A indústria de viagens está se recuperando pós-pandemia e cada vez mais é alvo de ameaças automatizadas, com o setor tendo enfrentado quase 21% de todos os pedidos de ataque de bots no ano passado. De acordo com a pesquisa da Imperva, uma empresa da Thales. Em seu Relatório de Bots Maliciosos de 2024, a Imperva descobriu que bots maliciosos representaram 44,5% do tráfego da web da indústria em 2023 – um salto significativo em relação a 37,4% em 2022.

A temporada de viagens de verão e grandes eventos esportivos europeus estão previstos para impulsionar a demanda do consumidor por voos, acomodações e outros serviços relacionados a viagens. Como resultado, a Imperva alerta que o setor pode ver um aumento na atividade de bots. Esses bots visam a indústria através de raspagem não autorizada, geração de reservas falsas, takeover de contas e fraudes.

Os bots são aplicativos de software que executam tarefas automatizadas pela internet. Muitas dessas tarefas, desde indexar sites para mecanismos de busca até monitorar o desempenho do site, são legítimas. No entanto, um número crescente não é. Bots maliciosos se envolvem em diversas atividades maliciosas, desde ataques de negação de serviço até fraudes em transações. Essas ameaças automatizadas podem consumir largura de banda, retardar servidores e interromper as operações comerciais, mesmo que não estejam diretamente roubando dados sensíveis ou realizando transações fraudulentas.

A indústria de viagens lida há muito tempo com problemas complexos de bots, pois agentes maliciosos podem explorar as várias maneiras pelas quais a lógica de negócios é utilizada em aplicativos de viagem. Estas são algumas das formas mais comuns pelas quais aplicativos relacionados a viagens são alvo diariamente:

– Raspagem de Tarifas: O uso de bots para agregar informações de preços, inventários, tarifas com descontos e mais. As companhias aéreas são particularmente visadas pela raspagem, já que bots operados por Agências de Viagens Online (OTAs), agregadores e concorrentes frequentemente colhem dados sem permissão. Como resultado, o alto volume de bots raspando informações pode distorcer métricas de negócios críticas, como relação visualizações-compras e inflacionar custos de API. Por exemplo, uma companhia aérea incorreu em US$ 500.000 por mês em taxas de solicitação de API devido a um aumento no tráfego de bots maliciosos raspando sua API de busca.

– Geração de Reservas Falsas: O uso de bots para reservar e cancelar repetidamente assentos de avião ou quartos de hotel, criando uma oferta temporária de inventário sem efetuar uma compra real. Esta atividade cria falsamente escassez, fazendo parecer que há menos assentos ou quartos disponíveis. Como resultado, isso engana os clientes e potencialmente aumenta os preços devido à percepção de alta demanda. Essa falsa escassez pode levar a uma má gestão do inventário, dificultando que clientes legítimos encontrem e reservem assentos ou quartos disponíveis. Como resultado, as empresas de viagens podem sofrer perdas de receita, já que clientes reais são desencorajados pela falta de disponibilidade ou preços inflados causados pela demanda falsa. A geração de reservas falsas também perturba as operações normais das companhias aéreas e hotéis, levando a ineficiências e aumento dos custos operacionais associados à gestão e monitoramento de tais atividades fraudulentas. Essa deterioração na experiência do cliente pode levar à frustração, já que clientes genuínos enfrentam dificuldades para encontrar e reservar assentos ou quartos.

– Takeover de Contas: A indústria de viagens foi a segunda com maior volume de tentativas de takeover de contas (ATO) em 2023, com 11% de todos os ataques de ATO direcionados à indústria e 17% de todas as solicitações de login associadas ao ATO. Cibercriminosos visam essa indústria devido às informações pessoais valiosas, métodos de pagamento armazenados e pontos de fidelidade dentro das contas de usuário, tornando-as lucrativas para roubo de identidade e fraudes. Transações de alto valor e sensíveis ao tempo em viagens permitem rápida monetização, frequentemente antes que a fraude seja detectada, resultando em perdas financeiras, quebra de confiança do cliente e prejuízo à reputação da empresa. Além disso, abordar o ATO demanda recursos substanciais para suporte ao cliente, reembolsos e melhorias de segurança. Os sistemas interconectados da indústria e os numerosos pontos de entrada a tornam ainda mais vulnerável.

Não Todos os Bots São Iguais

A Imperva classifica a atividade maliciosa de bots em três categorias: simples, moderada e avançada. Conectando-se a partir de um único endereço IP atribuído pelo ISP, bots maliciosos simples se conectam a sites ou aplicativos usando scripts automatizados sem se autoidentificarem como um navegador. Bots maliciosos moderados usam software de “navegador sem cabeça” que simula a tecnologia de navegador, incluindo a capacidade de executar JavaScript. Bots maliciosos avançados imitam o comportamento de usuários humanos, como movimentos e cliques de mouse, para enganar a detecção de bots. Eles também usam software de automação de navegador ou malware instalado em navegadores reais para se conectar a sites.

Bots maliciosos simples frequentemente realizam atividade básica de raspagem da web, enquanto bots maliciosos avançados podem ser necessários para tentativas de fraude e takeover de contas mais sofisticadas. A indústria de viagens é particularmente afligida pela atividade de bots maliciosos avançados, que representaram 61% da atividade de bots maliciosos no ano passado. O tráfego de bots maliciosos avançados representa um risco significativo, já que esses bots podem atingir seus objetivos com menos solicitações do que bots maliciosos simples e são muito mais persistentes.

Operadores de bots sofisticados frequentemente utilizam técnicas compartilhadas entre bots maliciosos moderados e avançados para evitar detecção. Esses bots evasivos usam táticas complexas, como tenaciar IPs aleatórios, entrando por meio de proxies anônimos, derrotando desafios CAPTCHA e outros para contornar soluções de gerenciamento de bots.

Fortalecendo as Defesas

Os bots representaram quase metade de todo o tráfego dentro da indústria de viagens em 2023. Essa situação poderia piorar à medida que a demanda do consumidor por viagens aumenta e operadores de bots visam programas de recompensas de lealdade, realizam ataques de takeover de contas ou cometem fraudes. Para mitigar essas ameaças, a Imperva recomenda várias estratégias para as equipes de segurança de TI.

Em primeiro lugar, as organizações devem identificar riscos por meio de análise avançada do tráfego e detecção de bots em tempo real. Entender a exposição, especialmente em torno de funcionalidades de login, é crucial, já que essas são alvos principais para stuffing de credenciais e ataques de força bruta. Uma estratégia de segurança abrangente deve abranger todos os pontos de contato digitais, incluindo APIs e aplicativos móveis.

A Imperva sugere várias vitórias rápidas, como bloquear versões antigas de navegadores, restringir o acesso de data centers de IP em massa e implementar estratégias de detecção para sinais de automação, como interações incomumente rápidas. Monitorar regularmente anomalias de tráfego, como altas taxas de rejeição ou picos repentinos, pode ajudar a identificar atividade de bots maliciosos. Além disso, analisar fontes de tráfego suspeitas, como endereços IP únicos, pode fornecer insights valiosos.

À medida que a tecnologia de bot avança, especialmente com inteligência artificial, distinguir entre tráfego bom e ruim se tornará mais desafiador. Portanto, a Imperva defende defesas em camadas, incluindo análise de comportamento do usuário, perfil e identificação, como medidas essenciais para a indústria de viagens.