Glossário

Ameaças automatizadas a aplicações Web do OWASP

Este projeto do OWASP se concentra na identificação de ameaças automatizadas que têm como alvo aplicações Web e na recomendação de controles de segurança e práticas para mitigar seus riscos.

O objetivo do Projeto contra ameaças automatizadas a aplicações Web do OWASP (Open Worldwide Application Security Project) é oferecer uma compreensão abrangente e padronizada das várias ameaças automatizadas que as aplicações Web geralmente enfrentam. Esses ataques automatizados visam cada vez mais aplicações móveis e APIs. O projeto reúne pesquisas e análises de ataques automatizados do mundo real contra aplicações Web para produzir documentação para ajudar os operadores a se defenderem contra essas ameaças. 

O que são ameaças automatizadas?

Ameaças automatizadas referem-se a ataques maliciosos realizados por bots, scripts ou kits de ferramentas de hackers, e não por humanos que interagem manualmente com a aplicação Web. Essas ameaças podem explorar vulnerabilidades inerentes a aplicações Web e APIs, levando a violações de segurança, roubo de dados, account takeover, fraude e outras consequências prejudiciais.

Embora não seja uma vulnerabilidade ter um carrinho de compras em sua aplicação, a lógica de negócios para facilitar a adição de itens a um carrinho de compras também pode ser direcionada e manipulada por automações, resultando em acúmulo de estoque

O projeto criou um catálogo ou taxonomia de diferentes ameaças automatizadas direcionadas a aplicações Web. Ao identificar e categorizar essas ameaças, desenvolvedores, profissionais de segurança e organizações podem obter uma compreensão mais profunda dos riscos que enfrentam e do impacto potencial em seus sistemas. Para cada ameaça automatizada, o projeto também recomenda contramedidas eficazes e práticas para mitigar os riscos. Ao aumentar a conscientização sobre essas ameaças, o OWASP visa incentivar medidas de segurança proativas e melhorar a postura geral de segurança das aplicações Web.

Como muitas ameaças automatizadas dependem de bots, é útil distinguir entre gerenciamento de bots e mitigação de bots. O gerenciamento de bots refere-se às estratégias e práticas usadas para lidar com bots que interagem com aplicações Web. O objetivo do gerenciamento de bots não é apenas bloquear ou mitigar bots, mas também diferenciar entre tráfego legítimo de bots (por exemplo, rastreadores de mecanismos de pesquisa) e bots maliciosos. A mitigação de bots se concentra especificamente no processo de reduzir ou eliminar o impacto de bots maliciosos em aplicações Web. Ela envolve a implementação de medidas defensivas para evitar que os bots executem com sucesso ações ou ataques prejudiciais que podem levar a account takeover (ATO) e fraude.

A lista de ameaças automatizadas a aplicações Web do OWASP

Aqui está a lista de ameaças automatizadas identificadas e compiladas pelo Projeto contra ameaças automatizadas a aplicações Web do OWASP.

  1. Agregação de contas. O objetivo destes ataques é coletar credenciais de contas de usuários de vários sites ou plataformas, geralmente para fins maliciosos, como roubo de identidade, fraude financeira ou acesso não autorizado a informações confidenciais. Os ataques de agregação de contas são realizados usando bots ou scripts automatizados que imitam as interações humanas com vários serviços ou aplicações Web. 
  2. Criação de contas. Estes ataques envolvem agentes maliciosos que usam scripts ou bots automatizados para criar um grande número de contas de usuário falsas em uma plataforma ou site. Os invasores podem usar essas contas falsas para inundar a plataforma com conteúdo de spam, anúncios ou links maliciosos, causando interrupção e aborrecimento aos usuários legítimos. Contas falsas também podem ser usadas para manipular o sentimento público e avaliações/classificações em um site ou aplicação ou personificar usuários reais ou figuras públicas para espalhar desinformação ou causar danos à reputação.  Essa ameaça também pode resultar em fraude de abertura de novas contas, também conhecida como fraude primária, e tem ramificações em todo o mundo digital.
  3. Fraude de anúncios. Também conhecida como fraude de cliques, esta ameaça envolve atividades enganosas para falsificar o número de interações com anúncios on-line, como cliques ou impressões. Essas ações fraudulentas são normalmente realizadas por meio de bots ou scripts automatizados e visam gerar receita para os fraudadores ou manipular métricas de desempenho de publicidade. 
  4. Derrota de CAPTCHA. Esta ameaça usa técnicas automatizadas para contornar ou driblar os desafios do CAPTCHA e é uma preocupação significativa para a segurança de aplicações Web, pois permite que agentes maliciosos contornem uma defesa comum contra bots. CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) é um controle de segurança usado para distinguir entre usuários humanos e bots ou scripts automatizados. Os invasores podem usar software de reconhecimento de imagem para decifrar CAPTCHAs visuais e implantar algoritmos de aprendizado de máquina para decifrar CAPTCHAs de áudio e de quebra-cabeças. Em alguns casos, os invasores empregam solucionadores de CAPTCHA humanos que decifram manualmente os CAPTCHAs em tempo real. Embora seja um controle de segurança comumente usado, o CAPTCHA pode ser contornado e provoca atrito na experiência do cliente para usuários legítimos, o que pode levar à perda de transações e receitas.   
  5. Violação de cartões. Este é um tipo automatizado de crime cibernético que envolve adivinhar ou quebrar os recursos de segurança de um cartão de pagamento, como o número do cartão, a data de validade e o código de segurança (CVV/CVC). A violação de cartões normalmente emprega ataques de força bruta, onde bots ou scripts automatizados testam sistematicamente várias combinações de detalhes do cartão até encontrar uma combinação que corresponda a um cartão válido. Uma vez identificados os detalhes válidos do cartão, eles podem ser usados para várias atividades ilegais, como fazer compras não autorizadas ou cometer fraudes financeiras. O invasor pode pegar alguns cartões-presente físicos descarregados de uma loja física para ver se o emissor do cartão-presente recorre a padrões de numeração sequencial. 
  6. Carding. Esta forma de crime cibernético automatizado envolve o uso não autorizado de informações de cartões de pagamento roubadas para fazer transações ou compras fraudulentas. Os criminosos usam bots ou scripts automatizados para testar os detalhes do cartão de crédito ou débito roubado em vários sites ou aplicações, a fim de identificar aqueles que aceitam as informações roubadas. Uma vez que os bots automatizados identificam alvos vulneráveis, eles usam as informações do cartão roubado para fazer compras fraudulentas, muitas vezes de bens ou serviços digitais de alto valor, ou transferir o valor disponível para outras contas.  
  7. Saque. Refere-se à conversão de ativos ilíquidos ou moeda virtual em fundos do mundo real ou bens tangíveis. Essa ameaça geralmente ocorre após ataques bem-sucedidos que resultam no roubo de ativos valiosos de plataformas ou contas on-line. Quando os invasores assumem o controle de contas de usuários em aplicações Web ou plataformas on-line, eles podem usar essas contas para sacar os ativos do proprietário da conta, como cartões-presente, pontos de fidelidade ou moeda virtual. Os bots são frequentemente usados para facilitar o saque, pois permitem que os cibercriminosos realizem essas atividades fraudulentas em grande escala e com eficiência. 
  8. Quebra de credenciais. Esta ameaça é um tipo de ataque de força bruta que tem como alvo os mecanismos de login de aplicações Web, como páginas de login, portais de contas de usuário ou APIs de autenticação. O invasor usa a automação para testar sistematicamente combinações comuns de nomes de usuário e senhas até encontrar uma que funcione para conceder acesso não autorizado a contas de usuário. Isso permite que o invasor realize atividades maliciosas, como roubo de identidade, fraude financeira ou outras ações não autorizadas.  
  9. Credential stuffing. Uma das formas mais comuns de ameaças a aplicações Web, o credential stuffing ocorre quando os cibercriminosos obtêm listas de pares de nome de usuário/senha, geralmente compradas na Dark Web, e tentam usar o par de credenciais para obter acesso a outras contas protegidas por login. Como muitas pessoas reutilizam nomes de usuário e senhas, esses ataques (também chamados de account takeover) podem ser notavelmente eficazes, permitindo que os criminosos assumam o controle de contas de usuário para roubar ativos ou cometer fraudes a terceiros.
  10. Negação de estoque. Este ataque ocorre quando os invasores tiram mercadorias de comércio eletrônico de circulação usando bots para adicionar um grande número de itens a um carrinho de compras, sem prosseguir para o checkout para comprá-los. Essa situação impede que outros compradores comprem a mercadoria porque o sistema registra uma condição de falta de estoque e também nega a venda ao fornecedor porque a compra nunca é concluída. Uma variação dessa ameaça automatizada ocorre quando os bots são usados para fazer reservas ou retenções em quartos de hotel, mesas de restaurantes ou assentos de companhias aéreas sem concluir o pagamento. 
  11. Negação de serviço (DoS) e Negação de serviço distribuído (DDoS). Estes ataques são tentativas maliciosas de interromper o funcionamento normal de um sistema ou rede-alvo, tornando-o indisponível para usuários legítimos. Em um ataque de DDoS, o invasor sobrecarrega o alvo com um enorme volume de tráfego ou solicitações de recursos, causando sobrecargas no servidor e tornando o serviço inacessível. Esses ataques podem ser realizados usando vários métodos, como inundar o alvo com pacotes ou enviar solicitações especialmente criadas. Os ataques de DoS e DDoS são semelhantes, mas com a DDoS o ataque envolve várias fontes, geralmente coordenadas por meio de botnets, que são uma rede de computadores ou dispositivos comprometidos sob o controle do invasor. O invasor coordena essas várias fontes para lançar simultaneamente o ataque contra o alvo. Ao alavancar os recursos combinados da botnet, o invasor pode gerar uma enorme quantidade de tráfego ou solicitações, sobrecarregando a capacidade do sistema-alvo e causando uma negação de serviço. Esses ataques podem sobrecarregar as tabelas de estado de firewall, os recursos da CPU e a largura de banda da infraestrutura. Um ataque de DoS pode ser executado com uma única solicitação bem elaborada para uma aplicação Web, por exemplo, uma consulta SQL complexa que resulta em alta degradação da CPU e do desempenho.
  12. Agilização. Esta ameaça envolve o uso de bots ou scripts automatizados para concluir rapidamente uma série de processos de aplicações, contornando as restrições ou verificações normais existentes. Ao automatizar processos, os invasores ou usuários mal-intencionados podem obter uma vantagem injusta sobre outros usuários legítimos. Esta atividade é frequentemente associada a fraudes e pode resultar em perdas para outras partes.  
  13. Impressão digital. Os agentes de ameaças usam a impressão digital como uma técnica de coleta de informações para coletar e analisar características ou atributos exclusivos do navegador ou dispositivo da Web de um usuário a fim de criar uma “impressão digital” distinta. Isso permite que os agentes de ameaças identifiquem e rastreiem usuários individuais em diferentes sites e plataformas on-line ou criem perfis e, posteriormente, ataquem uma aplicação. 
  14. Pegada. Esta não é uma ameaça automatizada em si, mas sim uma fase preliminar de um processo de hacking ou reconhecimento. A pegada envolve o uso de bots ou scripts para coletar informações sobre a composição, configuração e mecanismos de segurança de uma aplicação Web alvo, permitindo que os invasores planejem melhor os ataques subsequentes, como o lançamento de explorações direcionadas para obter acesso não autorizado ou explorar vulnerabilidades específicas. 
  15. Scalping ou acúmulo de estoque. Esta é uma forma de automação de compras na qual os invasores usam bots para comprar grandes quantidades de bens ou serviços de estoque limitado no momento em que eles são colocados à venda on-line (pense em ingressos para shows e tênis de edição limitada). Ao concluir o processo de checkout instantaneamente, os criminosos ganham enorme controle sobre um estoque valioso, que geralmente é revendido em mercados secundários com uma margem de lucro significativa, levando à escassez artificial, negação de estoque e frustração do consumidor.  
  16. Extração de dados. Embora não seja inerentemente maliciosa, a extração de dados é o processo automatizado de extrair dados de sites ou aplicações Web. A extração de dados se torna uma ameaça automatizada quando usada para fins não autorizados ou maliciosos, como quando os bots são usados para coletar conteúdo de um site-alvo para análise, reutilização ou manipulação de preços, especialmente em mercados competitivos. A extração de dados também pode afetar o desempenho dos sites e impedir que usuários legítimos acessem um site. 
  17. Distorção. Isso ocorre quando agentes mal-intencionados clicam, solicitam ou enviam conteúdo repetidamente em uma aplicação Web, afetando intencionalmente as métricas baseadas na aplicação, como contagens, curtidas, impressões, resultados de pesquisas, frequência ou taxas. A distorção pode ser realizada usando bots automatizados que imitam o comportamento humano para gerar interações artificiais com a aplicação Web. O objetivo da distorção é manipular e distorcer os dados gerados por métricas baseadas em aplicações, levando a resultados imprecisos ou enganosos. 
  18. Sniping. Este é um tipo de atividade maliciosa que envolve o uso de bots ou scripts automatizados para obter vantagens competitivas em leilões, vendas ou sistemas de reservas on-line. O termo “sniping” é comumente usado no contexto de eventos cronometrados ou itens de disponibilidade limitada, onde a velocidade e timing preciso desempenham um papel crucial, deixando tempo insuficiente para outro usuário dar um lance ou fazer uma oferta. O sniping permite que os invasores obtenham uma vantagem competitiva sobre os usuários humanos que participam manualmente do evento, pois os bots podem executar ações com mais rapidez e precisão. 
  19. Spam. Refere-se a conteúdo malicioso ou informações questionáveis distribuídas por bots que aparecem em conteúdo público ou privado, bancos de dados ou mensagens de usuários em aplicações Web. O conteúdo malicioso pode incluir malware, pop-ups de IFRAME, fotografias, vídeos, anúncios e código de rastreamento/vigilância. Os invasores também usam spam para adicionar comentários falsos em fóruns e outras aplicações de mensagens a fim de falsificar informações ou distribuir malware. 
  20. Quebra de tokens. Este ataque automatizado é o resultado de criminosos que realizam a enumeração em massa de números de cupons, códigos de vouchers e tokens de desconto. O benefício recebido pode ser um desconto, uma alternativa em dinheiro, um crédito ou o acesso a uma oferta especial.
  21. Varredura de vulnerabilidades. Esta ameaça se refere ao uso de ferramentas ou scripts automatizados para identificar e explorar vulnerabilidades em aplicações Web. Ao contrário da varredura de vulnerabilidades legítima, que visa identificar pontos fracos com o objetivo de melhorar a segurança, a varredura de vulnerabilidades como uma ameaça automatizada é realizada com a intenção maliciosa de comprometer a segurança da aplicação. Os criminosos usam ferramentas ou scripts de varredura automatizados para varrer sistematicamente as aplicações expostas na Internet, normalmente imediatamente após a divulgação de uma vulnerabilidade. Uma vez que as vulnerabilidades são identificadas, os criminosos tentam explorá-las para obter acesso não autorizado à aplicação, a dados confidenciais ou à infraestrutura subjacente do servidor. 

O caso dos controles de segurança integrados

A F5 aborda os riscos de segurança do OWASP

A F5 apoia a Fundação OWASP e sua dedicação em melhorar a segurança de software e aumentar a conscientização sobre os riscos e vulnerabilidades de segurança de aplicações Web em vários níveis. De fato, existem riscos de segurança comuns a aplicações Web e APIs que devem ser considerados ao implementar soluções de segurança. Por exemplo: 

  • Controles de autenticação/autorização fracos 
  • Configuração incorreta 
  • Abuso da lógica de negócios (credential stuffing, account takeover)
  • Server-Side Request Forgery (SSRF).

A F5 oferece soluções para lidar com os riscos descritos pelo OWASP no Projeto contra ameaças automatizadas a aplicações Web. O F5 Distributed Cloud Bot Defense evita fraudes e abusos que podem contornar as soluções de gerenciamento de bots existentes e fornece monitoramento e inteligência em tempo real, bem como análise retrospectiva baseada em ML para proteger as organizações de ataques automatizados, sem impactar o usuário ou afetar a experiência do cliente. O Distributed Cloud Bot Defense mantém a eficácia, independentemente de como os invasores se reequipam, seja direcionando seus ataques de aplicações Web para APIs, tentando contornar defesas antiautomação falsificando a telemetria ou usando solucionadores de CAPTCHA humanos. As soluções de gerenciamento de bots da F5 fornecem pontos de inserção flexíveis de proxies de aplicações, plataformas e redes de distribuição de conteúdo (CDNs).

As soluções de firewalls de aplicações Web da F5 também bloqueiam e mitigam um amplo espectro de riscos identificados pelo OWASP Top 10, uma lista amplamente reconhecida dos riscos de segurança mais críticos de aplicações Web. As soluções de WAF da F5 combinam assinaturas e proteções e comportamentais, incluindo a inteligência contra ameaças da F5 Labs e segurança baseada em ML, para acompanhar as ameaças emergentes. Elas reduzem a carga e a complexidade de proteger consistentemente as aplicações nas nuvens, no local e em ambientes de borda, ao mesmo tempo em que simplificam o gerenciamento por meio de uma infraestrutura SaaS centralizada. Os WAFs da F5 também otimizam a segurança das aplicações, integrando proteções em estruturas de desenvolvimento e pipelines de CI/CD com funcionalidade de segurança básica, orquestração centralizada e supervisão por meio de um único painel com uma visão de 360 graus do desempenho da aplicação e dos eventos de segurança em aplicações distribuídas. Um WAF integrado com defesa especializada contra bots fornece uma solução robusta para mitigar os principais riscos de segurança, incluindo explorações de vulnerabilidades e ameaças automatizadas.  

A F5 aborda os riscos identificados no OWASP API Security Top 10 com soluções que protegem a crescente superfície de ataque e ameaças emergentes à medida que as aplicações evoluem e as implantações de APIs aumentam. As soluções de proteção de APIs e aplicações Web (WAAP) da F5 defendem toda a superfície de ataque de aplicações modernas com proteções abrangentes que incluem WAF, API Security, mitigação de ataques DDoS de L3-L7 e defesa contra bots contra ameaças automatizadas e fraudes resultantes. A plataforma distribuída simplifica a implantação de políticas consistentes e a escalabilidade da segurança em todo o seu acervo de aplicações e APIs, independentemente de onde elas estejam hospedadas, além de integrar proteções ao ciclo de vida da API e a ecossistemas de segurança mais amplos.

A F5 também oferece proteção contra DDoS de várias camadas para segurança on-line avançada como um serviço de mitigação gerenciado e fornecido pela nuvem que detecta e mitiga ataques em larga escala direcionados a redes, protocolos e aplicações em tempo real. As mesmas proteções também estão disponíveis como hardware, software e soluções híbridas no local. A Distributed Cloud DDoS Mitigation da F5 protege contra ataques volumétricos e específicos para aplicações de camada 3–4 e ataques avançados de camada 7 antes que eles alcancem sua infraestrutura de rede e aplicações.