旅游业正成为自动化攻击重灾区

随全球旅游业的复苏，旅游业逐渐成为自动化攻击的主要目标，该行业在去年甚至经历了近21%的BOT攻击请求。

网络安全巨头Imperva公司在其2024年“恶意BOT报告”中发现，旅游行业遭受的恶意BOT攻击已升至2023年网络流量的44.5%，相较于2022年的37.4%，这一比例显著增加。

由于即将到来的夏季旅游高峰及欧洲重大体育赛事的吸引力，预计将进一步刺激消费者对航班预订、住宿安排及一系列旅游服务的需求。

Imperva公司警告称，旅游行业的恶意BOT活动将大幅增长，这些活动包括但不限于数据抓取、恶意锁票、账户接管以及欺诈行为。这将对行业稳定运营与消费者权益构成严重威胁。

从数据抓取到欺诈行为

BOT是执行互联网自动化任务的软件程序，其执行的任务广泛多样。从网站索引到监控网站性能，均属于合法范畴，但是，非法任务的数量也正在与日俱增。

恶意BOT涉足的恶意活动繁多且复杂，从拒绝服务攻击到交易欺诈，无所不有。即便它们不直接窃取敏感信息或执行欺诈交易，这些自动化威胁也能悄无声息地消耗带宽资源，拖慢服务器响应速度，对业务运营造成干扰。

旅游业，作为受恶意BOT问题困扰已久的行业之一，正面临着尤为复杂的挑战。恶意行为者总能找到旅游应用程序中存在的业务逻辑漏洞，不断给行业带来新的威胁。

以下列举的是旅游相关应用程序日常面临的几类常见攻击类型：

1. 票价抓取：

利用恶意BOT汇总定价、库存及折扣票价等重要信息。

航空公司正饱受其害，频繁遭受在线旅行社（OTA）、聚合数据服务商及竞争对手操控的BOT无授权的数据抓取。这不仅严重影响了航空公司的关键业务指标，如访问预订率，还明显提高了API的使用成本。

以某航空公司为例，由于恶意BOT对其搜索API的大量抓取，该航空公司每月需承担的API请求费用高达50万美元。

2. 恶意锁票：

使用恶意BOT反复预订和取消航班座位或酒店房间，以零成本方式暂时锁定库存。

这种行为制造了稀缺假象，使得市场上的可用资源看似更加紧俏。不仅误导了消费者，还可能因高需求而导致价格上涨，进一步扰乱市场秩序。

这种稀缺现象严重影响了库存管理，导致正常客户难以预订合适的航班或酒店，甚至可能因价格虚高而被迫放弃，从而减少了实际交易量，进一步影响航空公司和酒店的收入。

此外，恶意锁票还会干扰航空公司和酒店的正常运营流程，降低运营效率，迫使企业投入更多资源来管理和监控此类欺诈活动，从而增加了运营成本。

恶意锁票也影响了客户体验，降低了客户对旅游服务的满意度。

3. 账户接管：

网络犯罪分子之所以针对旅游行业，是因为用户账户中通常含有重要的个人信息、支付凭证及积分记录等资源，这些资源为犯罪分子进行身份盗用与欺诈活动提供了有利条件。

尤其旅游行业中涉及的高价值且时间紧急的交易，往往能在欺诈行为暴露前迅速变现。

账户接管攻击不仅能造成直接的经济损失，还严重影响了客户信任，损害了企业声誉。

此外，面对账号接管攻击，企业还需要耗费巨大资源来进行客户安抚、赔偿支付及安全加固，还因行业内部系统的广泛互联与多重访问入口，而加剧了其安全防线的脆弱性。

恶意BOT活动分类

Imperva公司将BOT活动分为三类：简单、中级和高级。

简单BOT直接利用ISP分配的单一IP地址访问网站或应用，执行自动化脚本任务，且不具备伪装成浏览器的功能。

中级BOT则采用“无头浏览器”技术，模拟真实浏览器的部分功能，包括执行JavaScript脚本，从而在自动化操作中增加了一层伪装。

高级BOT则展现出了高度的智能，它们能模仿人类用户的自然行为，如鼠标的移动与点击，以此规避检测机制。此外，这些高级BOT还利用浏览器自动化软件或植入真实浏览器中的恶意软件接入网站，使检测难度倍增。

在行为模式上，简单恶意BOT通常执行基础的网络数据抓取任务，而高级恶意BOT则可能涉足更为复杂的欺诈活动及账户接管攻击。

旅游业成为了高级恶意BOT活动的主要攻击目标，去年此类活动占比高达61%。

高级恶意BOT不仅威胁性大，且效率极高，它们能以较少的请求量达成攻击目的，并展现出极强的持续性。

更甚，一些BOT能巧妙地在中级与高级中反复游走，运用循环更换随机IP地址、通过匿名代理接入、破解CAPTCHA验证码等复杂策略，逃避各类BOT管理系统的检测。

防御措施

为了有效缓解这些安全威胁，Imperva公司提供了一些应对策略建议。

首先，企业应该运用前沿的流量分析技术与实时BOT检测机制，以精准识别潜在风险。

特别要聚焦登录功能的安全状况，因为这往往是凭证填充与暴力破解攻击的首选目标。

构建全面的安全防线，覆盖所有数字触点，包括API接口与移动应用程序。

此外，Imperva公司还提出了一系列即效策略，如禁用过时浏览器版本、限制来自大型IP数据中心的不正常访问，并部署自动化检测机制，有效捕捉如异常高速交互等可疑行为。

同时，企业应当定期审视流量异常，如异常高的跳出率或突发性的流量波动，以便能够迅速锁定恶意BOT活动。

此外，深入分析来自单个IP地址等异常流量源的数据，能够为安全团队提供重要线索。

同时，Imperva公司建议实施纵深防御体系，该体系融合了用户行为分析、个性化用户画像构建及先进的指纹识别技术，旨在为旅游行业筑起一道坚不可摧的安全防线。

文章来源：本文由网安加社区编译。