שליש מהגולשים בזירת המסחר המקוון הם למעשה בוטים ומשתמשים מזויפים / צילום: Shutterstock
מה הייתם עושים אם היה בבעלותכם אתר למסחר מקוון, והייתם מגלים שכמעט שליש מהיוזרים שגולשים אצלכם הם בכלל לא בני אדם? מחקר חדש של חברת הסייבר הישראלית CHEQ, הפועלת בתחום ה-Go-to-Market Security, חושף כי מדי שנה 470 מיליון "קונים מקוונים" באתרי איקומרס הם למעשה בוטים ומשתמשים מזויפים. הבוטים האלו גונבים מידע ופרטים אישיים, מבצעים הונאות ומתחקים אחרי הפעילות הגולשים ברשתות.
בחברה מצאו כי 32% מכלל התנועה האורגנית והישירה המגיעה לאתרי אינטרנט קמעונאיים איננה אמיתית, כלומר מדובר במשתמשים שאין להם כוונה או יכולת לרכוש. בין האיומים הנפוצים הקשורים לפעילות סייבר של מסחר אלקטרוני נמנים הונאת קליקים, הונאה בכרטיסי אשראי, הונאות Cookie-Stuffing (גביית עמלות לא לגיטימית) ועוד.
בנוסף להשפעה של בוטים ומשתמשים מזויפים על תנועה אורגנית וישירה, הדוח מצא גם שמיליארדי דולרים מבוזבזים על הקלקות שיטתיות בנוגע לפרסום בתשלום באתרי קמעונאות, והכנסות נוספות שאבדו בגלל בוטים שנוטשים עגלות רכישה.
הנתונים שהוצגו במחקר של החברה התבססו על ניתוח תנועת המשתמשים ביותר מ-50 אלף אתרים ברחבי העולם. לחברה יש כמעט 13 אלף לקוחות ברחבי העולם, מסטארט-אפים, יוניקורנים, חברות כמו טויוטה, הונדה, סוברו, חברות תעופה ועד לחברות סייבר כמו פאלו אלטו. CHEQ הוקמה בשנת 2016 ע"י גיא טיטונוביץ' המשמש כמנכ"ל, אהוד לוי יו"ר החברה ואסף בוטובסקי סמנכ"ל טכנולוגיה. כיום היא מעסיקה כ-200 עובדים במשרדי החברה בתל-אביב, ניו-יורק, טוקיו, שנחאי וסידני.
"יש אלפי דרכים לזיהוי, החל ממהירות הקלדה וכלה במבחנים שרק אדם אמיתי יידע לעבור", מספר גיא טיטונוביץ', מנכ"ל CHEQ. אנחנו מחפשים המון אנומליות, דברים שאדם למעשה לא יכול לבצע, וטומנים ליוזר הרבה מאוד מלכודות בלתי נראות כדי לתפוס אותו.
"בוטים לא מגיעים לאתר כדי לקנות משהו. הם לא משתמשים בשמפו ולא שותים קולה, ובטח לא מגיעים לפגישת מחזור תמימה. אנשים משתמשים בבוטים כדי לעשות משהו שהם בעצם לא יכולים לעשות. אם יש פעילות זדונית שצריך בשבילה 5,000 יוזרים, לא ילכו לגייס 5,000 בני אדם כדי לבצע אותה, אבל במקום זאת ייצרו 5,000 בוטים".
איום 1: כרטיסי אשראי גנובים
לדברי טיטונוביץ', כאשר האקרים רוכשים מספרים של כרטיסי אשראי גנובים בדארק-נט, עליהם לנסות אותם ולראות שהם באמת עובדים. "הם נכנסים לכל מיני אתרי איקומרס, לא כדי לקנות אלא רק במטרה לבדוק אם הכרטיס עובר, רוכשים משהו קטן, אפילו בעלות של דולר אחד, ואז מתחילים להפגיז.
"בהרבה מקרים, ההאקר ישיג פרטי כניסה של 10,000 לקוחות של בנק מסוים. כדי לבדוק את הפרטים האלו הוא ייצור בוט שיערוך את הבדיקה, וברוב הפעמים היא תתבצע באתרי האיקומרס עצמם. כשדבר כזה קורה, זו קטסטרופה עבור אתר האיקומרס. מעבר למשמעויות המשפטיות, הוא מפסיד עבודה וכסף", מציין טיטונוביץ'.
"לאתרים יש סוגיה של מוניטין, ובנוסף הם צריכים להגן הן על הלקוחות שלהם והן על ההכנסות. אם בוט ביצע רכישה וביטל את התשלום, יש לכך אימפקט אמיתי. או אם בוט עשה בדיקה על כרטיס האשראי והוא נדחה, הלקוח יכול לאבד את היכולת שלו לקלוט הזמנות".
איום 2: השתלטות על מהדורות מוגבלות
בוטים שמכונים גרינץ' ספוט' מתמחים במוצרי מהדורה מוגבלת. "כאשר מוצר נחשק בקטגוריה הזו משתחרר, כמו סניקרס במהדורה מוגבלת של נייקי או מכירה מוקדמת של פלייסטיישן 5", מסביר טיטונוביץ', "ישנם ספסרים ששולחים בוטים מתוחכמים ומהירים שיסתערו על האתר לפני שהגולשים האנושיים יגיעו.
"וכך, חמש דקות לאחר שהמכירה התחילה היא מסתיימת - כשאף אחד לא זכה לקבל את הנעליים. את זוגות הנעליים האלה הספסרים ימכרו לאחר מכן במחירים גבוהים הרבה יותר".
איום 3: נטישת עגלות
"בין ריטיילרים יש לפעמים מלחמות עקובות מדם", מספר דניאל אביטל, סמנכ"ל אסטרטגיה ב- CHEQ . "כבר ראינו מקרים שבעלים של אתר איקומרס מביא בוט לאתר של ריטיילר מתחרה. הבוט ממלא את העגלה שלו בפריטים הכי חמים לעונה, או לחילופין בפריט מסוים שמציעים לקנייה בשני האתרים.
"כשיש מגבלה על כמות - כי הרי לא ניתן למלא את העגלה ב-200 זוגות מגפיים זהים - הוא מביא 200 בוטים, שמתוכנתים בכל שעה למלא את העגלה, ועוזבים אותה שם, ואז ממלאים שעה לאחר מכן עוד עגלה באותם הפריטים, וחוזר חלילה. כשהצרכן מגיע לקנות הוא רואה שכל הזמן הפריטים שהוא מחפש אינם במלאי, ולבסוף מתייאש ועוזב לאתר של המתחרה, לרכוש אותם שם".