Gli acquisti online sono molto comodi, certo, ma nascondono anche essi delle insidie. Come quelli individuati dal team di CQ Prime Threat Research.
L’analisi dei dati della campagna di shopping-bot ha scoperto più di 850.000 account falsi associati a un numero relativamente piccolo di domini.
I cluster e i modelli comuni puntano alla registrazione dei nomi di dominio e ai servizi di hosting (come Namecheap); con parcheggio, monetizzazione e inoltro e-mail utilizzati per eseguire campagne di shopping bot su larga scala.
I rivenditori dovrebbero analizzare i dati storici per scoprire modelli provenienti da domini sospetti che utilizzano la stessa infrastruttura di hosting.
I modelli osservati includono nomi di dominio irregolari, risoluzione del dominio su un’app Web non attendibile, SSL non abilitato.
Piaccia o no, i gestori di bot dannosi sono uomini d’affari e sono sempre alla ricerca di modi per ridurre il costo delle loro campagne di bot di e-commerce.
L’utilizzo di servizi di parcheggio e monetizzazione del dominio (ad es. Namecheap, ParkingCrew, ecc.) è un modo in cui possono creare a buon mercato molti account falsi che possono quindi utilizzare nelle loro campagne bot su larga scala.
Gli account falsi associati ai domini registrati sono completi di inoltro email abilitato. Se utilizzate nella campagna bot, le e-mail sembreranno valide per il rivenditore. Ma in realtà il servizio di inoltro rilascerà semplicemente le e-mail.
Acquisti online: come scoprire account bot falsi
Per scoprire queste falle occorre raggruppare i domini che agiscono male in base ai record A del server Web associato e ai record MX del server di reindirizzamento della posta,. In questo modo iniziano a formarsi cluster di comportamento.
La mancanza di SSL è un chiaro segno che il dominio è sospetto, dato che quasi tutti i domini legittimi lo avranno abilitato. L’unico motivo per cui si ipotizza la grave mancanza di SSL è il costo: si tratta di $ 10 in più all’anno, tornando al discorso precedente degli operatori dei bot stanno cercando di ridurre i costi.
Quando si analizzano account utente sospetti fraudolenti e ordini associati, i team di sicurezza al dettaglio dovrebbero indagare sul dominio di posta elettronica che il traffico Web e di posta elettronica stanno risolvendo in domini legittimi utilizzando strumenti come mxlookup e dig.
Se i server di scambio di posta sono comuni tra molti domini diversi, occorre controllare il nome del dominio e verificare se si risolve in un’applicazione web valida.
Allo stesso modo, analizza se molti domini puntano a un singolo server web A record e controlla l’applicazione web ospitata, prendendo nota del contenuto, dello scopo e delle caratteristiche di sicurezza come SSL.
Meglio dunque proteggersi dalle attività fraudolente. Un ottimo servizio è l’antivirus offerto da