Ужин отменяется: боты так и норовят украсть ваш столик в ресторане

Компания DataDome , которая разрабатывает решения для кибербезопасности и борьбы с ботами, проверили защищенность всех популярных систем онлайн-бронирования ресторанов и обнаружили в них критические уязвимости. Свой отчет эксперты опубликовали в преддверии Недели ресторанов в Нью-Йорке, которая продлится до 9 февраля. Впрочем, проблема выходит далеко за пределы США – похожие гастрономические фестивали сейчас проходят в крупных городах по всему миру и продлятся до марта.

Аналитики изучили работу самых популярных сервисов для заказа столиков – Resy, Open Table, Yelp Guest Manager, Toast и Tock, которыми каждый день пользуются миллионы человек. То, что обнаружили специалисты, вызвало у них серьезные опасения: ни один из сервисов не может противостоять атакам автоматизированных ботов, из-за чего страдают и заведения, и их посетители.

Главная проблема в том, что системы никак не отличают ботов от живых пользователей, когда те создают поддельные аккаунты. Автоматизированные программы спокойно проходят все проверки, и система не бьет тревогу, даже когда их действия явно выбиваются из нормы. Боты без каких-либо ограничений бронируют столики, и защитные механизмы не замечают ничего подозрительного.

Во время тестирования специалисты DataDome провели серию экспериментов, чтобы оценить реальные масштабы угрозы. Выяснилось, что мошенники могут занимать сколько угодно столиков – хоть на двоих, хоть на большую компанию. При этом они успевают забронировать множество мест за считанные минуты или распланировать резервы на несколько дней вперед. И хотя 40% сайтов все-таки пытаются выявлять зловредные программы, их защита не справляется ни с поддельными аккаунтами, ни с автоматическим перебором учетных данных.

Отдельную угрозу представляет атака методом credential stuffing: хакеры берут уже украденные пары логинов и паролей и с помощью ботов пытаются подобрать доступ к существующим аккаунтам. Программы методично проверяют разные комбинации, пока не найдут совпадение с реальной учетной записью. Взломав аккаунт, злоумышленники тут же создают множество фиктивных профилей – чтобы было чем пользоваться, если платформа усилит защиту.

Данные о защитных механизмах сервисов бронирования выглядят удручающе: только 20% сайтов используют CAPTCHA, чтобы отсеивать автоматизированные действия, 40% просят подтвердить почту или ввести одноразовый пароль при регистрации и входе, и лишь каждый пятый сервис внедрил двухфакторную аутентификацию.

Мошенники легко обходят все проверки при регистрации, используя нехитрые уловки. Чаще всего они регистрируют временные почтовые ящики, создают псевдонимы или манипулируют с Gmail-аккаунтами. К примеру, достаточно переставить точку в адресе электронной почты – и система воспримет его как новый, хотя вся корреспонденция будет приходить на тот же ящик.

Ситуация стала еще опаснее после того, как многие сервисы начали требовать данные банковских карт для подтверждения брони. Теперь мошенники могут добраться не только до личных данных пользователей, но и до их финансов – получить доступ к картам и бонусным программам ресторанов.

Все чаще встречается и такая схема мошенничества, как скальпинг – массовая скупка мест в популярных ресторанах для перепродажи. Боты автоматически захватывают столики в престижных заведениях, особенно когда спрос высок. После этого злоумышленники либо перепродают брони на черном рынке по завышенной цене, либо вымогают деньги у клиентов за то, чтобы "освободить" нужный столик. Участились и случаи, когда мошенники отменяют чужие брони, а потом тут же перехватывают освободившиеся места с помощью автоматических программ.

Проблема разрослась до таких масштабов, что власти Нью-Йорка были вынуждены принять специальный закон – Restaurant Reservation Anti-Piracy Act.

Особенно тревожит то, что для тестирования специалисты использовали лишь базовые инструменты – общедоступный фреймворк для создания ботов без особой настройки и оптимизации. Получается, что злоумышленники с более продвинутыми технологиями и специально настроенными программами могут нанести системам бронирования куда больший урон.

Эксперты DataDome разработали рекомендации, как защититься от подобных атак. В первую очередь платформам нужно внедрить современные системы безопасности, которые будут выявлять и блокировать угрозы в реальном времени. Крайне важно усилить проверку новых пользователей: ввести обязательное подтверждение почты, проверять одноразовыми паролями и требовать двухфакторную аутентификацию для любых действий с аккаунтом.

Платформы должны замечать необычные схемы бронирования: например, когда кто-то пытается занять много столиков за короткое время, бронирует места на разные даты или слишком часто совершает операции с одного аккаунта. Обнаружив такие действия, система должна автоматически блокировать подозрительные транзакции и проводить дополнительную проверку.