택배, 배송 사기 방지

고객: 상위 5개 택배

연간 수익이 500억 달러를 넘는 상위 5대 글로벌 택배 회사('공급업체')는 고객을 계정 인수로부터 보호하고 사기성 계정 생성을 방지하고자 했습니다.

도전 #1: 계정 인수

서비스 제공업체는 고객 웹 및 모바일 애플리케이션 로그인을 신임장 정보 유출 공격으로부터 보호하고자 했습니다. 크리덴셜 스터핑은 범죄자가 제3자로부터 훔친 자격 증명을 대량으로 로그인 애플리케이션에 테스트하여 계정을 인수하는 공격입니다. 공격자는 도난한 자격 증명의 방대한 목록을 획득하고, 사용자가 비밀번호를 재사용하기 때문에 목록의 약 0.1%~2%만이 대상 사이트에서 유효한 것으로 밝혀냅니다.

8개월 동안 공급업체는 지속적인 자동화 트래픽 외에도 대량 자동화 급증을 세 차례나 경험했습니다. 어떤 경우에는 공격 트래픽이 단 하루에 10만 POST를 넘었는데, 이는 정상적인 트래픽보다 50%나 급증한 수치입니다. 해당 공급업체는 2017년 가을에 주요 네이티브 모바일 API 업그레이드를 출시했는데, 이는 공격자의 공격을 자주 받았습니다.

이러한 공격으로 서비스 제공자는 막대한 비용을 지출해야 했고, 고객에게서 도난당한 금액과 계좌에 연결된 신용카드를 사용하여 이루어진 승인되지 않은 거래로 인한 환불 수수료를 변제해야 했습니다. 신임장 정보 유출 공격 자체도 공급업체에 큰 손실을 입혔습니다. 고객들은 패키지가 분실되었거나 공격자가 과도하게 로그인을 시도하여 계정이 잠겼다는 불만을 헬프 데스크에 쏟아부었습니다.

도전 #2: 사기 계정 생성

해당 서비스 제공자는 사기성 계정 생성을 기반으로 하는 두 가지 방식으로 인해 문제에 직면했습니다. 첫 번째 계획에서 범죄자들은 부유한 우편번호 지역의 주소를 사용해 가짜 계정을 프로그래밍 방식으로 만들고, 공개적으로 이용 가능한 개인 데이터를 사용하여 지식 기반 인증 질문에 올바르게 답했습니다. 그런 다음 그들은 공급업체의 무료 서비스를 이용해 패키지를 추적하고 패키지가 배송될 때 알림을 받았습니다. 이를 통해 도둑들은 패키지를 추적하고 배송물을 가로챌 수 있었는데, 그중 많은 배송물에는 재판매할 수 있는 상품도 포함되어 있었습니다.

두 번째 계획에서는 공격자가 가짜 계좌를 만들고 훔친 신용카드를 여기에 첨부했습니다. 그런 다음 그들은 불법적인 시장에서 할인 배송 및 패키지 전달과 같은 서비스를 광고했고, 가짜 계정을 사용하여 배송 라벨을 구매했습니다. 신용카드 도난 피해자가 사기 사실을 발견하면 운송업체는 배송 비용을 환불해야 할 뿐만 아니라 신용카드 발급사에 환불 수수료도 지불해야 할 수 있습니다.

해결책

공급업체는 이러한 과제를 해결하기 위해 먼저 자체 솔루션을 구축하려고 시도했습니다. 웹 애플리케이션 방화벽, 로드 밸런서, 분석 도구를 함께 사용하여 헬프 데스크 티켓과 고객 불만 사항을 연관시킨 다음 비밀번호 재설정을 강제로 실행하여 문제를 해결하려고 했습니다. 이러한 DIY 접근 방식은 자동화된 공격을 완화하는 데 효과적이지 않았고 사기는 계속 발생했습니다.

자체적으로 문제를 해결할 수 없자 공급업체는 F5 Distributed Cloud Bot Defense에 관심을 갖고 웹과 모바일 모두에서 로그인 및 계정 생성 애플리케이션에 솔루션을 구축하기로 결정했습니다.

결과

일반적인 분산 클라우드 봇 방어 배포에는 관찰 모드와 완화 모드의 두 단계가 있습니다. 관찰 모드에서 F5는 애플리케이션에 들어오는 모든 요청을 분석하여 방어를 맞춤화하고 자동화된 트래픽에 플래그를 지정합니다. 완화 모드에서 F5는 자동화의 특성과 공급업체의 요구 사항에 따라 프로그래밍 방식의 조치를 취합니다.

관찰 모드

Distributed Cloud Bot Defense가 관찰 모드로 전환되자마자 공급업체는 로그인 트래픽의 전체적인 특성을 즉시 보고 이해할 수 있었습니다. 그림 1에서 볼 수 있듯이, 이 서비스는 관찰 모드에서 로그인 애플리케이션에서 합법적인 인적 트래픽(녹색)과 원치 않는 자동화(빨간색)를 구분했습니다.

Distributed Cloud Bot Defense는 또한 자동화된 트래픽 출처에 대한 통찰력을 포함하여 공급업체에 고급 위협 인텔리전스 보고를 제공했습니다. 예를 들어, 이 서비스는 자동화된 활동의 절반이 무해한 것으로 파악했는데, 이는 서비스 제공자가 이전에 알지 못했던 사항이었습니다.

또한 관찰 모드에서 Distributed Cloud Bot Defense는 차트에 1, 2, 3으로 표시된 세 개의 별도 자동화된 캠페인을 식별했습니다. 이러한 그룹은 전체 관찰 기간 동안 자동 거래의 거의 절반을 차지했습니다. 공격 그룹이 트래픽을 라우팅하는 데 새로운 프록시를 활용하거나 다른 유형의 브라우저를 모방하는 등의 방법으로 Distributed Cloud Bot Defense를 우회하려고 시도하는 경우 해당 서비스는 다른 신호를 기반으로 공격 그룹을 식별할 수 있습니다.

F5는 또한 각 캠페인을 면밀히 살펴보았습니다. 그림 2는 제공자에게 제공된 캠페인 #2에 대한 집중적인 보기입니다. 이 캠페인은 25,000개가 넘는 IP 주소에서 시작된 고도로 분산된 자격 증명 채우기 공격이었습니다. 이러한 공격은 3일간의 캠페인 기간 동안 전체 트래픽의 50% 이상을 차지했습니다. 이 캠페인은 공격자가 로그인 흐름을 넘어선 워크플로를 탐색하려고 시도했다는 점에서도 주목할 만합니다.

완화 모드

거의 6개월의 관찰 기간 후, 공급업체는 Distributed Cloud Bot Defense를 완화 모드로 전환했습니다. 이 서비스는 신임장 정보 유출 공격을 즉시 차단하여 수천 건의 계정 인수를 막았습니다. 공급업체는 F5가 소비자 로그인 및 계정 생성 애플리케이션을 보호하면서 사기로 인한 손실을 연간 최소 350만 달러 절감할 수 있을 것으로 추정했습니다.

* F5는 캠페인을 수백 개의 독점적 신호로 식별된 동일한 출처에서 비롯된 자동화된 요청 그룹으로 정의합니다.

미래 계획

Distributed Cloud Bot Defense가 자사 웹사이트와 모바일 앱에서 소비자 로그인을 보호하는 데 성공함에 따라 공급업체는 비즈니스 고객의 신규 계정 등록과 비즈니스 로그인, 배송, 지불 및 추적 서비스를 포함한 기타 비즈니스 애플리케이션을 보호하기 위해 배포를 확대하고 있습니다.

공급업체는 또한 소비자 로그인 애플리케이션에서 자동화를 사용하여 제품을 효율적으로 배송하는 비즈니스 고객의 합법적(양성) 자동화를 효율적으로 허용하기 위해 F5와 협력하고 있습니다.