Даниил Щербаков: «Перед 8 марта мужчин в интернет-магазине легко принять за ботов — они складывают в корзину все подряд»

Уже который год онлайн-торговля входит в тройку отраслей-лидеров по количеству и мощности DDoS и ботовых атак.

Политически мотивированным хакерам нужны общественный резонанс и огласка, которые, например, могут вызвать недоступность сервисов у крупного продуктового ритейлера или онлайн-аптеки. Но главная проблема отрасли, на мой взгляд — ботовые атаки на бизнес-логику сайтов

Какие бывают атаки

Не думаю, что найдется хоть один игрок в онлайн-ритейле, кто ни разу не сталкивался с парсингом, когда боты путешествуют по сайту и выкачивают каталоги товаров, информацию о ценах, акциях, программах лояльности. Инициатором подобной ботовой активности в подавляющем большинстве случаев являются не хактивисты, а конкуренты или маркетологи. Кажется, что парсинг безвреден — сайт не лежит, все работает. Но это лишь на первый взгляд.

Как показывает опыт работы Servicepipe с крупнейшими ритейлерами, ботовый трафик из-за высокой активности парсеров может занимать более 50% от общего объема. При этом следует понимать, что эти 50% трафика — зачастую «тяжелые» запросы к базам данных интернет-магазина, а не выкачивание закешированных картинок. Это означает рост нагрузки на серверы, необходимость дополнительных мощностей — то есть уже прямые расходы ритейлера. Не думаю, что у кого-то есть желание платить деньги за удовлетворение любопытства конкурентов.  

Парсинг может превратиться в серьезную проблему в период всеобщих распродаж (например, та же «Черная пятница»). Допустим, магазин выставляет в это время популярные товары по очень привлекательной цене, надеясь благодаря акции привлечь покупателей. Конкурент парсит цены, ставит на своем ресурсе те же товары дешевле на 10—30 руб. и перехватывает таким образом часть клиентского трафика. 

Еще один тип атаки, характерный для отрасли, но при этом наиболее часто реализуемый в периоды распродаж и маркетинговых акций, — «дефицит товара». Этот тип атаки работает в случаях, когда находящийся в корзине товар становится недоступным для заказа. Боты под видом покупателей забивают корзины популярным или акционным товаром, создавая искусственный дефицит. В итоге на складе ритейлера есть товар в количестве условно 1000 единиц, а доступных к заказу — ноль. И в итоге реальные покупатели уйдут к конкуренту, у которого нужный товар заказать возможно. 

В нашей практике был случай с крупным игроком, когда из-за ботов росли транспортные расходы. У компании был возможен самовывоз крупной бытовой техники с оплатой при получении, при этом товар мог доставляться в нужную торговую точку со склада или из другого магазина. И периодически магазин сталкивался с хаотичным перемещением крупной техники между торговыми точками, которую в итоге никто не выкупал. Продавец обратился к нам — и выяснилось, что это путешествуют заказы ботов.  

Ботовые атаки на онлайн-ритейлеров, целью которых является получение доступа к личным кабинетам покупателей, персональным данным, также встречаются, но реже. Но эти атаки несут еще и репутационные риски.

Как бороться с ботами

Конечно, e-com не сидит сложа руки. Самый частый способ защиты, который используют онлайн-ритейлеры до обращения к специалистам — возможность что-то положить в корзину или заказать лишь после регистрации. Но этот способ защиты на самом деле чреват существенным ростом расходов на услуги связи. Боты регистрируются под видом реальных пользователей и инициируют отправку множества СМС, которые могут исчисляться в десятках и сотнях тысяч в день (в зависимости от размера ритейлера и активности ботов).

Для кого-то средством от ботов все еще является капча. Но в реальности она может отпугнуть разве что не самых настойчивых покупателей, которым будет лень искать велосипеды на фото и распознавать «зашумленные» буквы и цифры. Как показало исследование Калифорнийского университета в Ирвине, капчу боты проходят куда быстрее и успешнее людей. При этом наименее эффективный вид капчи — искаженный текст. Ботам удается решить эту задачку менее чем за секунду с почти идеальной точностью, в то время как у людей уходит до 15 секунд, а точность — в диапазоне от 50% до 84%.

Единственный действенный способ борьбы с ботами — очистка трафика. Но тут «дьявол в деталях». При грубой фильтрации (например, основанной только на поведенческом факторе) есть шанс отсечь реальных пользователей. К примеру, в интернет-магазинах и маркетплейсах перед 8 марта многих легитимных пользователей-мужчин можно легко принять за ботов: настолько хаотично они путешествуют по сайту, складывая в корзину все подряд.

Наши клиенты из e-com рассказывали о случаях, когда в преддверии праздника в корзине оказывается 10 видов духов, свитера, посуда, утюги, дрель, а потом содержимое корзины еще 10 раз меняется. Покупательницы-женщины тоже могут уподобляться ботам. Например, при переходе по маркетинговой ссылке с акцией 50% и более у многих покупательниц количество просматриваемых товаров (или помещаемых в корзину) может превышать 30—40 штук, что характерно для высокой ботовой активности.

Кроме того, есть определенная категория покупателей, которые в принципе не пользуются папкой «Избранное», отправляя все, что может теоретически подойти, в корзину. Например, у одной из коллег, по ее словам, в корзине маркетплейса может лежать от 150 до 210 товаров. Ей так удобно. При грубой фильтрации трафика таких дам-шопоголиков однозначно бы заблокировали.

Как же бороться с ботами, не теряя реальных покупателей?

В первую очередь — выяснить, есть ли проблема с ботами у вашего конкретного ресурса. Для этого нет необходимости сразу приобретать защиту от ботов. Например, у нашей компании есть бесплатный продукт BotChecks. Он позволяет проверить источники трафика сайта на достоверность, узнать с каких сайтов и рекламных кампаний на сайт заходят нежелательные роботы. 

Если боты для вашего ресурса — не мифическая угроза, а вполне реальная, то уже имеет смысл подключать защиту. Важно, чтобы у нее была опция гибкой настройки системы фильтрации под реалии конкретного бизнеса. Ведь то, что для одного ресурса может быть выраженной ботовой активностью, для другого — нормальное поведение пользователя.

Кроме того, все чаще наши клиенты из e-com сталкиваются с так называемыми умными ботами, которые идеально мимикрируют под легитимных посетителей конкретного ресурса. И именно гибкость систем фильтрации позволяет выявить и заблокировать подобных имитаторов, не мешая реальным пользователям совершать покупки. И в итоге защитить от ботов, которые могут доставить онлайн-ритейлеру столько проблем.