Veled is előfordult már, hogy egy népszerű terméket próbáltál megvásárolni online a megjelenés napján, de mire felkerested a webáruházat, már csak a „nem elérhető” feliratot tudtad elolvasni? A háttérben nagy valószínűséggel felvásárló robotok (angolul scalper bots) léptek működésbe, melyek a teljes piacra dobott készletet pillanatok alatt megkaparintották.
Mik azok a felvásárló robotok?
A felvásárló robotok lényegében az online vásárlás automatizálására írt rosszindulatú programok. A támadók az esetek többségében nyerészkedni akaró felvásárlók, akik az automatizált szoftver segítségével képesek a virtuális sor elején helyet foglalni, majd amikor az adott termék vagy szolgáltatás elérhetővé válik, azt nagy mennyiségben azonnal megvásárolni.
A felvásárló robotok típusai
- Monitor bot: a leggyakrabban használt típus, melynek feladata a webáruházak kínálatának folyamatos megfigyelése. Amint a kívánt termék elérhetővé válik, a program vagy riasztja a felhasználót vagy egy másik folyamatot értesít, amely megvásárolja a hozzáférhető készletet.
- Sneaker bot: ezek a botok már képesek a teljes vásárlási folyamatot automatizáltan végig vinni. Az elnevezés onnan származik, hogy ezeket a botokat eredetileg a korlátozott példányszámú cipők (limited edition sneakers) felvásárlására használták.
- Add to cart services: napjainkban a felvásárló robotok már szolgáltatásként is igénybe vehetők a technológiához kevésbé értő „felhasználók” számára. A szolgáltatás díjának kifizetése után az adott webáruházhoz kapunk egy linket, ahol már csak a robotok által a kosárba tett termék megvásárlásához szükséges adatainkat kell megadnunk és rákattintanunk a „Megrendelés” gombra.
- Spinner bot: a sneaker botok újabb generációjának tekinthetők. Ezek a botok a vásárlási folyamatot egészen a termék kosárba tételéig viszik el, majd a lefoglalt árut egy másodlagos weboldalon meghirdetik magasabb áron. Amennyiben a kívánt nyereséget nem tudják realizálni, úgy az eredeti webáruházban egyszerűen törlik a kosárban lévő terméket.
- Account creators: egyes webáruházak úgy próbálnak védekezni a fentebb említett botokkal szemben, hogy a korlátozott példányszámú vagy gyűjtőknek szánt termékeik esetén sorsolással döntik el, hogy a jelentkezők közül ki vásárolhatja azt meg. A támadók erre reagálva hamis felhasználók ezreit állítják elő (fake account creation) automatizáltan, ezzel nagyban növelve a saját esélyeiket a sorsolásokon.
A felvásárló robotok célpontjai
Ez a típusú nyerészkedő tevékenység már nagyon régóta kialakult, gondoljunk csak a koncertjegyekkel vagy egyéb belépőkkel való másodlagos kereskedelemre. Az elektronikus kereskedelem elterjedésével a felvásárlók lehetőségei is kibővültek. Általánosságban elmondható, hogy azokat a termékeket célozzák meg, amelyek korlátozott darabszámban elérhetők, gyűjtői darabok vagy magas áron újra értékesíthetők. Főként az USA-ban jövedelmező a Nike vagy az Adidas által kínált korlátozott számban kapható „limited editon” cipőkkel való kereskedelem. Szintén az eredeti ár többszöröséért vásárolhatók meg a különböző gyűjtői játékok (pl. Pokémon játékkártyák). Napjainkban a támadók leggyakoribb célpontjai az újgenerációs játékkonzolok valamint az újgenerációs videókártyák. A termékek/szolgáltatások köre egyre szélesebb. A járványhelyzet miatt például Nagy-Britanniában a tavaly nyári időszakban megugrott a kültéri pezsgőfürdők iránti kereslet, ami egy újabb lehetőséget jelentett a felvásárlók számára. Hasonló jelenséget figyeltek meg akkor is, amikor egyesek az élelmiszer áruházak által kínált házhozszállítási időpontokkal kezdtek el „kereskedni”.
Egy új iparág kialakulása
Túlzás nélkül állítható, hogy napjainkban a botokat használó viszonteladói tevékenység iparági méreteket öltött. Egyre több professzionális csoport jön létre, akik magas szintű technológiai tudással rendelkeznek, ezáltal egyre több termék és szolgáltatás kereskedelmét képesek befolyásolni. Mivel igen jövedelmező tevékenységről van szó, ezért a csoportok tagjai már nem csak hobbyként végzik azt, hanem teljes munkaidős állásként. A hivatásos csoportok által nyújtott szolgáltatások is egyre modernebbek: moduláris felépítésű botok, ingyenes próbaidőszak, használat szerinti díjfizetés. A bevételek tekintetében elmondható, hogy a jegyek és belépők újra értékesítése 2020-ban hozzávetőlegesen elérte a 15,9 milliárd dollárt. Az E-bayen 2020 4. negyedévében lebonyolított adásvételek alapján megállapításra került, hogy az újgenerációs játékkonzolok (Playstation 5, Xbox Series X), az újgenerációs videókártyák (RTX 3000-es sorozat és RX 68xx) valamint a Zen3 architektúrájú AMD processzorok értékesítéséből 43,7 millió dollár haszon származott. A cipőkkel folytatott viszonteladói tevékenység az utóbbi években látványosan növekedett, a piac teljes értékét 2030-ra 30 milliárd dollárra becsülik.
Védekezés a felvásárló robotok ellen
Az áruházak és a felvásárlók közötti harc a háttérben megállás nélkül zajlik, mivel a támadók folyamatosan változtatják a módszereiket. Erre válaszul újabb védekezési mechanizmusokat fejlesztenek ki, melyeket még újabb technológiákkal igyekeznek kijátszani, így a „fegyverkezési verseny” végtelennek tekinthető. Az eladók oldaláról mindig javasolt a több szintű védelem kialakítása. Alapvető fontosságú a rendkívül népszerű, a felvásárlók potenciális célpontjait jelentő termékek azonosítása, illetve a fokozott elővigyázatosság a sláger termékek bevezetésekor. Szintén erősen ajánlott megfelelő DDOS/WAF (distributed denial-of-service/web application firewall) védelemmel ellátni a webáruházat. Ezen védelmek mellett alkalmazhatók dedikált bot elhárító programok, melyek mesterséges intelligencia segítségével képesek felderíteni a kártékony botokat. A védekezés újabb szintjét a csalásmegelőzési rendszerek bevezetése és a megrendelések ellenőrzése jelenti.