自动化网站攻击已成为网络犯罪的主要手段,而 Bots 已成为恶意攻击者威胁网站的一种最简单方法。Bots 能够被用于窃取敏感信息和金钱,或者它们可以让网站完全停止服务。Bots 每天都被用来威胁机构提供的各种各样的在线服务,每年因此造成所造成的损失高达数十亿美元,而且这些威胁与攻击不仅仅局限于简单的分布式拒绝服务 (DDoS) 攻击。

借助 reCAPTCHA Enterprise,我们可以在自动化网站攻击造成损害之前降低或消除它们的风险。 Google Cloud 的 reCAPTCHA 可以对自动仿生学和实际人类行为进行区分,以实现对攻击的阻止。

目前在 OWASP 自动威胁手册中记录了超过 21 种不同类型的自动攻击,reCAPTCHA Enterprise 可以针对这些威胁做出防御。

让我们来看看排名前五的自动化网站攻击类型有哪些,以及 reCAPTCHA Enterprise 如何帮助公共部门和机构抵御这些攻击。

1. 账号创建

将 reCAPTCHA Enterprise 作为账号创建其中一个环节是组织可以抵挡自动攻击所能够采取的最有效步骤之一。如果您的网站使用账号登录作为用户语音的验证或访问特定服务的权限验证,您可以通过阻止 Bots 注册将那些自动化的机器人阻挡在网站外面。这个强大的功能选项经常给被人们忽视,让网站减少一个由机器人控制的账号,同时意味着可以减少一个用于攻击的 Bots。我们强烈建议在设计网站时将关注点放在账号的创建上,并让此功能作为预防集中防御的一种方法。

2. 非法套现

Bots 可以使用被盗用或之前已经过验证的支付方式与账号登录凭据来购买高价值商品,或是以欺诈方式进行汇款操作。这种威胁被称为非法套现。对于机构而言,这种财务劫持可能会影响到退税和理赔支付。退款请求是常见的被攻击目标。reCAPTCHA Enterprise 可以防止这种情况的发生。它根据用户与网站的交互返回一个分数,以评估用户是否是合法的人类用户,或者他们是否可能是 Bots。 reCAPTCHA 从 1.0(可能是良好的交互)到 0.0(可能是滥用行为)对网络交互进行评分。这种强大的风险分析可以在不影响有效活动和服务的情况下防止欺诈活动。

3. 撞库

撞库,或者被称为凭据填充是指 Bots 会以自动化的方式尝试数千种用户名和密码组合,直到找到一个有效的组合来登录您的网站。许多用户在多个不同的网站上使用相同的用户凭据。这也意味着当任何其他网站发生泄漏时,Bots 可能会凭借该身份凭据去访问公共的网站。reCAPTCHA Enterprise 可以阻止这种性质的外部泄漏对其他网站的破坏。威斯康星州劳动力发展部使用 reCAPTCHA Enterprise 通过识别 Bots 行为并采取进一步措施来验证其合法性,从而帮助减少虚假索赔案件的发生。

4.库存拒绝

由于疫情的持续影响,供应链出现了重大中断。随着工厂和港口的关闭,一些关键商品往往很难找到。恶意行为者通过“库存拒绝”攻击利用由此产生的商品囤积来谋取利益。Bots 购买大量的热门商品并转售以获取可观的利润。公共部门组织也无法逃避这一点:这些攻击阻碍了个人防护设备(PPE)、疫苗和财政援助的分发。reCAPTCHA Enterprise 可以在市场操纵发生时发出警报并阻止它,从而节省资金,甚至可能挽救生命。

5. 数据倾斜

如今,由于分析数据推动了如此多的决策,因此使用自动化网站攻击来操纵这些指标也就变得不足为奇。数据倾斜包括重复链接点击、页面请求或表单提交,目的是改变指标和分析数据。在公共部门,这些攻击包括被用来操纵从新闻文章受欢迎程度到公众对立法的支持等一切事情。通常出于政治动机,发动倾斜攻击背后的意图是让一个组织比另一个组织更具优势或试图改变公共部门的决策。reCAPTCHA Enterprise 可以对合法和非法使用做出区分,以帮助抵御这些攻击。

自动网站攻击是所有网站都会面临的严重问题。对于依赖用户和民众信任的公共部门网站,保持这种信任对于他们的使命和职责来说往往是至关重要的。当网站发生故障或信息泄露时,这种信任就会受到负面影响。此外,这些攻击通常带来的经济损失也是不容忽视的。使用 reCAPTCHA Enterprise 可以阻止这些攻击。


文章信息

相关推荐