Nu de reisindustrie herstelt na de pandemie, wordt deze steeds vaker het doelwit van geautomatiseerde bedreigingen. Vorig jaar was de sector goed voor bijna 21% van alle bot-aanvalsverzoeken. Dat blijkt uit onderzoek van Imperva, een Thales-bedrijf. In hun Bad Bot Report van 2024 stelt Imperva vast dat slechte bots in 2023 goed waren voor 44,5% van het webverkeer in de industrie, een aanzienlijke sprong ten opzichte van 37,4% in 2022.
Het zomerreisseizoen en grote Europese sportevenementen zullen naar verwachting leiden tot een grotere vraag van consumenten naar vluchten, accommodatie en andere reisgerelateerde diensten. Imperva waarschuwt dat de industrie hierdoor een toename in botactiviteit kan zien. Deze bots richten zich op de industrie via ongeautoriseerd scrapen, seat spinning, accountovername en fraude.
Van schrapen naar fraude
Bots zijn softwareapplicaties die geautomatiseerde taken uitvoeren op het internet. Veel van deze taken, van het indexeren van websites voor zoekmachines tot het monitoren van websiteprestaties, zijn legitiem, maar een groeiend aantal is dat niet.
Slechte bots houden zich bezig met verschillende kwaadaardige activiteiten, van denial-of-service-aanvallen tot transactiefraude. Deze geautomatiseerde bedreigingen kunnen bandbreedte verbruiken, servers vertragen en bedrijfsactiviteiten verstoren, zelfs als ze niet rechtstreeks gevoelige gegevens stelen of frauduleuze transacties uitvoeren.
De reisindustrie worstelt al lang met complexe botproblemen, omdat kwaadwillende actoren de verschillende manieren waarop bedrijfslogica wordt gebruikt in reisapplicaties kunnen misbruiken. Dit zijn enkele van de meest voorkomende manieren waarop reisgerelateerde applicaties dagelijks worden aangevallen:
- Tariefschrapen: Het gebruik van bots om prijsinformatie, inventarissen, kortingstarieven en meer te verzamelen. Luchtvaartmaatschappijen zijn met name het doelwit van scraping, omdat bots die worden beheerd door Online Travel Agencies (OTA’s), aggregators en concurrenten vaak gegevens verzamelen zonder toestemming. Als gevolg hiervan kan het grote volume aan bots die informatie scrapen, kritieke bedrijfsstatistieken zoals look-to-book-ratio’s verdraaien en API-kosten opblazen. Een luchtvaartmaatschappij liep bijvoorbeeld $ 500.000 per maand op aan API-verzoekkosten vanwege een toename van slecht botverkeer dat zijn zoek-API scrapte.
- Stoel draaien: Het gebruik van bots om herhaaldelijk vliegtuigstoelen of hotelkamers te boeken en te annuleren, waardoor een tijdelijke blokkade op de inventaris ontstaat zonder daadwerkelijk een aankoop te doen. Deze activiteit creëert ten onrechte schaarste, waardoor het lijkt alsof er minder stoelen of kamers beschikbaar zijn. Als gevolg hiervan worden klanten misleid en drijft het mogelijk de prijzen op vanwege de waargenomen hoge vraag. Dit kunstmatige tekort kan leiden tot slecht voorraadbeheer, waardoor het voor legitieme klanten moeilijk wordt om beschikbare stoelen of kamers te vinden en te boeken. Bijgevolg kunnen reisbedrijven inkomsten verliezen omdat echte klanten worden afgeschrikt door onbeschikbaarheid of opgeblazen prijzen als gevolg van de nepvraag. Stoelrotatie verstoort ook de normale activiteiten van luchtvaartmaatschappijen en hotels, wat leidt tot inefficiënties en hogere operationele kosten die verband houden met het beheren en monitoren van dergelijke frauduleuze activiteiten. Deze verslechtering van de klantervaring kan leiden tot frustratie omdat echte klanten moeite hebben met het vinden en boeken van stoelen of kamers.
- Accountovername: De reisindustrie heeft in 2023 het op één na hoogste aantal account takeover (ATO)-pogingen meegemaakt, met 11% van alle ATO-aanvallen gericht op de industrie en 17% van alle inlogverzoeken die verband houden met ATO. Cybercriminelen richten zich op deze industrie vanwege de waardevolle persoonlijke informatie, opgeslagen betaalmethoden en loyaliteitspunten in gebruikersaccounts, waardoor ze lucratief zijn voor identiteitsdiefstal en fraude. Tijdgevoelige, waardevolle reistransacties maken snelle monetisering mogelijk, vaak voordat fraude wordt gedetecteerd, wat resulteert in financiële verliezen, beschadigd vertrouwen van klanten en schade aan de reputatie van het bedrijf. Bovendien vereist het aanpakken van ATO aanzienlijke middelen voor klantenondersteuning, terugbetalingen en beveiligingsverbeteringen. De onderling verbonden systemen en talrijke toegangspunten van de industrie vergroten de kwetsbaarheid ervan nog verder.
Niet alle bots zijn gelijk geschapen
Imperva categoriseert kwaadaardige botactiviteit in drie categorieën: eenvoudig, gemiddeld en geavanceerd. Eenvoudige slechte bots maken verbinding met sites of applicaties via geautomatiseerde scripts, zonder zichzelf te rapporteren als browser, via een enkel, door de ISP toegewezen IP-adres. Matige slechte bots gebruiken “headless browser”-software die browsertechnologie simuleert, inclusief de mogelijkheid om JavaScript uit te voeren. Geavanceerde slechte bots bootsen menselijk gebruikersgedrag na, zoals muisbewegingen en klikken, om botdetectie te spoofen. Ze gebruiken ook browserautomatiseringssoftware of malware die in echte browsers is geïnstalleerd om verbinding te maken met sites.
Eenvoudige bad bots voeren vaak basale web scraping-activiteiten uit, terwijl geavanceerde bad bots nodig kunnen zijn voor meer geavanceerde fraude en pogingen tot accountovername. De reisindustrie wordt met name geplaagd door geavanceerde bad bot-activiteiten, die vorig jaar goed waren voor 61% van de bad bot-activiteiten. Geavanceerd bad bot-verkeer vormt een aanzienlijk risico, omdat deze bots hun doelen kunnen bereiken met minder verzoeken dan eenvoudige bad bots en veel persistenter zijn.
Geavanceerde botoperators gebruiken vaak technieken die worden gedeeld door gematigde en geavanceerde slechte bots om detectie te ontwijken. Deze ontwijkende bots gebruiken complexe tactieken zoals het doorlopen van willekeurige IP’s, het invoeren via anonieme proxy’s, het verslaan van CAPTCHA-uitdagingen en meer om botbeheeroplossingen te omzeilen.
Verdedigingen opstapelen
Bots waren in 2023 goed voor bijna de helft van al het verkeer binnen de reisindustrie. Die situatie zou kunnen verslechteren naarmate de consumentenvraag naar reizen groeit en botoperators loyaliteitsprogramma’s targeten, accountovernames uitvoeren of fraude plegen. Om deze bedreigingen te beperken, beveelt Imperva verschillende strategieën aan voor IT-beveiligingsteams.
Ten eerste moeten organisaties risico’s identificeren door middel van geavanceerde verkeersanalyse en realtime botdetectie. Het begrijpen van blootstelling, met name rondom inlogfunctionaliteiten, is cruciaal, aangezien deze primaire doelen zijn voor credential stuffing en brute force-aanvallen. Een uitgebreide beveiligingsstrategie moet alle digitale contactpunten omvatten, inclusief API’s en mobiele applicaties.
Imperva suggereert verschillende quick wins, zoals het blokkeren van verouderde browserversies, het beperken van toegang vanaf bulk-IP-datacenters en het implementeren van detectiestrategieën voor tekenen van automatisering, zoals ongewoon snelle interacties. Regelmatige monitoring op verkeersanomalieën, zoals hoge bouncepercentages of plotselinge pieken, kan helpen bij het identificeren van slechte botactiviteit. Daarnaast kan het analyseren van verdachte verkeersbronnen, zoals enkele IP-adressen, waardevolle inzichten opleveren.
Naarmate bottechnologie vordert, met name met AI, wordt het onderscheid tussen goed en slecht verkeer steeds lastiger. Daarom pleit Imperva voor gelaagde verdedigingen, waaronder analyse van gebruikersgedrag, profilering en vingerafdrukken, als essentiële maatregelen voor de reisindustrie.