Модульбанк
Комплексная защита «Модульбанка» от DDoS‑атак и SMS‑бомбинга
Клиент
«Модульбанк»
Задача
Внедрить технологию защиты от DDoS-атак
Решение
Антибот Servicepipe
«Модульбанк» — цифровой банк для для предпринимателей, ориентированный на работу с малым и средним бизнесом. Все финансовые услуги оказываются онлайн в личном кабинете. Поэтому сайт и мобильное приложение банка должны быть доступны 24/7.
Подключенные продукты
Network DDoS Protection
Web DDoS Protection
Bot Protection
Web DDoS Protection
Bot Protection
Вариант подключения
IP-транзит (L3/L4) + Проксирование трафика (L7)
Задача и требования
- Резервный интернет-канал с мгновенной защитой от DDoS-атак на L3/L4
- Круглосуточная доступность сайта и мобильного приложения без изменений в их коде
- Стабильная доставка до веб-серверов не менее 500 Мбит/с очищенного трафика
- Мгновенное отражение DDoS-атак в автоматическом режиме без блокировки IP-адресов пределах 1 секунды
- Защита от низкочастотных атак типа SMS Leak и Credential Stuffing
- Личный кабинет со статистикой по трафику, инцидентам и времени ответа сервера в реальном времени
- Интуитивно понятный веб-интерфейс продуктов защиты
- Отдача метрик мониторинга по API
“
Модульбанк — давний клиент «Телеком биржи». Мы арендуем волокна и интернет-каналы. Качеством услуг очень довольны. Сначала по их рекомендации мы решили протестировать DosGate, новую технологию защиты от DDoS-атак. Она сработала именно так, как нам нужно.
Причина перехода с Arbor Peakflow на DosGate
До 2020 года «Модульбанк» защищал IT-инфраструктуру с помощью решения Arbor Peakflow. Но сетевых инженеров не устраивало время срабатывания защиты в несколько десятков секунд. Также для защиты граничного оборудования от перегрузок во время DDoS-атак, требовалась система контроля количества соединений в секунду.
Убедившись в эффективности решения, в январе 2023 года «Модульбанк» развернули ещё один резервный канал «Телеком биржи», также защищённый DosGate. Но вернёмся в 2021 год, когда начались приключения с ботами.
Убедившись в эффективности решения, в январе 2023 года «Модульбанк» развернули ещё один резервный канал «Телеком биржи», также защищённый DosGate. Но вернёмся в 2021 год, когда начались приключения с ботами.
| Как обнаружили SMS-бомбинг Авторизация/регистрация пользователей в веб-приложении «Модульбанка» проходит через подтверждение с помощью кода из СМС, отправленного по номеру мобильного телефона. В 2021 году эта привычная механика стала вектором атак нового типа на API банка. |
“
Осенью 2021 года по системе мониторинга мы обнаружили, что система ДБО сталкивается с большим количеством паразитных запросов. Более детальный анализ показал, что боты передают в наш API как существующие, так и не существующие телефонные номера. В ряде случаев это приводило к отправке авторизационных СМС. В том числе людям, не являвшимся клиентами банка. Мы стали получать от СМС-агрегаторов жалобы абонентов сотовых операторов. Это и навело на мысль, что нам перебирают апишку.
Во сколько SMS-бомбинг обошёлся банку
«Модульбанк» стал одним из первых российских банков, подвергшихся атаке SMS Leak, а простыми словами — SMS-бомбингу.
Атаку генерировали боты из сетей мобильных операторов и интернет-провайдеров. Любые попытки ослабить вредоносную активность самостоятельно с помощью WAF приводили к ложноположительным срабатываниям. Но главное — начали расти расходы на отправку SMS-кодов двухфакторной авторизации клиентов в приложениях банка.
Ущерб. Из-за отправки десятков тысяч лишних СМС, спровоцированных ботами, убытки банка исчислялись сотнями тысяч рублей в месяц.
Обращения в техподдержку. Обеспокоенные клиенты стали нагружать техподдержку многочисленными обращениями.
Атаку генерировали боты из сетей мобильных операторов и интернет-провайдеров. Любые попытки ослабить вредоносную активность самостоятельно с помощью WAF приводили к ложноположительным срабатываниям. Но главное — начали расти расходы на отправку SMS-кодов двухфакторной авторизации клиентов в приложениях банка.
Ущерб. Из-за отправки десятков тысяч лишних СМС, спровоцированных ботами, убытки банка исчислялись сотнями тысяч рублей в месяц.
Обращения в техподдержку. Обеспокоенные клиенты стали нагружать техподдержку многочисленными обращениями.
Дина Фомичева
Руководитель группы продаж «Телеком биржи»
«Модульбанк пользуется сервисами комплексной защиты критической инфраструктуры B2B-банка, предлагаемыми „Телеком биржей“: от уровня инфраструктуры до уровня приложений. Последним этапом стало подключение антибота, который помог компании окупить услугу в первые недели за счет отражения СМС-ботов.»
Почему прежний провайдер не защитил от SMS-бомберов
«Модульбанк» обратился за помощью к текущему провайдеру защиты от DDoS-атак на L7
- 01.
алгоритмы защиты были основаны на статически заданных порогах срабатывания по количеству запросов в секунду. - 02.
существенная часть ботовых запросов шла с проверенных сетей, по 3−4 запроса с одного IP-адреса. - 03
паразитный трафик блокировался только в ночное время, когда количество пользователей ресурсов минимально. - 04.
в дневное время запросы реальных клиентов блокировались вместе с нелегитимными, что вызывало недовольство и новые жалобы в поддержку.
Для решения задачи по фильтрации ботовой активности было принято решение протестировать Антибот Servicepipe
Как проходил пилот
Антибот тестировали поэтапно. Сначала — без клиентского трафика. Затем — только в ночное время. Собранные за два ночных включения данные помогли аналитикам Servicepipe обучить платформу профилю трафика мобильного приложения банка. Для браузерного трафика в личный кабинет в конфигурации защиты активировали опциональную CAPTCHA. Чтобы легитимные пользователи могли пройти тест на странице блокировки и продолжить работу. Эта мера минимизирует вероятность ложноположительных срабатываний Антибота.
Результаты 5-дневного пилота
Доля успешных прохождений опциональной CAPTCHA составила менее 0,003%
- 19 млн
ботовых запросов, доля которых составила более 20% от общего объёма трафика - 9 млн
ботовых запросов, направленных на получение авторизационных SMS при регистрации нового пользователя - 4 млн
ботовых попыток авторизации в личном кабинете (что могло свидетельствовать об атаке типа Credential Stuffing) - 15%
запросов сформированы продвинутыми ботами, поддерживающими стек браузера с моделью поведения близкой к реальному пользователю
“
Антибот мы тестировали в ноябре 2021-го. С декабря перевели под вашу защиту систему ДБО, поскольку Servicepipe сразу подтвердили эффективность противодействия СМС-ботам. При первичном подключении были трудности. Сначала фолcило на живых людях. Эффективное включение защиты произошло лишь с третьей попытки, так как системе фильтрации потребовалось время на обучение трафику мобильного приложения. Но в Антиботе нас сразу подкупил механизм допроверки легитимности запроса, снижающий негативное влияние ложноположительных срабатываний. Все решения конкурентов заметно чаще блокировали пользователей и пропускали больше ботов.
О результатах подключения Антибота
СМС-бомбинг был отражён сразу после полноценного включения защиты для веб-ресурсов банка (системы ДБО и API). Количество обращений в поддержку банка вернулось к прежним значениям. «Модульбанк» заметно сэкономил на неотправленных паразитных СМС. Антибот-решение Servicepipe окупило себя за месяц.
В марте 2022 года сайт modulbank.ru также был экстренно переведен под защиту от DDoS-атак.
В марте 2022 года сайт modulbank.ru также был экстренно переведен под защиту от DDoS-атак.
“
Удачно подключив комплексную веб-защиту Servicepipe ещё в декабре 2021 года, мы полностью устранили проблему ботов и оказались максимально сильно готовы к событиям, которые начались в феврале-марте 2022 года. Благодаря Servicepipe сервисы «Модульбанка» ни разу не упали из-за DDoS.
Заблокированные запросы простых и продвинутых ботов на одном из ресурсов «Модульбанка»
О пользе личного кабинета
Сетевые инженеры «Модульбанка» активно анализируют статистику по запросам в реальном времени. В частности, график «Распределение времени ответа ориджина» (Response Times). Кроме того, по их запросу была реализована отдача метрик мониторинга по API.
Статистика по времени ответа сервера-источника
Результат
- Эшелонированная защита IT-инфраструктуры банка, выявляет и блокирует DDoS-атаки менее, чем за 1 секунду1
- Максимальная готовность сайта и мобильного приложения к DDoS и атакам продвинутых ботов на L7 (SMS Leak, Credential Stuffing)2
- Снижение нагрузки на инфраструктуру веб-приложения и утилизацию CPU/RAM/Disk на 15%3
- В среднем 20% от общего количества ежедневных веб-запросов помечаются как вредоносные и фильтруются незаметно для клиентов банка4
- Отсутствие многомиллионных убытков из-за SMS-бомбинга5
- Минимальный процент False Positive 0,01%6
- Количество экстренных подключений дежурных инженеров из-за DDoS-атак сведено к минимуму7
Подробнее об услугах Информационной безопасности, предлагаемых «Телеком биржей»