Eryk Kielak (Gazeta.pl): Czym właściwie są boty i dlaczego są groźne?
Dan Woods: Boty to fragmenty kodu, które automatyzują dane zadanie. Na przykład, poniższy kod jest botem, który sprawdza saldo karty bankowej. Ze względów bezpieczeństwa ukryłem nazwę sprzedawcy.
Kod internetowego bota F5 Networks
Jak można użyć takiego bota? Czy da się w ten sposób uzyskać dane do konta bankowego?
Wszystko czego potrzebuje cyberprzestępca zapisane jest w 16-cyfrowym numerze karty płatniczej oraz jej kodzie PIN. Liczba ich konfiguracji, chociaż wysoka, to jest skończona. Zatem, taki bot może posłużyć do sprawdzenia milionów, a nawet miliardów par danych: numer karty + kod PIN. Zdekodowanie tych informacji pozwoli opróżnić saldo karty z dostępnych na niej środków. Prawdziwy właściciel karty płatniczej nawet nie zorientuje się, że jego środki zostały skradzione, dopóki nie spróbuje ich wykorzystać.
Czy dane karty to jedyne dane, które boty mogą przejąć? Co z danami do logowania?
Złośliwe boty bywają również stosowane do zbierania rozproszonych danych takich jak te logowania, które np. wyciekły z jakiejś bazy. Cyberprzestępcy wykorzystują pozyskane w ten sposób dane przeciwko aplikacjom.
Atakujący automatyzuje logowania dla dużej liczby (nierzadko tysięcy lub milionów) wcześniej odkrytych przy użyciu standardowych narzędzi automatyzacji sieci. Ze względu na przyzwyczajenia konsumentów do ponownego używania nazw użytkowników i haseł na różnych kontach internetowych, ataki te zazwyczaj przejmują 0,1-3,0 proc. próbowanych kont. Kiedy więc cyberprzestępca łamie kombinację setek milionów, a nawet miliardów danych logowania (nazwa użytkownika i hasło), kończy się to przejęciem dziesiątek milionów kont.
Czy to oznacza, że każdy bot jest zagrożeniem?
Nie wszystkie boty są złe. Googlebot skanuje i indeksuje miliardy stron internetowych, aby umożliwić sprawne wyszukiwanie. Kayak i inne internetowe biura podróży zbierają ceny biletów lotniczych i hoteli z wielu firm turystycznych, aby dostarczyć swoim klientom najlepsze oferty. Inne boty nie są ani złe, ani dobre, ale bywają uciążliwe. Na przykład, bot może kupić wszystkie bilety na koncert w ciągu 30 sekund od rozpoczęcia sprzedaży, a następnie odsprzedać je po zawyżonych cenach na rynku wtórnym.
Czasem bywa też tak, że jakaś firma oferuje jakiś podarunek dla nowych klientów np. darmową filiżankę kawy. Wówczas ktoś może użyć bota do stworzenia tysięcy kont, aby cieszyć się tysiącami darmowych filiżanek kawy. Oczywiście to są przykłady anegdotyczne i stosunkowo nieszkodliwe. Gorzej jest wtedy kiedy organizacja przestępcza potrzebuje wielu kont internetowych, aby zaangażować się w pranie brudnych pieniędzy...
Gdzie jeszcze mogą atakować boty?
Zagrożone są nawet firmy ubezpieczeniowe. Kiedy klient wycenia ubezpieczenie na życie, zwykle potrzebuje przejść przez zaawansowany kwestionariusz, z pytaniami o wiek, miejsce zamieszkania, zawód czy stan zdrowia. Po uzupełnieniu tych danych klient otrzymuje wycenę. Taki kwestionariusz zasila danymi model analityczny, który ubezpieczyciel stosuje do oszacowania ceny ubezpieczenia. Nieuczciwi konkurenci lub inne strony trzecie mogą wykorzystać boty do odwrócenia algorytmu wyceny ubezpieczeń. Dostarczają specjalnie przygotowane dane wejściowe i przeprowadzają ten proces tysiące (a nawet miliony) razy. W ten sposób mogą wpływać na cenę ubezpieczenia lub zaburzyć pracę algorytmu.
Ostatnio ze względu na przejęcie Twittera przez Elona Muska głośno o botach w kontekście mediów społecznościowych. Jaką rolę w nich odgrywają boty?
Kilka lat temu, firma z branży mediów społecznościowych zaangażowała F5, aby zbadać swoją strukturę użytkowników i realny ruch. Kiedy otworzyliśmy dane systemowe i zaczęliśmy analizować logowania, ustaliliśmy, że ponad 90 proc. wszystkich logowań było wykonywanych przez boty (niekiedy nawet 99 proc.). Na podstawie wysokiego wskaźnika udanych logowań i rozmów z klientem stwierdziliśmy, że te konta były związane z oszustwami szerzej znanymi jako oszustwo na amerykańskiego oficera, czy księcia z Nigerii.
Dużo bardziej szkodliwy jest jednak wpływ mediów społecznościowych na opinię publiczną. Wyobraź sobie, że kontrolujesz miliony kont na Twitterze, TikToku, Facebooku czy Instagramie. Dzięki takiej liczbie „użytkowników" możesz dyktować trendy i zarządzać dyskusją w przestrzeni internetowej. Mógłbyś wzmocnić przekaz, który chcesz promować i przykryć treści, które uważasz za niekorzystne. W ten sposób możesz wpływać na opinię publiczną i decyzje wyborcze.
Wracając do Twittera. Obecność wielu osób na Twitterze stwarza doskonałą okazję do manipulowania i kreowania poglądów. Do tego, brakuje solidnej bariery powstrzymującej zautomatyzowane logowania. Zatem już nie tylko politycy i publicyści wpływają na opinię publiczną, ale również miliony botów.
Elon Musk zrezygnował z transakcji, gdy dowiedział się o rzeczywistej liczbie botów na tej platformie. Dlaczego to miało wpływ na jego decyzję?
Jeśli zwykła mała firma, linia lotnicza czy hotel ma 10 milionów kont klientów online, to ta liczba odgrywa tylko niewielką rolę w określaniu wartości firmy. Tak naprawdę liczy się to, czy ci klienci online wydają pieniądze, czy nie. W przypadku firm z sektora mediów społecznościowych, gdzie przychody są generowane głównie przez reklamy, liczba kont online jest ważona inaczej. Im więcej Dziennych Aktywnych Użytkowników (DAU) ma firma, tym niesie większą wartość dla reklamodawców. Im więcej użytkowników, tym droższa cena.
Twitter poinformował, że mniej niż 5 proc. kont na ich platformie to boty. Musk temu zaprzeczył. Kto jest bliżej prawdy?
Moim zdaniem obie strony się mylą. Myślę, że botów jest zdecydowanie więcej, jednak żadna ze stron nie powie tego publicznie.
Jak to możliwe, że firmy takie jak Twitter nie są w stanie namierzyć takich kont i ich wyłączyć?
Cyberprzestępcy stosują wiele metod aby ukryć swoje działania. Po pierwsze, boty używają teraz setek tysięcy, a nawet milionów adresów IP. Zespoły bezpieczeństwa mogą zazwyczaj zidentyfikować kilkaset lub tysiąc najaktywniejszych IP, ale brakuje im szerszej perspektywy, która pozwala wykryć faktyczne źródło ataku. Po drugie, skutki ataków botów nie zawsze są widoczne od razu. Często pojawiają się stopniowo w czasie, co sprawia, że trudniej je rozpoznać i nie pomylić z czymś innym, np. organicznym wzrostem ruchu na stronie.
Więcej informacji z kraju i ze świata na stronie głównej Gazeta.pl.
A czy firmy w ogóle chcą minimalizować obecność botów?
Niestety niektóre firmy, szczególnie firmy z branży mediów społecznościowych, nie są zainteresowane poznaniem prawdy o ruchu botów, ponieważ prawda najprawdopodobniej miałaby negatywny wpływ na wskaźnik dziennej liczby aktywnych użytkowników (DAU), co przekłada się na cenę/wycenę ich akcji.
Większość firm chce jednak poznać prawdę o botach. Zbyt duża liczba botów nie tylko zwiększa straty z powodu oszustw, ale także frustruje klientów, którzy zamieszczają szkodliwe dla marki komentarze w sieci. Boty rujnują reputację marki, uderzając w jej klientów. Działanie botów wpływa także na analitykę przedsiębiorstw, zniekształcając prawdziwy obraz sytuacji, np. wskaźniki doświadczenia klienta. Zniekształcone metryki mogą również negatywnie wpłynąć na wydatki korporacyjne i podejmowanie decyzji.
Co muszą zrobić przedsiębiorstwa, aby rozwiązać problem botów na swoich stronach?
Aktywność przedsiębiorstw w tej materii dzielimy na dwa obszary. Po pierwsze firmy potrzebują zbierać informacje (sygnały) od użytkowników i klientów. Każdy z użytkowników sieci generuje swój sygnał, jest to na przykład czas naciśnięcia klawiszy, ruch myszki, stosowanie wtyczki, modyfikacja czcionki, wykorzystanie ekranu i setki tysięcy innych sygnałów, które stanowią dla systemów antybotowych informację, że dany użytkownik jest człowiekiem. Żeby upewnić się, że masz do czynienia z człowiekiem, potrzebujesz kilkudziesięciu sygnałów wysokiej jakości, które są bardzo trudne do podrobienia.
Pierwszym etapem obrony przed botami, w czasie zbliżonym do rzeczywistego (różnica do 10 milisekund), jest bieżąca weryfikacja użytkowników po kluczowych sygnałach. Przedsiębiorstwa potrzebują jednak dwóch linii obrony. Drugi etap musi być retrospektywny. To w nim algorytmy sztucznej inteligencji badają interakcje użytkownika z witryną internetową (m.in. wspomniane sygnały) z ostatnich dni.
Jakie korzyści z działania botów mają ich autorzy, a jakie straty firmy, na których stronach są boty?
Tak jak już wspominałem, boty nie są same w sobie niczym złym, bowiem po prostu automatyzują pewne funkcje i działania. Liczy się jednak intencja z jaką są wykorzystywane. Do skutków działań botów kierowanych przez cyberprzestępców możemy zaliczyć: wzrost liczby oszustw w przestrzeniach cyfrowych, utratę reputacji zaatakowanej marki z powodu negatywnych recenzji, pretensji pokrzywdzonych klientów; wzrost kosztów obrony przed botami; obarczone błędem wskaźniki i raporty nt. ruchu klientów w sieci, czy spadek zaufania do zawierania transakcji w sieci.
Skoro firmy nie radzą sobie z likwidacją botów, czy powinny wynajmować do tego specjalne firmy lub tworzyć stanowiska dla osób odpowiedzialnych za walkę z nimi?
Uważam, że neutralna strona trzecia byłaby potrzebna tylko w przypadku organizacji, które nie mają motywacji lub które wręcz ułatwiają oszustwa, nie będąc przy tym ich ofiarami. Przykładem takich organizacji są media społecznościowe i operatorzy poczty elektronicznej. Na przykład, jeśli cyberprzestępca przejmie moje konto e-mail, może zidentyfikować, gdzie prawdopodobnie posiadam konta internetowe (ze względu na otrzymane wiadomości e-mail), skonfigurować filtr/przekierowanie wiadomości e-mail, a następnie przejść przez proces zapominania hasła, aby przejąć konto internetowe.
Warto pamiętać o tym, że cyberprzestępcy często nie wykorzystują od razu zdobytych danych, tylko czekają na odpowiedni moment. Dlatego nie można bagatelizować żadnej oznaki, która wskazywałaby na przejęcie konta.
Jakie jest największe możliwe zagrożenie dla społeczeństwa ze strony botów?
Indywidualne jednostki ponoszą straty finansowe i wizerunkowe związane z atakami botów. Moim zdaniem, w skali makro te straty choć dotkliwe nie są takim zagrożeniem, jak manipulacje opinią publiczną dokonywane przez boty. Wpływanie na poglądy, decyzje wyborcze, a nawet decyzje zakupowe niesie za sobą duże ryzyko. Gdyby boty były używane do propagowania prawdy, nie byłoby to problemem, ale niestety, boty mogą być i prawdopodobnie są, używane do szerzenia kłamstw i półprawd.
Czy zjawisko botów w ostatnich latach się zwiększa? Jak duża to skala?
Tak, choć trudno doprecyzować ten fakt ilościowo. Nie ulega jednak wątpliwości, że problem botów zdecydowanie nasilił się w ostatnim czasie. W ciągu 6-7 lat obserwowałem złośliwe i uciążliwe boty działające przeciwko firmom w praktycznie każdym aspekcie działalności. I w momencie gdy myślę, że już nie da się inaczej użyć botów, pojawia się nowy rodzaj ataku.
Cyberbezpieczeństwo jest działaniem reaktywnym, dlatego naszym zadaniem jest obserwowanie, wykrywanie zagrożeń i neutralizowanie ich negatywnych skutków poprzez odcinanie dostępu. Cyberprzestępcy nie ewoluują, dopóki nie zostaną do tego zmuszeni. Tak długo jak ich złe narzędzia działają, tak długo stosują oni te same schematy. Zadaniem ekspertów od bezpieczeństwa w sieci jest eliminowanie po kolei każdego schematu, który zagraża użytkownikom internetu.
