Uma das 5 maiores transportadoras (“provedoras”) globais, com mais de US$ 50 bilhões em receita anual, queria proteger seus clientes de apropriação indébita de contas e impedir a criação de contas fraudulentas.
O provedor queria proteger os logins dos clientes em seus aplicativos web e móveis contra ataques de preenchimento de credenciais. Credential stuffing é um ataque no qual criminosos testam credenciais roubadas de terceiros em massa em aplicativos de login para cometer roubo de conta. Os invasores obtêm uma grande lista de credenciais roubadas e normalmente descobrem que cerca de 0,1% a 2% da lista é válida em um site de destino porque os usuários reutilizam senhas.
Ao longo de um período de oito meses, o provedor passou por três ondas distintas de picos de automação de grande volume, além de tráfego automatizado sustentado. Em alguns casos, o tráfego de ataque foi de mais de 100.000 POSTs em um único dia, o que representou um aumento de 50% em relação ao tráfego legítimo. O provedor também lançou uma grande atualização de API móvel nativa no outono de 2017, que era frequentemente alvo de invasores.
Os ataques custaram caro ao provedor, que teve que reembolsar os fundos roubados de seus clientes, bem como quaisquer taxas de estorno de transações não autorizadas feitas usando um cartão de crédito vinculado à conta. Até mesmo os ataques de preenchimento de credenciais foram custosos para o provedor. Os clientes inundavam o help desk com reclamações sobre pacotes perdidos ou sobre o bloqueio de suas contas (o que ocorria devido a muitas tentativas de login malsucedidas de um invasor).
O provedor também enfrentou um desafio com dois esquemas diferentes baseados na criação de contas fraudulentas. No primeiro esquema, os criminosos criaram programaticamente contas falsas usando endereços em códigos postais ricos, respondendo corretamente às perguntas de autenticação baseadas em conhecimento usando dados pessoais disponíveis publicamente. Eles então usaram o serviço gratuito do provedor para rastrear pacotes e receber notificações quando os pacotes fossem enviados. Isso permitiu que os ladrões rastreassem pacotes e interceptassem remessas, muitas das quais incluíam produtos que eles poderiam revender.
No segundo esquema, os invasores criaram contas falsas e anexaram cartões de crédito roubados a elas. Eles então anunciaram serviços como frete com desconto e encaminhamento de pacotes em mercados ilegítimos, usando contas falsas para comprar etiquetas de envio. Se e quando a vítima do roubo do cartão de crédito descobrir a fraude, a transportadora terá que reembolsar o custo do frete, bem como possivelmente pagar taxas de estorno ao emissor do cartão de crédito.
O provedor primeiro tentou criar sua própria solução para enfrentar esses desafios. Ele usou uma combinação de firewall de aplicativo da web, balanceador de carga e ferramentas de análise para tentar resolver o problema correlacionando tickets do help desk com reclamações de clientes e, então, forçando uma redefinição de senha. Essa abordagem "faça você mesmo" não foi eficaz para mitigar os ataques automatizados, e a fraude persistiu.
Incapaz de resolver o problema sozinho, o provedor recorreu à F5 Distributed Cloud Bot Defense e decidiu implantar a solução em seus aplicativos de login e criação de contas, tanto na web quanto em dispositivos móveis.
Há dois estágios em uma implantação típica do Distributed Cloud Bot Defense: modo de observação e modo de mitigação. No modo de observação, o F5 analisa todas as solicitações recebidas no aplicativo para personalizar sua defesa e sinalizar tráfego automatizado. No modo de mitigação, o F5 toma medidas programáticas com base na natureza da automação e nas necessidades do provedor.
Assim que o Distributed Cloud Bot Defense entrou no modo de observação, o provedor pôde ver e entender imediatamente a natureza completa do seu tráfego de login. Conforme mostrado na Figura 1, o serviço distinguiu o tráfego humano legítimo (verde) da automação indesejada (vermelho) no aplicativo de login durante o modo de observação.
O Distributed Cloud Bot Defense também forneceu ao provedor relatórios avançados de inteligência contra ameaças, que incluíam insights sobre as fontes de tráfego automatizado. Por exemplo, o serviço identificou que metade da atividade automatizada era benigna, da qual o provedor não tinha conhecimento anteriormente.
Além disso, durante o modo de observação, o Distributed Cloud Bot Defense identificou três campanhas automatizadas separadas, rotuladas como 1, 2 e 3 no gráfico. Esses grupos representaram quase metade das transações automatizadas durante todo o período de observação. Se um grupo de ataque tentar contornar o Distributed Cloud Bot Defense por meio de reequipamento, por exemplo, utilizando novos proxies para rotear seu tráfego ou imitando um tipo diferente de navegador, o serviço ainda poderá identificar o grupo de ataque com base em outros sinais.
A F5 também analisou cada campanha sob um microscópio. A Figura 2 é uma visão focada da campanha nº 2 disponibilizada ao provedor. Esta campanha foi um ataque de preenchimento de credenciais altamente distribuído, lançado de mais de 25.000 endereços IP. Os ataques representaram mais de 50% de todo o tráfego durante a campanha de três dias. A campanha também foi notável porque o invasor tentou navegar em um fluxo de trabalho além do fluxo de login.
Após um período de observação de quase seis meses, o provedor fez a transição do Distributed Cloud Bot Defense para o modo de mitigação. O serviço bloqueou imediatamente ataques de preenchimento de credenciais, evitando milhares de invasões de contas. O provedor estimou que, com a F5 protegendo seus aplicativos de login e criação de contas de consumidores, ele conseguiu economizar pelo menos US$ 3,5 milhões por ano em perdas por fraude.
* O F5 define uma campanha como um grupo de solicitações automatizadas provenientes da mesma fonte, identificadas por centenas de sinais proprietários.
Devido ao sucesso do Distributed Cloud Bot Defense na proteção de logins de consumidores em seu site e aplicativo móvel, o provedor está expandindo a implantação para proteger novos registros de contas para clientes empresariais, bem como outros aplicativos empresariais, incluindo serviços de login empresarial, remessa, pagamento e rastreamento.
O provedor também está trabalhando com a F5 para permitir com eficiência a automação legítima (benigna) de clientes empresariais que estão usando a automação no aplicativo de login do consumidor para enviar seus produtos com eficiência.