À medida que o setor de viagens se recupera após a pandemia, ele é cada vez mais alvo de ameaças automatizadas, com o setor enfrentando quase 21% de todas as solicitações de ataques de bots no ano passado. Isso de acordo com uma pesquisa da Imperva, uma empresa da Thales. Em seu Relatório de Bots Ruins de 2024, a Imperva descobriu que bots ruins foram responsáveis por 44,5% do tráfego da internet do setor em 2023 — um salto significativo de 37,4% em 2022.
Espera-se que a temporada de viagens de verão e os principais eventos esportivos europeus aumentem a demanda do consumidor por voos, acomodações e outros serviços relacionados a viagens. Como resultado, a Imperva alerta que a indústria pode ver um aumento na atividade de bots. Esses bots têm como alvo a indústria por meio de scraping não autorizado, seat spinning, aquisição de conta e fraude.
Da raspagem à fraude
Bots são aplicativos de software program que executam tarefas automatizadas pela web. Muitas dessas tarefas, desde indexar websites para mecanismos de busca até monitorar o desempenho do web site, são legítimas, mas um número crescente não é.
Bots ruins se envolvem em várias atividades maliciosas, de ataques de negação de serviço a fraudes de transações. Essas ameaças automatizadas podem consumir largura de banda, deixar servidores lentos e interromper operações comerciais, mesmo quando não estão roubando dados confidenciais diretamente ou conduzindo transações fraudulentas.
O setor de viagens há muito tempo lida com problemas complexos de bots, pois agentes maliciosos podem explorar as várias maneiras pelas quais a lógica de negócios é utilizada em aplicativos de viagens. Estas são algumas das maneiras mais comuns pelas quais aplicativos relacionados a viagens são alvos diariamente:
- Raspagem de tarifas: O uso de bots para agregar informações de preços, inventários, tarifas com desconto e muito mais. As companhias aéreas são particularmente visadas por scraping, já que bots operados por agências de viagens on-line (OTAs), agregadores e concorrentes frequentemente coletam dados sem permissão. Como resultado, o alto quantity de bots que scraping informações pode distorcer métricas comerciais críticas, como índices de procura por reserva, e inflar os custos de API. Por exemplo, uma companhia aérea incorreu em US$ 500.000 por mês em taxas de solicitação de API devido a um aumento no tráfego de bots ruins que scraping sua API de pesquisa.
- Assento giratório: O uso de bots para reservar e cancelar repetidamente assentos de companhias aéreas ou quartos de lodge, criando uma retenção temporária no estoque sem fazer uma compra actual. Essa atividade cria falsamente escassez, fazendo parecer que há menos assentos ou quartos disponíveis. Como resultado, engana os clientes e potencialmente aumenta os preços devido à alta demanda percebida. Essa escassez synthetic pode levar à má gestão do estoque, dificultando que clientes legítimos encontrem e reservem assentos ou quartos disponíveis. Consequentemente, as empresas de viagens podem sofrer perdas de receita, pois os clientes reais são dissuadidos pela indisponibilidade ou preços inflacionados causados pela demanda falsa. A rotação de assentos também interrompe as operações normais de companhias aéreas e hotéis, levando a ineficiências e aumento de custos operacionais associados ao gerenciamento e monitoramento de tais atividades fraudulentas. Essa deterioração na experiência do cliente pode levar à frustração, pois os clientes genuínos enfrentam dificuldades para encontrar e reservar assentos ou quartos.
- Aquisição de conta: O setor de viagens experimentou o segundo maior quantity de tentativas de aquisição de conta (ATO) em 2023, com 11% de todos os ataques de ATO visando o setor e 17% de todas as solicitações de login associadas ao ATO. Os criminosos cibernéticos visam esse setor devido às valiosas informações pessoais, métodos de pagamento armazenados e pontos de fidelidade nas contas de usuários, tornando-os lucrativos para roubo de identidade e fraude. Transações de viagens de alto valor e sensíveis ao tempo permitem monetização rápida, geralmente antes que a fraude seja detectada, resultando em perdas financeiras, confiança do cliente prejudicada e danos à reputação da empresa. Além disso, lidar com o ATO exige recursos substanciais para suporte ao cliente, reembolsos e melhorias de segurança. Os sistemas interconectados do setor e vários pontos de entrada exacerbam ainda mais sua vulnerabilidade.
Nem todos os bots são criados iguais
A Imperva categoriza a atividade de bots maliciosos em três categorias: simples, moderada e avançada. Conectando-se a partir de um único endereço IP atribuído pelo ISP, bots ruins simples se conectam a websites ou aplicativos usando scripts automatizados sem se autodenunciar como um navegador. Bots ruins moderados usam software program de “navegador sem cabeça” que simula a tecnologia do navegador, incluindo a capacidade de executar JavaScript. Bots ruins avançados imitam o comportamento do usuário humano, como movimentos do mouse e cliques, para falsificar a detecção de bots. Eles também usam software program de automação de navegador ou malware instalado em navegadores reais para se conectar a websites.
Bots ruins simples geralmente realizam atividades básicas de internet scraping, enquanto bots ruins avançados podem ser necessários para tentativas mais sofisticadas de fraude e tomada de conta. O setor de viagens é particularmente atormentado por atividades avançadas de bots ruins, que foram responsáveis por 61% das atividades de bots ruins no ano passado. O tráfego avançado de bots ruins representa um risco significativo, pois esses bots podem atingir seus objetivos com menos solicitações do que bots ruins simples e são muito mais persistentes.
Operadores de bots sofisticados frequentemente empregam técnicas compartilhadas entre bots ruins moderados e avançados para evitar a detecção. Esses bots evasivos usam táticas complexas como percorrer IPs aleatórios, entrar por meio de proxies anônimos, derrotar desafios de CAPTCHA e muito mais para contornar soluções de gerenciamento de bots.
Camadas de defesas
Os bots foram responsáveis por quase metade de todo o tráfego dentro do setor de viagens em 2023. Essa situação pode piorar à medida que a demanda do consumidor por viagens cresce e os operadores de bots visam programas de recompensas de fidelidade, realizam ataques de aquisição de contas ou cometem fraudes. Para mitigar essas ameaças, a Imperva recomenda várias estratégias para equipes de segurança de TI.
Primeiro, as organizações devem identificar riscos por meio de análise avançada de tráfego e detecção de bots em tempo actual. Entender a exposição, particularmente em torno de funcionalidades de login, é essential, pois esses são os principais alvos para ataques de credential stuffing e força bruta. Uma estratégia de segurança abrangente deve abranger todos os pontos de contato digitais, incluindo APIs e aplicativos móveis.
A Imperva sugere várias vitórias rápidas, como bloquear versões desatualizadas do navegador, restringir o acesso de knowledge facilities de IP em massa e implementar estratégias de detecção para sinais de automação, como interações excepcionalmente rápidas. O monitoramento common de anomalias de tráfego, como altas taxas de rejeição ou picos repentinos, pode ajudar a identificar atividades ruins de bots. Além disso, analisar fontes de tráfego suspeitas, como endereços IP únicos, pode fornecer insights valiosos.
À medida que a tecnologia de bots avança, especialmente com IA, distinguir entre tráfego bom e ruim se tornará mais desafiador. Portanto, a Imperva defende defesas em camadas, incluindo análise de comportamento do usuário, criação de perfil e impressão digital, como medidas essenciais para a indústria de viagens.
