Glossário: Termos e definições de segurança cibernética

Ameaças automatizadas a aplicações Web do OWASP

Este projeto do OWASP se concentra na identificação de ameaças automatizadas que têm como alvo aplicações Web e na recomendação de controles de segurança e práticas para mitigar seus riscos.

O objetivo do Projeto Ameaças Automatizadas a Aplicativos Web do OWASP (Open Worldwide Application Security Project) é fornecer uma compreensão abrangente e padronizada das diversas ameaças automatizadas que os aplicativos web comumente enfrentam. Esses ataques automatizados têm como alvo cada vez mais aplicativos móveis e APIs. O projeto reúne pesquisas e análises de ataques automatizados do mundo real contra aplicativos da web para produzir documentação que ajude os operadores a se defenderem contra essas ameaças. 

O que são ameaças automatizadas?

Ameaças automatizadas referem-se a ataques maliciosos realizados por bots, scripts ou kits de ferramentas de hackers, em vez de humanos que interagem manualmente com o aplicativo da web. Essas ameaças podem explorar vulnerabilidades inerentes em aplicativos da web e APIs, levando a violações de segurança, roubo de dados, invasão de contas, fraude e outras consequências prejudiciais.

Embora não seja uma vulnerabilidade ter um carrinho de compras em seu aplicativo, a lógica de negócios para facilitar a adição de itens a um carrinho de compras também pode ser direcionada e manipulada por automações, resultando em acumulação de estoque

O projeto criou um catálogo ou taxonomia de diferentes ameaças automatizadas que têm como alvo aplicativos da web. Ao identificar e categorizar essas ameaças, desenvolvedores, profissionais de segurança e organizações podem obter uma compreensão mais profunda dos riscos que enfrentam e do impacto potencial em seus sistemas. Para cada ameaça automatizada, o projeto também recomenda contramedidas eficazes e melhores práticas para mitigar os riscos. Ao aumentar a conscientização sobre essas ameaças, o OWASP visa incentivar medidas de segurança proativas e melhorar a postura geral de segurança dos aplicativos da web.

Como muitas ameaças automatizadas dependem de bots, é útil distinguir entre gerenciamento de bots e mitigação de bots. Gerenciamento de bots se refere às estratégias e práticas usadas para lidar com bots que interagem com aplicativos da web. O objetivo do gerenciamento de bots não é apenas bloquear ou mitigar bots, mas também diferenciar entre tráfego de bot legítimo (por exemplo, rastreadores de mecanismos de busca) e bots maliciosos. A mitigação de bots se concentra especificamente no processo de redução ou eliminação do impacto de bots maliciosos em aplicativos da web. Envolve a implementação de medidas defensivas para impedir que bots realizem com sucesso ações ou ataques prejudiciais que podem levar à tomada de conta (ATO) e fraude.

A lista de ameaças automatizadas a aplicações Web do OWASP

Aqui está a lista de ameaças automatizadas identificadas e compiladas pelo Projeto contra ameaças automatizadas a aplicações Web do OWASP.

  1. Agregação de contas. O objetivo desses ataques é coletar credenciais de contas de usuários de vários sites ou plataformas, geralmente para fins maliciosos, como roubo de identidade, fraude financeira ou acesso não autorizado a informações confidenciais. Ataques de agregação de contas são realizados usando bots ou scripts automatizados que imitam interações humanas com vários serviços ou aplicativos da web. 
  2. Criação de conta. Esses ataques envolvem agentes mal-intencionados que usam scripts automatizados ou bots para criar um grande número de contas de usuários falsas em uma plataforma ou site. Os invasores podem usar essas contas falsas para inundar a plataforma com conteúdo de spam, anúncios ou links maliciosos, causando interrupção e aborrecimento aos usuários legítimos. Contas falsas também podem ser usadas para manipular o sentimento público e avaliações/classificações em um site ou aplicativo, ou se passar por usuários reais ou figuras públicas para espalhar informações incorretas ou causar danos à reputação.  Essa ameaça também pode resultar em fraude na abertura de novas contas, também conhecida como fraude primária, e tem ramificações em todo o mundo digital .
  3. Fraude publicitária. Também conhecida como fraude de cliques, essa ameaça envolve atividades enganosas para falsificar o número de interações com anúncios online, como cliques ou impressões. Essas ações fraudulentas são normalmente realizadas por meio de bots ou scripts automatizados e visam gerar receita para os fraudadores ou manipular métricas de desempenho de publicidade. 
  4. Derrota do CAPTCHA. Essa ameaça usa técnicas automatizadas para contornar ou driblar desafios de CAPTCHA e é uma preocupação significativa para a segurança de aplicativos da web, pois permite que agentes mal-intencionados contornem uma defesa comum contra bots. CAPTCHA (teste de Turing público completamente automatizado para diferenciar computadores de humanos) é um controle de segurança usado para distinguir entre usuários humanos e bots ou scripts automatizados. Os invasores podem usar software de reconhecimento de imagem para resolver CAPTCHAs visuais e implantar algoritmos de aprendizado de máquina para resolver CAPTCHAs auditivos e de quebra-cabeça. Em alguns casos, os invasores empregam solucionadores humanos de CAPTCHA que resolvem CAPTCHAs manualmente em tempo real. Embora seja um controle de segurança comumente usado, o CAPTCHA pode ser ignorado e gerar atrito na experiência do cliente para usuários legítimos, o que pode levar ao abandono de transações e receitas.   
  5. Quebra de cartas. Este é um tipo automatizado de crime cibernético que envolve adivinhar ou quebrar os recursos de segurança de um cartão de pagamento, como o número do cartão, a data de validade e o código de segurança (CVV/CVC). A quebra de cartões geralmente emprega ataques de força bruta, onde bots ou scripts automatizados tentam sistematicamente diversas combinações de detalhes de cartões até encontrarem uma combinação que corresponda a um cartão válido. Depois que os detalhes válidos do cartão são identificados, eles podem ser usados para diversas atividades ilegais, como fazer compras não autorizadas ou cometer fraudes financeiras. O invasor pode pegar alguns cartões-presente físicos descarregados de uma loja física para verificar se o emissor do cartão-presente confiou em padrões de numeração sequencial. 
  6. Cardação. Essa forma de crime cibernético automatizado envolve o uso não autorizado de informações de cartões de pagamento roubados para fazer transações ou compras fraudulentas. Os criminosos usam bots ou scripts automatizados para testar os detalhes do cartão de crédito ou débito roubado em vários sites ou aplicativos para identificar aqueles que aceitam as informações roubadas. Depois que os bots automatizados identificam alvos vulneráveis, eles usam as informações do cartão roubado para fazer compras fraudulentas, geralmente de bens de alto valor ou serviços digitais, ou transferir o valor disponível para outras contas.  
  7. Saque. Isso se refere à conversão de ativos ilíquidos ou moeda virtual em fundos do mundo real ou bens tangíveis. Essa ameaça geralmente ocorre após ataques bem-sucedidos que resultam no roubo de ativos valiosos de plataformas ou contas online. Quando invasores assumem o controle de contas de usuários em aplicativos da web ou plataformas online, eles podem usar essas contas para sacar ativos do proprietário da conta, como cartões-presente, pontos de fidelidade ou moeda virtual. Os bots são frequentemente usados para facilitar o saque, pois permitem que os criminosos cibernéticos realizem essas atividades fraudulentas em grande escala e com eficiência. 
  8. Quebra de credenciais. Essa ameaça é um tipo de ataque de força bruta que tem como alvo os mecanismos de login de aplicativos da web, como páginas de login, portais de contas de usuários ou APIs de autenticação. O invasor usa automação para tentar sistematicamente combinações comuns de nomes de usuário e senhas até encontrar uma que funcione para conceder acesso não autorizado às contas de usuários. Isso permite que o invasor execute atividades maliciosas, como roubo de identidade, fraude financeira ou outras ações não autorizadas.  
  9. Excesso de credenciais. Uma das formas mais comuns de ameaças a aplicativos da web, o credential stuffing ocorre quando criminosos cibernéticos obtêm listas de pares de nome de usuário/senha, geralmente comprados na dark web, e tentam usar o par de credenciais para obter acesso a outras contas protegidas por login. Como muitas pessoas reutilizam nomes de usuário e senhas, esses ataques (também chamados de invasão de conta) podem ser extremamente eficazes, permitindo que criminosos assumam o controle de contas de usuários para roubar ativos ou cometer fraudes de terceiros.  
  10. Negação de inventário. Esse ataque ocorre quando invasores retiram mercadorias de comércio eletrônico de circulação usando bots para adicionar grandes quantidades de itens a um carrinho de compras, sem prosseguir com a compra. Essa situação impede que outros compradores comprem a mercadoria porque o sistema registra uma condição de falta de estoque e também nega a venda ao vendedor porque a compra nunca é concluída. Uma variação dessa ameaça automatizada ocorre quando bots são usados para fazer reservas ou reservas de quartos de hotel, mesas de restaurante ou assentos de avião sem concluir o pagamento. 
  11. Negação de serviço (DoS) e negação de serviço distribuída (DDoS). Esses ataques são tentativas maliciosas de interromper o funcionamento normal de um sistema ou rede de destino, tornando-o indisponível para usuários legítimos. Em um ataque DDoS, o invasor sobrecarrega o alvo com um grande volume de tráfego ou solicitações de recursos, causando sobrecargas no servidor e tornando o serviço inacessível. Esses ataques podem ser realizados usando vários métodos, como inundar o alvo com pacotes ou enviar solicitações especialmente criadas. Ataques DoS e DDoS são semelhantes, mas no DDoS o ataque envolve múltiplas fontes, geralmente coordenadas por botnets, que são uma rede de computadores ou dispositivos comprometidos sob o controle do invasor. O invasor coordena essas múltiplas fontes para lançar o ataque simultaneamente contra o alvo. Ao aproveitar os recursos combinados da botnet, o invasor pode gerar uma quantidade enorme de tráfego ou solicitações, sobrecarregando a capacidade do sistema alvo e causando uma negação de serviço. Esses ataques podem sobrecarregar tabelas de estado do firewall, recursos da CPU e largura de banda da infraestrutura. Um ataque DoS pode ser executado com uma única solicitação bem elaborada para um aplicativo web, por exemplo, uma consulta SQL complexa que resulta em alta degradação de CPU e desempenho.
  12. Acelerando. Essa ameaça envolve o uso de bots ou scripts automatizados para concluir rapidamente uma série de processos de inscrição, ignorando restrições ou verificações normais em vigor. Ao automatizar processos, invasores ou usuários mal-intencionados podem obter uma vantagem injusta sobre outros usuários legítimos. Essa atividade é frequentemente associada ao engano e pode resultar em perdas para outras partes.  
  13. Impressão digital. Os agentes de ameaças usam a impressão digital como uma técnica de coleta de informações para coletar e analisar características ou atributos exclusivos do navegador ou dispositivo de um usuário para criar uma “impressão digital” distinta. Isso permite que os agentes de ameaças identifiquem e rastreiem usuários individuais em diferentes sites e plataformas online, ou criem perfis e, posteriormente, ataquem um aplicativo. 
  14. Pegada. Esta não é uma ameaça automatizada em si, mas sim uma fase preliminar de um processo de hacking ou reconhecimento. O Footprinting envolve o uso de bots ou scripts para coletar informações sobre a composição, configuração e mecanismos de segurança de um aplicativo da web de destino, permitindo que os invasores planejem melhor os ataques subsequentes, como o lançamento de explorações direcionadas para obter acesso não autorizado ou explorar vulnerabilidades específicas. 
  15. Scalping ou acumulação de estoque. Essa é uma forma de automação de compras na qual os invasores usam bots para comprar grandes quantidades de produtos ou serviços de estoque limitado no momento em que eles são colocados à venda online (pense em ingressos para shows e tênis de edição limitada). Ao concluir o processo de checkout instantaneamente, os criminosos ganham controle em massa sobre o estoque valioso, que geralmente é revendido em mercados secundários com uma margem de lucro significativa, levando à escassez artificial, negação de estoque e frustração do consumidor.  
  16. Raspagem. Embora não seja inerentemente malicioso, o scraping é o processo automatizado de extração de dados de sites ou aplicativos da web. O scraping se torna uma ameaça automatizada quando usado para fins não autorizados ou maliciosos, como quando bots são usados para coletar conteúdo de um site de destino para analisar, reutilizar ou manipular preços, especialmente em mercados competitivos. A raspagem também pode afetar o desempenho do site e impedir que usuários legítimos acessem o site. 
  17. Inclinação. Isso ocorre quando agentes mal-intencionados clicam, solicitam ou enviam conteúdo repetidamente em um aplicativo da web, afetando intencionalmente métricas baseadas no aplicativo, como contagens, curtidas, impressões, resultados de pesquisas, frequência ou taxas. A distorção pode ser realizada usando bots automatizados que imitam o comportamento humano para gerar interações artificiais com o aplicativo web. O objetivo da distorção é manipular e distorcer os dados gerados por métricas baseadas em aplicativos, levando a resultados imprecisos ou enganosos. 
  18. Atirador de elite. Esse é um tipo de atividade maliciosa que envolve o uso de bots ou scripts automatizados para obter vantagem competitiva em leilões, vendas ou sistemas de reserva online. O termo “sniping” é comumente usado no contexto de eventos cronometrados ou itens de disponibilidade limitada, onde a velocidade e o tempo preciso desempenham um papel crucial, deixando tempo insuficiente para outro usuário fazer um lance ou uma oferta. O sniping permite que os invasores obtenham uma vantagem competitiva sobre os usuários humanos que estão participando manualmente do evento, pois os bots podem executar ações com mais rapidez e precisão. 
  19. Spam. Isso se refere a conteúdo malicioso ou informações questionáveis distribuídas por bots que aparecem em conteúdo público ou privado, bancos de dados ou mensagens de usuários em aplicativos da web. O conteúdo malicioso pode incluir malware, pop-ups IFRAME, fotografias, vídeos, anúncios e código de rastreamento/vigilância. Os invasores também usam spam para adicionar comentários falsos em fóruns e outros aplicativos de mensagens para falsificar informações ou distribuir malware. 
  20. Quebra de tokens. Esse ataque automatizado é resultado de criminosos realizando enumerações em massa de números de cupons, códigos de vouchers e tokens de desconto. O benefício recebido pode ser um desconto, uma alternativa em dinheiro, um crédito ou acesso a uma oferta especial.
  21. Verificação de vulnerabilidades. Essa ameaça se refere ao uso de ferramentas ou scripts automatizados para identificar e explorar vulnerabilidades em aplicativos da web. Ao contrário da varredura de vulnerabilidade legítima, que visa identificar fraquezas com o propósito de melhorar a segurança, a varredura de vulnerabilidade como uma ameaça automatizada é realizada com a intenção maliciosa de comprometer a segurança do aplicativo. Os criminosos usam ferramentas de verificação automatizadas ou scripts para escanear sistematicamente aplicativos expostos na Internet, geralmente imediatamente após uma vulnerabilidade ser divulgada. Depois que as vulnerabilidades são identificadas, os criminosos tentam explorá-las para obter acesso não autorizado ao aplicativo, aos dados confidenciais ou à infraestrutura do servidor subjacente. 

O caso dos controles de segurança integrados

A F5 aborda os riscos de segurança do OWASP

A F5 apoia a Fundação OWASP e sua dedicação em melhorar a segurança de software e aumentar a conscientização sobre riscos e vulnerabilidades de segurança de aplicativos web em vários níveis. De fato, há riscos de segurança comuns a aplicativos da web e APIs que devem ser considerados ao implementar soluções de segurança. Por exemplo: 

  • Controles de autenticação/autorização fracos
  • Configuração incorreta
  • Abuso da lógica de negócios (credential stuffing, account takeover)
  • Server-Side Request Forgery (SSRF).

A F5 oferece soluções para lidar com os riscos descritos no Projeto de Ameaças Automatizadas a Aplicativos Web da OWASP. O F5 Distributed Cloud Bot Defense previne fraudes e abusos que podem contornar as soluções de gerenciamento de bots existentes e fornece monitoramento e inteligência em tempo real, bem como análise retrospectiva baseada em ML para proteger organizações de ataques automatizados, sem causar atrito ao usuário ou interromper a experiência do cliente. A defesa distribuída de bots na nuvem mantém a eficácia independentemente de como os invasores se reorganizam, se os ataques mudam de aplicativos da web para APIs ou tentam contornar as defesas antiautomação falsificando telemetria ou usando solucionadores de CAPTCHA humanos. As soluções de gerenciamento de bots da F5 fornecem pontos de inserção flexíveis de proxies de aplicativos, plataformas e redes de distribuição de conteúdo (CDNs).

As soluções de firewall de aplicativo Web da F5 também bloqueiam e mitigam um amplo espectro de riscos identificados pelo OWASP Top 10, uma lista amplamente reconhecida dos riscos de segurança de aplicativos Web mais críticos. As soluções F5 WAF combinam proteções de assinatura e comportamentais, incluindo inteligência de ameaças do F5 Labs e segurança baseada em ML, para acompanhar as ameaças emergentes. Ele alivia o fardo e a complexidade de proteger consistentemente aplicativos em nuvens, ambientes locais e de ponta, ao mesmo tempo em que simplifica o gerenciamento por meio de uma infraestrutura SaaS centralizada. Os F5 WAFs também otimizam a segurança do aplicativo ao integrar proteções em estruturas de desenvolvimento e pipelines de CI/CD com funcionalidade de segurança central, orquestração centralizada e supervisão por meio de um único painel com uma visão de 360 graus do desempenho do aplicativo e eventos de segurança em aplicativos distribuídos. Um WAF integrado com defesa de bot especializada fornece uma solução robusta para mitigar os principais riscos de segurança, incluindo explorações de vulnerabilidades e ameaças automatizadas.  

A F5 aborda os riscos identificados no OWASP API Security Top 10 com soluções que protegem a crescente superfície de ataque e as ameaças emergentes à medida que os aplicativos evoluem e as implantações de API aumentam. As soluções de proteção de API e aplicativos da Web (WAAP) da F5 defendem toda a superfície de ataque de aplicativos modernos com proteções abrangentes que incluem WAF, segurança de API , mitigação de DDoS L3-L7 e defesa de bots contra ameaças automatizadas e fraudes resultantes. A plataforma distribuída simplifica a implantação de políticas consistentes e dimensiona a segurança em todo o seu conjunto de aplicativos e APIs, independentemente de onde estejam hospedados, e integra proteções ao ciclo de vida da API e aos ecossistemas de segurança mais amplos.

A F5 também oferece proteção DDoS em várias camadas para segurança on-line avançada como um serviço de mitigação gerenciado e fornecido pela nuvem que detecta e atenua ataques de larga escala direcionados a redes, protocolos e aplicativos em tempo real; as mesmas proteções estão disponíveis como soluções de hardware, software e híbridas locais. O F5 Distributed Cloud DDoS Mitigation defende contra ataques volumétricos e específicos de aplicativos de camada 3-4 e ataques avançados de camada 7 antes que eles atinjam sua infraestrutura de rede e aplicativos.