Bots revendeurs : comment fonctionnent-ils ?
Chaque fois qu'il va y avoir un concert important, comme le concert de Taylor Swift, ou qu'un produit exclusif va sortir, comme la PS5, les revendeurs développent leurs bots pour acheter tous les billets, ou produits, dès que possible pour les revendre à un prix plus élevé sur Internet. C'est leur affaire, améliorer leurs bots afin qu'ils soient indétectables par les contrôles de sécurité et pouvoir acheter le plus rapidement possible. Aujourd'hui, je vais écrire sur les techniques utilisées par les revendeurs lorsque leurs bots sont bloqués par les technologies AntiBot.
Les bots supposent souvent qu'ils sont bloqués en fonction de leur adresse IP, donc la première étape pour de nombreux bots revendeurs est de changer d'IP. Limiter initialement le volume par adresse IP, puis changer les ASN, et enfin leur géolocalisation (pays) au cas où le blocage géographique serait utilisé. En cas d'échec, les bots essaieront de changer de classe d'ASN. Au départ, ils peuvent utiliser des ASN d'hébergement ou internationaux et, en cas d'échec, ils se déplacent vers des ASN dans le même pays que la cible et commencent à utiliser un grand nombre d'IP résidentielles avec de faibles volumes de transactions par IP.
Si la randomisation des ASN et des IP ne réussit pas, la prochaine chose que les revendeurs changeront est l'en-tête de l'agent utilisateur (UA). Cependant, des en-têtes tels que user-agent peuvent être utilisés pour suivre, limiter et bloquer les bots. Par conséquent, les revendeurs généreront un grand nombre de chaînes UA réelles ou fausses et utiliseront chacune pour très peu de transactions dans l'espoir que cela contournera les contrôles d'atténuation.
Lors du changement d'adresses IP, d'ASN et d'UA, l'acteur sophistiqué se rend compte qu'il doit y avoir quelque chose d'autre sur lequel il est suivi et atténué. Les cookies deviennent la prochaine chose qu'ils regardent. Ils rejetteront ou supprimeront les cookies après chaque transaction ou exécuteront leur bot en mode incognito.
À ce stade, lorsque rien n'a fonctionné, le revendeur teste manuellement le site pour s'assurer que le site est réellement réactif et non hors ligne. Un test manuel réussi indique au revendeur que le site fonctionne et que le problème est que son bot est en quelque sorte détecté. L'acteur sophistiqué capturera et inspectera ensuite la transaction manuelle réussie et recherchera les différences entre cette demande et celle générée par le bot.
Après avoir identifié certaines différences dans les cookies, les jetons, les paquets de données cryptés ou d'autres paramètres de demande, le revendeur copiera simplement ces éléments à partir de la transaction manuelle réussie et les joindra aux demandes du bot.
Lorsque cela ne donne pas les résultats requis, le revendeur essaiera de randomiser ces nouveaux cookies, jetons ou paramètres dans l'espoir que cela contournera toutes les limites de débit qui leur sont imposées.
Lorsque tout le reste échoue, le revendeur conclura que les cookies, les jetons ou d'autres paramètres peuvent être signés numériquement et doivent donc être générés par le site Web à chaque fois. À cette fin, ils autoriseront leur bot à exécuter tous les scripts JS et autres sur la page pour essayer de générer de manière authentique les cookies, jetons ou autres paramètres manquants.
Aimez-vous déployer une technologie AntiBot dans votre entreprise ?
Les bots supposent souvent qu'ils sont bloqués en fonction de leur adresse IP, donc la première étape pour de nombreux bots revendeurs est de changer d'IP. Limiter initialement le volume par adresse IP, puis changer les ASN, et enfin leur géolocalisation (pays) au cas où le blocage géographique serait utilisé. En cas d'échec, les bots essaieront de changer de classe d'ASN. Au départ, ils peuvent utiliser des ASN d'hébergement ou internationaux et, en cas d'échec, ils se déplacent vers des ASN dans le même pays que la cible et commencent à utiliser un grand nombre d'IP résidentielles avec de faibles volumes de transactions par IP.
Si la randomisation des ASN et des IP ne réussit pas, la prochaine chose que les revendeurs changeront est l'en-tête de l'agent utilisateur (UA). Cependant, des en-têtes tels que user-agent peuvent être utilisés pour suivre, limiter et bloquer les bots. Par conséquent, les revendeurs généreront un grand nombre de chaînes UA réelles ou fausses et utiliseront chacune pour très peu de transactions dans l'espoir que cela contournera les contrôles d'atténuation.
Lors du changement d'adresses IP, d'ASN et d'UA, l'acteur sophistiqué se rend compte qu'il doit y avoir quelque chose d'autre sur lequel il est suivi et atténué. Les cookies deviennent la prochaine chose qu'ils regardent. Ils rejetteront ou supprimeront les cookies après chaque transaction ou exécuteront leur bot en mode incognito.
À ce stade, lorsque rien n'a fonctionné, le revendeur teste manuellement le site pour s'assurer que le site est réellement réactif et non hors ligne. Un test manuel réussi indique au revendeur que le site fonctionne et que le problème est que son bot est en quelque sorte détecté. L'acteur sophistiqué capturera et inspectera ensuite la transaction manuelle réussie et recherchera les différences entre cette demande et celle générée par le bot.
Après avoir identifié certaines différences dans les cookies, les jetons, les paquets de données cryptés ou d'autres paramètres de demande, le revendeur copiera simplement ces éléments à partir de la transaction manuelle réussie et les joindra aux demandes du bot.
Lorsque cela ne donne pas les résultats requis, le revendeur essaiera de randomiser ces nouveaux cookies, jetons ou paramètres dans l'espoir que cela contournera toutes les limites de débit qui leur sont imposées.
Lorsque tout le reste échoue, le revendeur conclura que les cookies, les jetons ou d'autres paramètres peuvent être signés numériquement et doivent donc être générés par le site Web à chaque fois. À cette fin, ils autoriseront leur bot à exécuter tous les scripts JS et autres sur la page pour essayer de générer de manière authentique les cookies, jetons ou autres paramètres manquants.
Aimez-vous déployer une technologie AntiBot dans votre entreprise ?
Commentaires
Enregistrer un commentaire