Абьюзивные отношения: что такое abuse контексте в кибербезопасности

Если в цифровом продукте имеются недостатки, связанные с логикой, то злоумышленники могут взаимодействовать с ними по не предусмотренным разработчиками сценариям. Такое взаимодействие преследует одну цель — получение выгоды, и на сленговом языке называется abuse. В статье рассказываем, что такое «абьюз», в каких отраслях наиболее часто встречается эта механика и как минимизировать риски возникновения возможностей для «абьюза» систем.

Что такое abuse в информационной безопасности

Абьюз (абузить) — это сленговое слово, означающее намеренное злоупотребление в рамках какой-либо слабости в логике системы, которые можно использовать без глубоких технических знаний.

Злоумышленники находят слабое место в логике приложения, сервиса или на сайте и используют его в корыстных целях. Но при этом явно не нарушают закон — не крадут персональные данные или другую конфиденциальную информацию, не взламывают системы и т. д.

Чаще всего «абьюзеры» используют разнообразные акции, бонусные программы и программы лояльности для личного обогащения. Но без фактического нарушения закона. Вот лишь несколько примеров «абьюза».

Белицкий Даниил

Ведущий Аналитик SOC L2, SolidLab

В качестве примера «абуза» приведу несколько кейсов совершенно из разных сфер.

1. Ритейл. Начать хотелось бы с самого примитивного вида мошенничества, 90% которого легко определяется и отлавливается. При регистрации в программе лояльности пользователю начисляется приветственное количество бонусов, например, 500. Мошенник регистрирует 10 личных кабинетов и потом их воедино связывает, тем самым получая 5000 бонусов.
2. Банки. Недобросовестные клиенты или сотрудники банка совершают фиктивные транзакции с целью наращивания бонусных баллов на картах. После получения достаточного количества баллов они обналичивают их или переводят на свои счета.
3. Подписочный сервис. Мошенники автоматизировано создают множество поддельных учетных записей, чтобы получать бонусы за рефералов. Эти учетные записи могут использоваться для получения бесплатных пробных периодов и бонусных баллов. Аккаунты для подтверждения реферальных событий создаются с использованием временных электронных почт и номеров телефонов. За каждую новую регистрацию они получали бонусные баллы, которые можно было обменять на бесплатные месяцы подписки.
4. Рестораны и кафе. В сети кафе мошенники ищут реальные чеки, сканируют их или берут за основу и создают фальшивые чеки на небольшие суммы и с их помощью вводят эти суммы на номера своих бонусных карт для начисления баллов. Эти баллы затем использовались для получения бесплатных напитков и блюд.

Запуская программу лояльности или бонусы за действия, бизнес желает привлечь новых клиентов, повысить лояльность имеющейся клиентской базы и получить прибыль, если бонусы выдаются за покупки. Но если в процесс вмешиваются абьюзеры, бизнес несет убытки, а зачастую еще и страдает репутация.

Например, «абузеры» наживаются на щедрости сотового оператора «Теле2». Злоумышленники оформляют подписку Mixx, которая бесплатна в первый месяц, и получают в подарок 50 ГБ, а также бесплатные подписки на кино сервисы и VK музыку. Гигабайты сразу же продают в магазине «Теле2» и получают профит — минимум 850 рублей. А по окончании бесплатного месяца отписываются от Mixx. «Аббюза» можно было бы избежать, если бы сотовый оператор поставил запрет на продажу подарочный гигабайтов.

Какие отрасли чаще всего страдают от abuse

Abuse подвержены любые сайты, приложения и сервисы, использующие бонусные баллы, программы лояльности и другие варианты поощрения клиентов. Но чаще всего злоупотребления с бизнес-логикой встречаются в ритейле, финансовой сфере и сфере азартных игр.

Дмитрий Кузеванов

CISO, руководитель центра мониторинга и реагирования UserGate

Механика abuse может встречаться в любых отраслях, где может присутствовать нарушение запланированной бизнес-логики, поскольку она направлена на эксплуатацию подобного рода «уязвимостей». Проще всего ее реализовать в массовом сегменте, где ресурс ИБ ограничен и не может покрыть все активности компании. Зачастую так происходит в ритейле, когда ИБ обеспечивает работу ключевых процессов, но различные маркетинговые активности могут выходить за пределы ее влияния.

Пример abuse — продажа бонусных баллов в программах лояльности. Как это может работать:

1. Сеть организует акцию, в ходе которой пользователь за регистрацию по номеру телефона получает 15 бонусных рублей.
2. Далее, компания предоставляет возможность переводить эти баллы с одной карты на другую из совершенно благих побуждений: для реализации, например, «семейных бонусов».

На практике же злоумышленники используют сервисы, предоставляющие возможность привлекать большой пул номеров телефонов для получения СМС для регистрации новых клиентов в программе лояльности. За каждую подобную операцию злоумышленники, безусловно, платят. Но массовость такого сервиса и возможности автоматизации процесса регистрации и перевода, позволяют им при марже порядка 30% сделать это вид деятельности вполне прибыльным: злоумышленники аккумулируют «в одних руках» значительное количество бонусных баллов, а затем продают их за половину стоимости.

В результате компания несет убытки, поскольку вместо расширения базы и привлечения новых клиентов она тратит деньги на фейковых клиентов и отправку СМС, а затем еще и на вычистку своей клиентской базы от такого количества ненастоящих покупателей.

Любые продукты, сервисы и проекты, которые предлагают клиентам получить баллы, бонусы или какие-то товары, услуги бесплатно, становятся потенциальной мишенью «абьюзеров» .

Например, на всем известном МегаМаркет злоумышленники покупают товары бесплатно, используя следующую схему:

1. Находят промокод на скидку на первый заказ. Обычно суммы приличные — 3000 рублей скидка при заказе на 6000 рублей.
2. Злоумышленник делит заказ на две части — на сумму скидки заказывает нужный себе товар, а на оставшуюся сумму — что-то ненужное.
3. Когда акция срабатывает и промокод принимается, «абузер» делает отказ от ненужного ему товара.

Таким образом он получает бесплатно товары на 3000 рублей, а нарушение логики в том, что система не фиксирует отказ от товара и соответственно не замечает уменьшение суммы нужной для срабатывания акции.

Как предотвратить abuse

Уязвимости бизнес-логики отличаются от большинства других уязвимостей:

• они уникальны для каждого цифрового продукта;
• их трудно обнаружить автоматизированными сканерами;
• они предполагают манипуляции легитимной функциональностью приложений.

Нет единой причины появления ошибок бизнес-логики, как нет и единого шаблона их обнаружения. Это делает поиск подобных уязвимостей сложным и интересным одновременно. Но зачастую проще предотвратить нарушение, чем устранять его и последствия работы «абьюзеров».

Дмитрий Кузеванов

CISO, руководитель центра мониторинга и реагирования UserGate

Самый простой и правильный способ предотвращения злоупотреблений с бизнес-логикой — применение подхода shift left security, т. е. привлечение службы ИБ к процессу обсуждения бизнес-логики и планирования акции как можно раньше. Бывает достаточно одной консультации штатного или привлеченного специалиста для того, чтобы внести коррективы в саму механику и устранить риски в будущем.

Что касается программ лояльности и других мероприятий, связанных с раздачей бонусных баллов, экономией на оплате покупки или обменом бонусов на полноценные единицы товара, то предотвращение «абуза» закладывается еще на этапе планирования.

Белицкий Даниил

Ведущий Аналитик SOC L2, SolidLab

Чтобы злоумышленники не могли воспользоваться подобными программами в корыстных целях, необходимо:

1. Прописывать правила использования программы лояльности в публичной оферте.
2. Следить за использованием бонусов в ЛК пользователей через корреляционные правила.
3. Мониторить информацию о мошенничестве со своими системами в открытых источниках.
4. Выявлять мошеннические личные кабинеты и своевременно блокировать им доступ к ПЛ.
5. Усилить контроль доступа — подтверждать личность пользователя через аутентификацию (внедрение многоуровневой проверки при регистрации новых пользователей, например, подтверждение через E-mail и SMS).
6. Внедрить системы мониторинга и анализа транзакций в реальном времени для выявления аномалий.
7. Информирование клиентов о возможных рисках, связанных с мошенничеством.
8. Устанавливать ограничения на количество и сумму переводимых бонусов в день/месяц.
9. Использовать программы вознаграждения для сотрудников и клиентов, которые сообщают о подозрительных действиях или уязвимостях в системе.

Грамотный подход к проведению акции, программы лояльности или другого поощрительного мероприятия позволяет избежать «абьюза» со стороны злоумышленников.

Подводя итог

Несмотря на то, что «абьюз» — это одна из форм мошенничества, привлечь злоумышленников к ответственности достаточно трудно. Максимум, что можно предъявить абьюзеру по закону — это мошенничество, совершенное путем обмана или злоупотребления доверием. Но доказать подобное чрезвычайно трудно.

Дмитрий Кузеванов

CISO, руководитель центра мониторинга и реагирования UserGate

Поскольку злоумышленники в основном используют нарушение именно бизнес-логики, а не крадут непосредственно деньги, доказать их вину достаточно сложно. Для бизнеса гораздо проще привлекать ИБ на этапе проектирования логики и механики процессов. Например, маркетинговых акций. Иногда достаточно внести одно условие в логику работы акции, чтобы сделать ее неинтересной для злоумышленников. Например, активировать возможность получения «приветственных баллов» только после совершения реальной покупки. Это бы автоматически отсекло всех покупателей-ботов и сэкономило бы компании средства на борьбу с ними.

Поэтому разработчикам приложений и владельцам бизнеса, использующего механизмы поощрения клиентов, нужно заранее предусмотреть возможность «абьюза». Посмотреть на свой продукт глазами злоумышленника и закрыть для него «черный ход» к злоупотреблениям.