Dos bots à sala de reuniões: Como os bots ruins impactam negativamente seu balanço patrimonial

Ataques automatizados de bots também podem contribuir diretamente para perdas financeiras e oportunidades econômicas perdidas por:

• Perder a confiança do cliente após a aquisição da conta. Os clientes ficam justificadamente insatisfeitos se as defesas inadequadas de bots de uma organização resultam em apropriação indébita de conta (ATO) e atividades fraudulentas dispendiosas, levando a declínios na satisfação do cliente, reputação danificada e término de relacionamentos. Mais de um quarto dos consumidores americanos pesquisados disseram que trocariam de banco se estivessem insatisfeitos com a forma como o banco responde ao seu caso de fraude. 
   
• Aumento de perdas devido a fraudes e estornos. Ataques ATO controlados por bots e criação fraudulenta de contas afetam os resultados financeiros quando criminosos usam credenciais roubadas para fazer compras ou criar contas falsas. Os estornos prejudicam a reputação do comerciante com os processadores de cartão de crédito e levam a penalidades de estorno.
   
• Aumento dos custos de mão de obra. Ataques de bots, como o credential stuffing, que levam à ATO, exigem investigação por analistas de fraude, o que tira tempo de suas investigações mais críticas e aprofundadas. Mesmo quando os bots de preenchimento de credenciais não conseguem assumir o controle de uma conta, eles geralmente bloqueiam as contas tentando várias senhas em rápida sucessão, forçando os clientes a ligar para o suporte, aumentando os custos de suporte a cada chamada.
   
• Distorcendo as avaliações dos investidores. Quando a avaliação de uma empresa de capital aberto depende do número de seguidores, usuários ou engajamentos, a presença de contas de bots não humanos pode distorcer drasticamente as avaliações precisas. Por exemplo, tentativas recentes de chegar a uma avaliação precisa para o Twitter, com base no número de contas operadas por humanos em comparação com bots, dominaram as notícias em 2022. 
   
• Confundir bots com humanos e vice-versa, com soluções de mitigação de bots não confiáveis.  Esforços inadequados de mitigação de bots produzirão esses erros, mas eles devem ser limitados e prevenidos. Falsos positivos (quando uma ferramenta de gerenciamento de bots acusa um ser humano real de ser um bot) e falsos negativos (quando a ferramenta marca um bot como humano) impactam tanto os lucros quanto os lucros. Uma fará com que você perca clientes e a outra causará perdas econômicas devido a fraudes. Na verdade, um falso positivo que impede um cliente estratégico de fazer uma transferência de dinheiro pode ser mais prejudicial para um banco do que um falso negativo que resulta em fraude ou estornos. Ambas as situações também exigirão tempo e trabalho de um analista de fraudes para serem investigadas.
   
• Não proteger os dados do consumidor. Legislações e padrões como o Regulamento Geral de Proteção de Dados (GDPR) na UE, a Lei de Proteção ao Consumidor da Califórnia (CCPA) e o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) são projetados para garantir a privacidade dos dados do consumidor e impor grandes penalidades monetárias em caso de violações de dados. Isso inclui ataques ATO e de extração de conteúdo que expõem dados privados a bots. Violações de dados resultantes do não cumprimento dessas regulamentações podem ser muito dispendiosas: ao abrigo do RGPD, as autoridades de proteção de dados da UE podem impor multas de até 20 milhões de euros ou 4% do volume de negócios mundial do ano financeiro anterior. 

Os ataques de bots não afetam apenas a receita. Eles também tornam as empresas mais caras de operar ao:

• Impedindo o desempenho e o tempo de atividade do aplicativo, com potencial para aumento nos custos de infraestrutura. Ataques de raspagem de bots, devido ao seu volume, podem comprometer o desempenho do aplicativo e da plataforma e, se não forem controlados, podem exigir investimento excessivo em capacidade de infraestrutura e incorrer em cobranças extras de uso da nuvem para manter os níveis de desempenho necessários.
   
• Reduzindo a disponibilidade do aplicativo e a resiliência dos negócios. Os aplicativos da Web sobrecarregados com atividade de bots não estão disponíveis para consultas de clientes em tempo real e atividades de comércio eletrônico, causando perda de receita, danos à reputação, rotatividade de clientes e experiências de usuário interrompidas.
   
• Relacionamentos prejudiciais com parceiros de ecossistemas terceirizados. Plataformas e aplicativos sobrecarregados com tráfego de bots indesejados podem levar parceiros na economia de APIs a perderem SLAs, violando compromissos contratuais.
   
• Distorcendo decisões empresariais. A atividade de bots pode distorcer estatísticas valiosas do site, dados de registro e métricas de interação com o cliente nas quais as empresas confiam para orientar decisões comerciais, como preços e otimização de SEO paga e orgânica.
   
• Manipulando o gerenciamento de estoque. Bots automatizados podem comprar produtos ou serviços on-line em grandes quantidades no momento em que são colocados à venda, permitindo que criminosos obtenham controle em massa de estoque valioso, que geralmente é revendido em mercados secundários com uma margem de lucro significativa, levando à escassez artificial, negação de estoque e frustração do consumidor.
   
• Aumento do custo de suporte ao cliente. Bots automatizados podem aumentar a pressão sobre as equipes de suporte ao cliente quando os ataques são bem-sucedidos, gerando mais chamadas e comunicações para lidar com invasões de contas, fraudes de vale-presente ou pontos de fidelidade e outras reclamações de clientes sobre contas comprometidas. O uso de ferramentas CAPTCHA e autenticação multifator (MFA) para proteção contra fraudes também pode ter a consequência indesejada de aumentar o atrito do usuário e as chamadas de suporte ao cliente, pois esses processos podem ser difíceis de concluir corretamente e podem levar ao bloqueio de contas de clientes legítimos. Isso pode aumentar os custos operacionais nos centros de suporte ao cliente, causar perda de clientes e prejudicar a reputação da marca por meio de Net Promoter Scores (NPS) e avaliações e classificações ruins em plataformas de mídia social.
   
• Aumento do custo das horas-homem gastas na mitigação de ataques de bots. Enfrentar ataques de bots maliciosos por meio de firewalls de aplicativos da Web (WAFs) e bloquear endereços IP manualmente consome muito tempo e exige um número crescente de funcionários treinados para executar. WAFs básicos não aprendem em tempo real; eles dependem de regras predefinidas para detectar bots ruins e, para mantê-los atualizados, normalmente é necessário aplicar patches e definir regras de forma incremental. A única maneira de dimensionar as defesas usando esses processos manuais é aumentar o número de equipes dedicadas de TI e segurança.

Os impactos qualitativos podem ser mais difíceis de medir do que as métricas quantitativas, mas isso não significa que sejam menos importantes para as organizações. Ataques automatizados de bots também podem contribuir diretamente para esses geradores de valor subjetivo por meio de:

• Impactando a experiência do funcionário. A experiência em segurança da informação é escassa, e muitas organizações estão lidando com a escassez de mão de obra em segurança cibernética, mesmo com o aumento do número e da sofisticação dos ataques automatizados de bots. Apesar de seus melhores esforços, muitas equipes de SOC e de fraude não conseguem acompanhar a capacidade dos criminosos cibernéticos de se adaptarem imediatamente e reestruturarem ataques de bots várias vezes por semana. Sem soluções de defesa de bot mais inteligentes e tecnicamente refinadas, é desafiador manter profissionais de segurança talentosos na equipe, especialmente quando eles se sentem esgotados e sobrecarregados. 

Explicar como os ataques de bots podem impactar as operações e métricas relacionadas a funções e papéis específicos em uma organização é uma maneira importante de apresentar o valor do gerenciamento bem-sucedido de bots.

O CISO se preocupa com a segurança da informação, o controle de custos e garante que a TI viabilize a missão empresarial; os bots impactam cada uma dessas preocupações.

Os bots comprometem cada aspecto da tríade de segurança da informação: confidencialidade, integridade e disponibilidade. Um bot de preenchimento de credenciais que assume o controle de uma conta expõe dados que deveriam ser mantidos confidenciais. Da mesma forma, esses bots permitem que invasores alterem dados e realizem transações, violando a integridade. Os bots de scraping distorcem os dados, assim como os bots de criação de contas falsas, todos violando a integridade das principais métricas de negócios. Por fim, os robôs de scraping e scalping podem colocar uma carga tão grande na infraestrutura de um site que o torna indisponível.

Os bots impactam os custos de muitas maneiras:

• Os bots de preenchimento de credenciais aumentam os custos de suporte devido a bloqueios de contas e aumentam a responsabilidade financeira, pois os criminosos esvaziam os saldos das contas.
   
• Os robôs de carding aumentam as taxas de estorno e podem gerar multas.
   
• Bots de scraping e scalping aumentam a carga de tráfego e os custos de infraestrutura.
   
• Combater bots com ferramentas ineficazes como um WAF gera altos custos de SecOps.

Os bots também preocupam os CISOs, pois eles atrapalham a TI na viabilização dos negócios. O gerenciamento ineficaz de bots, como CAPTCHA e a dependência excessiva de autenticação multifator, cria atrito que prejudica a experiência do cliente e reduz a receita. Os bots distorcem as métricas de negócios a tal ponto que fica difícil avaliar a estratégia de negócios. Como você implementa uma estratégia de negócios quando você nem sabe com quem está interagindo?

A equipe de SecOps é responsável por gerenciar com eficiência os riscos de segurança cibernética para os negócios, e os bots atrapalham essa missão. Assim como o CISO, o SecOps se preocupará com confidencialidade, integridade e disponibilidade, todas elas impactadas por bots. Além dessas preocupações compartilhadas, quando se trata de abordar riscos de segurança de forma eficiente, os bots representam o desafio de criar muito ruído que abafa o sinal, escondendo ameaças em um mar de tráfego malicioso.

Quando os bots são responsáveis pela maior parte do tráfego para um site, é mais difícil analisar os logs em busca de sinais de varredura de vulnerabilidades e ataques de injeção. E ferramentas de segurança como SIEMs e sistemas de detecção e prevenção de intrusão ficarão sobrecarregados, aumentando os custos e causando muitos falsos positivos para investigar. Quando muito pouco é normal, rastrear as anomalias se torna impraticável.

O gerenciamento bem-sucedido de bots elimina o ruído e permite que o SecOps se concentre efetivamente nas ameaças restantes.

Assim como o SecOps, os bots impactam as equipes de operações antifraude aumentando drasticamente o ruído. Com tantos bots assumindo contas, bloqueando contas, criando contas falsas e disparando alertas de anomalias, a carga de trabalho se torna impraticável.

Quando as equipes de fraude e segurança trabalham juntas para gerenciar bots, cada equipe ganha. As equipes de segurança podem se concentrar em um conjunto muito menor de incidentes de segurança, e o nível de fraude é reduzido, permitindo que as equipes de fraude se concentrem em casos de fraude mais complexos que exigem seu julgamento especializado para serem resolvidos, reduzindo a carga de casos e melhorando as métricas de sucesso. Da perspectiva da fraude, os bots são um prelúdio, um meio pelo qual os fraudadores obtêm acesso, e impedir os bots no início reduz a carga de trabalho no final.

As equipes de NetOps são responsáveis por executar a infraestrutura que atende ao negócio, mantendo o tempo de atividade e o desempenho, ao mesmo tempo em que controlam os custos.

Em alguns casos, os robôs de scraping em aplicativos de comércio eletrônico respondem por mais de 90% do tráfego, o que significa que a maior parte da infraestrutura atende a robôs, desperdiçando a maior parte do orçamento para infraestrutura, uma métrica que pode ser bem esclarecida em uma conta de serviços em nuvem.

Esses bots não se preocupam com o desempenho ou o tempo de atividade de um site e podem aumentar o tráfego a qualquer momento, sem aviso, causando imprevisibilidade e custos mais altos para garantir a escalabilidade necessária.

Em uma cultura DevOps, o DevSecOps assume a responsabilidade de incorporar a segurança ao pipeline de integração contínua/desenvolvimento contínuo (CI/CD), garantindo feedback rápido aos desenvolvedores sobre bugs de segurança e melhorando continuamente a integração da segurança ao fluxo de valor da tecnologia.

O DevSecOps move a segurança para a esquerda, garantindo que quaisquer lacunas sejam planejadas anteriormente no fluxo de trabalho. Os bots são relevantes aqui porque novos recursos precisam ser avaliados para saber como os bots podem explorá-los, quais danos podem ser causados e quais medidas devem ser tomadas na implantação para evitar os danos.

As equipes de DevSecOps estão particularmente preocupadas com a telemetria. De acordo com o Manual DevOps¹ , a telemetria é essencial para prever, diagnosticar e resolver problemas em sistemas complexos. Para que o DevOps seja bem-sucedido, a telemetria deve cobrir várias camadas, incluindo métricas de negócios, uso de recursos, desempenho de rede e carga de infraestrutura, para que um problema em uma camada possa ser rastreado na pilha para a rápida identificação das causas raiz.

Os bots distorcem a telemetria de forma significativa. Muitos clientes do F5 Distributed Cloud Bot Defense descobriram que a maioria de suas contas de usuário eram falsas e que os bots eram responsáveis por mais de 95% do tráfego de login. Em alguns casos, a maior parte da infraestrutura de uma organização não fazia nada além de servir a bots de scraping. O DevSecOps precisa remover essa distorção da telemetria se quiser cumprir sua missão de segurança.

Tudo se resume a quem é o dono dos números. O vice-presidente de comércio eletrônico é responsável pelos custos de fraude, infraestrutura e estornos? Essas cobranças estão afetando profundamente os lucros dos negócios online? As taxas de conversão e a receita são afetadas por atritos de segurança, como CAPTCHA? Se sim, então, esse VP se importará muito com a forma como o gerenciamento de bots pode melhorar tanto a receita bruta quanto os lucros líquidos.

O mesmo se aplica aos líderes de quaisquer linhas de produtos ou serviços vendidos on-line por meio de aplicativos da web ou móveis. Buscar maximizar o lucro envolve necessariamente abordar a maior fonte de tráfego para seus aplicativos.

Os profissionais de marketing têm seus próprios motivos para se importar com bots. Bots que deixam o site lento, o derrubam e assumem o controle das contas dos clientes prejudicam a marca. Os bots distorcem as análises de sites das quais os profissionais de marketing dependem para a tomada de decisões. E a fraude de cliques, impulsionada por bots, drena os orçamentos de publicidade sem gerar nenhuma receita.