Saat meneliti kampanye bot skala besar baru-baru ini dengan ketua tim CQ Prime Threat Research, Dean Lendrum, kami menemukan penyerang menggunakan parkir domain dan layanan monetisasi untuk mendaftarkan beberapa domain, membuat sejumlah besar akun eCommerce palsu per domain.
TL; DR2hh
<
ul>
<
ul>iKluster dan pola umum menunjukkan pendaftaran nama domain dan layanan hosting (seperti Namecheap); dengan parkir, monetisasi, dan penerusan email yang digunakan untuk menjalankan kampanye bot belanja skala besar.liu
<
ul>iPengecer harus menganalisis data historis untuk mengungkap pola yang berasal dari domain yang mencurigakan menggunakan infrastruktur hosting yang sama. Pola yang diamati termasuk nama domain yang tidak teratur, penyelesaian domain ke aplikasi web yang tidak tepercaya, SSL tidak diaktifkan.liu
- iKirim verifikasi pembuatan akun email atau pertimbangkan penggunaan otentikasi multifaktor (MFA) bila memungkinkan.
Details
Suka atau tidak, pengelola bot jahat adalah pebisnis dan mereka selalu mencari cara untuk mengurangi biaya kampanye bot eCommerce mereka. Menggunakan parkir domain dan layanan monetisasi (mis., Namecheap, ParkingCrew, dll.) adalah salah satu cara mereka dapat dengan murah membuat banyak akun palsu yang kemudian dapat mereka gunakan dalam kampanye bot skala besar mereka. Akun palsu yang terkait dengan domain terdaftar dilengkapi dengan penerusan email yang diaktifkan. Saat digunakan dalam kampanye bot, email akan tampak valid bagi pengecer, tetapi di balik layar, layanan penerusan hanya akan menghapus email.
Untuk menunjukkan betapa mudahnya hal ini dilakukan, kami dapat membuat akun seharga $1,18 dalam waktu kurang dari lima menit menggunakan Namecheap, salah satu dari beberapa solusi parkir domain yang tersedia. Memulai semudah menyetor dana ke akun Namecheap dan menggunakan API-nya untuk memanggil namecheap.domains.create. Kami sekarang memiliki domain dan akun terkait dengan VPN gratis dan email bisnis selama dua bulan; penerusan email gratis selamanya; dan SSL sebagai opsi seharga $10 per tahun.
Tidak lama kemudian kami dapat mulai memonetisasi domain baru melalui kemitraan Namecheap-ParkingCrew; praktik umum untuk pelaku ancaman, dibuktikan dengan forum bot yang menyombongkan uang yang dihasilkan melalui lalu lintas jahat yang mengenai domain terparkir mereka.
Karakteristik Serangan Diamati
Saat menyelidiki salah satu domain sendiri, semuanya tampak normal. Namun, ketika mengelompokkan domain yang berperilaku buruk berdasarkan catatan A server web pendampingnya dan catatan MX server pengalihan surat, kelompok perilaku mulai terbentuk.
<
ul>
<
ul>iDari 1.810 tersebut domain, 440 dipetakan ke Namecheap dan ParkingCrew, dan hanya 255 di antaranya yang mengaktifkan SSL. Satu-satunya alasan yang dapat kami pikirkan tentang kurangnya SSL adalah biaya – ini adalah tambahan $10 per tahun, kembali ke posisi yang ingin dikurangi oleh operator bot.
Saat menganalisis akun pengguna yang dicurigai curang dan pesanan terkait, keamanan ritel tim harus menyelidiki domain email yang diselesaikan lalu lintas web dan email ke domain yang sah menggunakan alat seperti mxlookup dan dig. Jika server pertukaran email umum di antara banyak domain yang berbeda seperti yang ditunjukkan pada gambar 1, periksa nama domain dan lihat apakah ini menghasilkan aplikasi web yang valid. Demikian pula, analisis apakah banyak domain yang mengarah ke satu server web A merekam dan memeriksa aplikasi web yang dihosting, mencatat konten, tujuan, dan fitur keamanan seperti SSL.
Implikasi Kampanye Bot Belanja Massal
Seperti yang telah dibuat oleh bot sebagai layanan botting tersedia untuk massa, penggunaan pendaftaran domain dan layanan monetisasi adalah contoh lain dari komersialisasi industri botting. Dalam contoh ini, pelaku ancaman dapat dengan mudah membuat ribuan akun palsu untuk digunakan dalam kampanye bot skala besar mereka yang pada gilirannya berdampak pada seluruh bisnis. Tim keamanan dan penipuan kewalahan mencoba memisahkan yang sah dari yang jahat. Dalam beberapa kasus, biaya infrastruktur akan melonjak karena peningkatan volume, sementara metrik penjualan dan pemasaran sangat dipengaruhi oleh lalu lintas tidak sah.
Jason Kent adalah Peretas di Tempat Tinggal di Cequence Security.
Nikmati wawasan tambahan dari komunitas Infosec Insider Threatpost dengan mengunjungi kami microsite.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web