В этом 5-минутном чтении я предложу несколько приемов Cyber ​​Security 101, которые помогут вам обнаружить злоумышленников, создающих «фальшивые учетные записи». Внедрение 3 уровней — время разработки примерно ~ 8 недель — для замедления мошеннической деятельности, злоупотребления вашей платформой, убытков и загрязнения ваших данных.

Изо дня в день я общаюсь с менеджерами по продуктам и разработчиками по всему миру, работая над довольно интересными продуктами/инструментами/решениями. Я заметил тенденцию — или, скорее, болевую точку — общую для всей отрасли. Рост злонамеренной и мошеннической деятельности! Это не новая концепция, но атаки становятся умнее, и поэтому — после битвы белых шляп и черных шляп — нам также нужно активизироваться.

Почему злоумышленники хотят создавать поддельные учетные записи? Возьмем в качестве примера маркетинговую платформу. Представьте себе создание 1000 поддельных учетных записей в масштабе, а затем использование каждой учетной записи для отправки электронных писем + сообщений в социальных сетях + публикации рекламы в Интернете, которую увидят тысячи людей, прежде чем ее обнаружат или сообщат о ней. Повторяйте каждый день. В попытке распространить дезинформацию, чтобы повлиять на рынки, выборы, навязать предвзятость… или просто обманом заставить кого-то поделиться личной информацией.

Так что мы можем сделать? Нет единого решения / дверного замка. Думайте о кибербезопасности как о введении уровней дверей с разными замками для замедления вредоносной активности. Реплика Уязвимая система ядерной безопасности мистера Бернса (Симпсоны) :) .

Я представлю 3 уровня защиты, а также включу время разработки (скорее всего, процитирую) для внедрения, тестирования и запуска чего-то подобного в производство. Это моя точка зрения и мнение о том, что я бы сделал, а не совет какой-либо компании или единый набор решений, которые решат все ваши проблемы с безопасностью.

Уровень 1. Остановите ботов

Перво-наперво, Боты! Короче говоря, боты — это компьютерные программы, написанные так, чтобы они действовали как люди и выполняли последовательность действий (и реакций) в Интернете. Каждый бот может быть запрограммирован на конкретный сайт и конкретную задачу, выполняя рассчитанные атаки. Некоторое время назад я написал пост на тему Сваттинг ботов в анализе данных (если вам интересно). TL;DR здесь заключается в том, что с течением времени боты становятся все более и более изощренными в имитации человеческого поведения, и поэтому их все труднее обнаружить.

Если подумать, воронка регистрации и создания, по которой пользователь будет щелкать, одинакова для всех, что упрощает автоматизацию. Включите ботов! Наш злонамеренный пользователь будет использовать ботов для создания как можно большего количества поддельных учетных записей в масштабе, чтобы у них было больше шансов, что некоторые из них не будут обнаружены.

Смягчение последствий: обнаружение «Я не робот» и двухфакторная аутентификация [Время разработки: ~2 недели]

Я уверен, что в какой-то момент вам приходилось расшифровывать образ плохо написанного слова, чтобы иметь возможность продолжать то, что вы делаете. Как бы это ни раздражало — это я или мне становится все труднее и труднее читать эти слова! — он добавляет барьер для входа, чтобы исключить предсказуемость выполнения задачи, например, нашу воронку регистрации.

В качестве примера — reCAPTCHA — это скрипт, который добавляет на вашу страницу виджет обнаружения Я не робот. У него есть настройка Предпочтения безопасности, которую я бы посоветовал установить на Самый безопасный, если вы сильно страдаете от поддельных учетных записей.

Также на раннем этапе внедрите двухфакторную аутентификацию, попросив пользователя подтвердить адрес электронной почты или номер телефона, чтобы продолжить, очевидно, проверяя, использовался ли этот адрес электронной почты или номер телефона в прошлом. Что-то, с чем бот будет бороться.

Уровень 2. Защита аккаунта от взлома

До сих пор мы говорили о поддельных учетных записях, но давайте не будем забывать уделять первоочередное внимание защите ваших реальных пользователей (то есть реальных учетных записей) или рисковать тем, что злонамеренный пользователь «захватит» настоящие учетные записи. Если ваш веб-сайт/инструмент/услуга является мишенью для поддельных аккаунтов, то «угон» является гарантированной возможностью.

Это не только затрудняет обнаружение поддельной активности, но, что наиболее важно, рискует потерять доверие к причине существования вашего бизнеса — вашим пользователям.

Смягчение последствий: атаки с использованием межсайтовых сценариев [Время разработки: ~3 недели — в зависимости от того, насколько вы реализуете]

Существует множество атак, которые может совершить хакер в попытке воспользоваться уязвимостями и получить контроль над учетной записью пользователя (Межсайтовый скриптинг, Атаки «человек посередине (MitM)», Фишинг, SQL Injection… если вам интересно узнать об этом больше, напишите мне в комментариях, и я напишу об этом в блоге).

Атака межсайтового скриптинга — это когда «хакер» находит способ внедрить дополнительный «скрипт» на веб-сайт/инструмент/сервис. Перепрограммирование веб-сайта для получения контроля и доступа к деталям (например, к данным учетной записи пользователя) или изменение функции (например, окна входа в систему), чтобы обманным путем заставить пользователей поделиться своими данными. Это похоже на то, как если бы кто-то вломился в ваш дом и расставил вокруг него маленькие ловушки, чтобы обмануть вас.

Защита от межсайтового скриптинга также поможет добавить уровни защиты от других уязвимостей. Излишне говорить, что, пожалуйста, сделайте это 🙏 думайте об этом как о должном, а не о хорошем. Вот лучшие (быстрые) обновления, которые вы можете сделать…

  • Добавьте политику безопасности контента (CSP) на свой веб-сайт. Это параметр, который говорит браузеру не запускать скрипты, которые вам не принадлежат. Это быстро (‹1 день) в реализации. Я ранее писал в блоге о CSP, стоит прочитать.
  • Фильтровать любой пользовательский ввод, то есть везде, где пользователь будет заполнять данные формы… и т. д. Очистка ввода гарантирует, что будут включены только ожидаемые языковые символы (и избавление от всего остального, что может быть вредным). Множество доступных решений с открытым исходным кодом.
  • Сделайте то же самое для — очистки — любого пользовательского вывода, т. е. любого сохраненного пользовательского контента (например, имени пользователя), который выводится на страницу.

Уровень 3. Используйте машинное обучение для автоматизации поиска

До сих пор мы замедляли ботов и «хакеров», но как насчет групп реальных людей, которые постоянно создают учетные записи, используя украденную информацию о кредитных картах в масштабе ¯\_(ツ)_/¯ (это происходит каждый день, в больших количествах).

Именно здесь машинное обучение позволяет нам сделать шаг вперед и построить модель (или серию моделей), чтобы распознавать шаблоны, которые демонстрируют эти группы, и предупреждать нас о контрафактной деятельности. Отметьте учетные записи для ручной проверки или — если вы действительно уверены — остановите их.

  • Обучены обнаруживать большое количество похожих аккаунтов, созданных за один раз, с использованием спам-контента, хэштегов и ключевых слов.
  • Обучены обнаруживать менее очевидные паттерны, такие как человеческое (или нечеловеческое) поведение (прокрутка, касание, время в области, время для выполнения задачи…) как во время создания учетной записи, так и когда «пользователь» начинает взаимодействовать с вашим инструментом и использовать его. .

Смягчение последствий: модель(ы) обнаружения мошенничества[Время разработки: ~6–8 недель — в зависимости от того, насколько вы реализуете]

Модель машинного обучения хороша настолько, насколько хороши данные, которые вы ей предоставляете…

  • Начните с изучения уникальных для вас данных. Определение характеристик собираемых вами данных (например, время на странице, местоположение пользователя, время суток, информация для входа и т. д.), которые могут иметь значение. Маркировка данных, чтобы модель ML — во время обучения — знала, какая комбинация этих функций является мошеннической, а какая реальной.
  • Существуют внешние доступные наборы данных, которые вы можете использовать, например, Kaggle Dataset — обнаружение мошенничества с кредитными картами, чтобы обогатить свои.

Есть CodeLabs, которые помогут вам, быстрые примеры…

Посмотрите на создание добавочной модели, которую можно улучшить с течением времени на основе ваших отзывов, т. е. по мере того, как учетные записи проверяются вручную, и мы сообщаем модели, что было успешным.

Спасибо за прочтение. И последнее, что нужно запомнить 🔐 пожалуйста, не останавливайтесь на достигнутом. Существует множество дополнительных уровней безопасности, которые вы могли бы (должны) внедрить и продолжать развивать их, чтобы оставаться на шаг впереди злоумышленников. Дайте мне знать, как вы поживаете.