Tüketici kılığına giren çevrimiçi dolandırıcılar, Kara Cuma sırasında sahte tıklamalar üreterek büyük olasılıkla çevrimiçi işletmelerin pazarlama bütçelerinden 360 milyon dolardan fazlasını çaldılar; Siber Pazartesi’de perakende sitelerine yapılan ziyaretlerin %20’si insan değil alışverişçi kılığına giren robotlardı, Web güvenlik firmaları bu hafta dedi
Dolandırıcılıktaki artış, reklam enjeksiyonu, arama motoru yönlendirmeleri ve bağlı kuruluş dolandırıcılığı gibi teknikleri içeriyordu ve botlar gibi siber suçlu otomasyonunun çevrimiçi ticaret sağlayıcıları için neden olabileceği sorunları gösteriyor. Dolandırıcılıktaki artış, Siber Pazartesi olarak da bilinen bir sonraki Pazartesi günü Şükran Günü haftasında başlayan ABD tatil satışlarındaki yıllık artışla eşleşti. Genel olarak, çevrimiçi perakendeciler Kasım ayında satışlarda yaklaşık %12’lik bir artış ve Kara Cuma’da satın almalarda %2,3’lük bir artış gördü.
Cheq CEO’su Guy Tytunovich, satışların ve dolandırıcılığın hızlı büyümesinin saldırganların fırsatçı doğasının altını çizdiğini söylüyor.
“Dolandırıcılık her zaman oradadır, ancak yoğun zamanlar açısından çok mevsimseldir” diyor. “[The trigger] herhangi bir şey olabilir – bir seçim gibi siyasi olabilir veya Kara Cuma veya Siber Pazartesi gibi olabilir.”
Cheq ve çevrimiçi ağ hizmetleri sağlayıcısı Akamai tarafından Dark Reading’e sağlanan verilere göre, dolandırıcıların çevrimiçi işletmeler üzerinde önemli bir etkisi oldu. Botlar, meşru tüketicilerin kılığına girerek, reklamcılara ve perakendecilere pazarlamada insan gözünün göremediği gerçek paraya (genellikle %10 ila %15 arası bir kayıp) mal olabilir. Ek olarak, botlar popüler öğeleri satın almak, kredi kartı dolandırıcılığını etkinleştirmek ve envanteri bağlamak için kullanılabilir.
İşletmeler için en büyük maliyet yoğun zamanlarda gelir. Siber Pazartesi gününün en yoğun olduğu dönemde tüketiciler her dakika 12 milyon dolar harcıyor. Adobe’ye göre, tüketici etkinliği hakkında bilgi toplayan. Yine de bu alışveriş yapanların 46 milyonu robottu ve Cheq tahminlerine göre perakende reklamlarda 368 milyon dolarlık sahte tıklamalara yol açtı.
Akamai’de güvenlik stratejisinden sorumlu baş teknoloji sorumlusu Patrick Sullivan, istemci tarafında meydana gelen bir şey nedeniyle genel olarak oturumların yaklaşık %20’sinin “bozuk olduğunu” söylüyor. İşletmeler kendi altyapılarına (sunucu tarafı) yönelik saldırılara odaklanma eğilimindeyken, ziyaretçilerin sistemlerinde ve tarayıcılarında neler olup bittiğine daha az dikkat ediyorlar, diyor.
Sullivan, “Genel olarak, son beş yılda, güvenliğin yalnızca sunucu tarafında olmak üzere taç mücevherlere artık odaklanamayacağını gördük,” diyor. “Bir dizi sektörde, saldırganların daha çok istemci tarafına odaklandığını görüyoruz. Örneğin, dolandırıcıların istemci tarafında çalışan javascript’in kontrolünü ele geçirdiği tedarik zinciri saldırıları gördük.”
Scalper Botları ve Envanter Reddi Saldırıları
Cheq’den Tytunovich, istemci tarafı robotlar tarafından etkinleştirilen büyük bir dolandırıcılık planının, özellikle popüler ürünleri satın almak isteyen perakendecilerin sitelerini soyan, müşteriler üzerinde çalışan ve bazen çalıntı kredi kartlarıyla satın alan otomatik programlar olan soyucu botlar/ayakkabı botları olduğunu söylüyor.
Kredi kartı dolandırıcılığı perakendeciler için önemli bir endişe olmaya devam ederken, envanteri tüketen veya envanteri meşru alıcılar için kullanılamaz hale getiren saldırılardaki artışın daha endişe verici olduğunu söylüyor.
“Diğerleri kadar kötü niyetli olmasalar da [cyberattacks]perakendeciler, soyucu robotlardan son derece korkuyor” diyor. “Tamamen Jordan One’ları veya PlayStation 5’leri veya her neyse onu almayı ve tüm stoğu almayı hedefleyen robotlar.”
Envanteri etkileyen diğer bir büyük saldırı, alışveriş sepetlerini terk eden botlardır; bu, genellikle bir öğe üzerinde 10 ila 15 dakika bekletilir – küçük bir miktar, ancak yalnızca otomasyonun sağlayabileceği yoğunlukla hızla toplanabilecek bir süre. Akamai’den Sullivan, bu envanter reddi saldırılarının, perakendecilerin stoklarının durumunu görmesiyle kaosa neden olabileceğini söylüyor.
“Kıtlığı neredeyse kontrol eden belirli endüstriler var – insanların spor ayakkabı veya el çantası için sıraya girmesini istiyorlar – ama şimdi bunu birden fazla endüstride gördük – geleneksel olarak bunu hiç görmemiş gruplar” diyor. “Artık tedarik zinciri sorunlarından dolayı, çok daha fazla sektör, bu envanter kapma robotlarından etkileniyor.”
İstenmeyen Ama Meşru
Bununla birlikte, Akamai ve Cheq gibi şirketlerin izlediği geçersiz trafiğin veya IVT’nin çoğu mutlaka dolandırıcılık değildir, perakendeciler tarafından istenmez.
Çoğu durumda, insan olmayan trafiğin akışı, perakendecilerin ziyaretçilerinin kullanmamasını tercih edebilecekleri, ancak hileli veya kötü niyetli olmayan Honey ve Rakuten gibi kullanıcı tarafından yüklenen fiyat karşılaştırma araçlarını içeriyordu. Akamai, örneğin ABD’de Siber Hafta boyunca perakendecilerin fiyat karşılaştırması için tarayıcı uzantılarını kullanan %25 ila %30 daha fazla oturum gördüklerini belirtti.
Yine de bu tür bir trafik, Cheq’e göre verimsizliklere yol açabilen perakendecilerin tüketici talebi anlayışını da çarpıtıyor. Şirket, otomatik trafik sayesinde benzersiz site ziyaretlerinin %22 arttığını, oturum süresinin %41 düşebileceğini ve yeni kullanıcı sayısının %21 oranında fazla tahmin edildiğini buldu.