nouveaux proxys via lesquels acheminer son trafic ou en imitant un autre type de navigateur, le service est toujours en mesure d'identifier le groupe d'attaque sur la base d'autres signaux.

F5 a également examiné chaque campagne au microscope. La figure 2 est une vue ciblée de la campagne n°2 mise à disposition du fournisseur. Cette campagne était une attaque de credential stuffing hautement distribuée lancée à partir de plus de 25 000 adresses IP. Les attaques ont représenté plus de 50 % de l’ensemble du trafic au cours de cette campagne qui a duré trois jours. La campagne était également remarquable dans la mesure où l’attaquant a tenté de naviguer dans un flux de travail au-delà du flux de connexion.

Mode d'atténuation

Après une période d'observation de près de six mois, le fournisseur a fait passer Distributed Cloud Bot Defense en mode d'atténuation. Le service a immédiatement bloqué les attaques de « credential stuffing » , empêchant ainsi des milliers de prises de contrôle de comptes. Le fournisseur a estimé qu'en protégeant ses applications de connexion et de création de compte client avec F5, il était en mesure d'économiser au moins 3,5 millions de dollars par an en pertes dues à la fraude.

* F5 définit une campagne comme un groupe de demandes automatisées provenant de la même source, identifiée par des centaines de signaux propriétaires.

Projets futurs

En raison du succès de Distributed Cloud Bot Defense dans la protection des connexions des consommateurs sur son site Web et son application mobile, le fournisseur étend son déploiement pour protéger les nouvelles inscriptions de compte pour les clients professionnels ainsi que d'autres applications professionnelles, notamment les services de connexion, d'expédition, de paiement et de suivi des entreprises.

Le fournisseur travaille également avec F5 pour permettre efficacement l’automatisation légitime (bénigne) des clients professionnels qui utilisent l’automatisation sur l’ application de connexion des consommateurs pour expédier efficacement leurs produits.