Как Yandex SmartCaptcha помогает компании «Ренессанс страхование» отражать атаки на инфраструктуру

ПАО «Группа Ренессанс Страхование» входит в число крупнейших страховых компаний России. Основные направления — life- и non-life-страхование, медтехсервис, управление активами. В своей работе «Ренессанс страхование» использует цифровые сервисы и продукты. Сервис Yandex SmartCaptcha помог «Ренессанс страхование» отразить атаки на инфраструктуру и сохранить доступность личного кабинета для клиентов.

В 2022 году «Ренессанс страхование» столкнулась с регулярными атаками на сервисы авторизации клиентов. Компании нужно было защитить сервисы авторизации от несанкционированного доступа, сохранив при этом комфортные условия работы с личным кабинетом для клиентов. «Ренессанс страхование» стремится максимально автоматизировать взаимодействие клиента с продуктами компании через личный кабинет — сервис онлайн‑обслуживания клиентов. Личный кабинет — веб‑сервис и мобильное приложение, в которых клиент вносит изменения в договор, расторгает старые договоры, урегулирует страховые случаи, общается с поддержкой.

Раньше компания уже использовала reCAPTCHA от Google на других проектах, но это решение было неидеальным: часто бывали сбои, возникали проблемы с интерфейсом. Кроме того, у Google не было собственной адаптации reCAPTCHA под React‑приложения, нужно было настраивать решение самостоятельно или пользоваться поддержкой сторонних разработчиков, а это не отвечало требованиям безопасности.

«Ренессанс страхование» было нужно решение с удобным, понятным интерфейсом, которое бы бесперебойно работало с React-приложением. Альтернатив reCAPTCHA было немного. Компания выбрала Yandex SmartCaptcha — удобное в настройке и работе решение с готовым компонентом невидимой капчи, которое разрабатывает и поддерживает одна и та же команда.

В мае 2022 года произошла первая серьёзная атака на сервис СМС-авторизации компании. Атака длилась 24 часа, сервис получал 30 миллионов запросов в час, оперативно защититься от неё компания смогла, отключив часть атакованных сервисов. После этого в компании скорректировали настройки динамических лимитов, WAF-сервисов и фильтрации адресов.

На какое-то время это помогло, но через 3–4 недели характер атак изменился. Теперь это было до 100 тысяч запросов в день раз в неделю. 3–4 месяца таким образом атаковали сервисы авторизации компании. Эти атаки были чувствительными для «Ренессанс страхование», портили статистику бизнес-показателей и тратили бюджеты на СМС-сообщения. Для защиты от них компания в первые недели реализовала собственную капчу для веб-форм. Капча помогла и перекрыла атаки, но не смогла закрыть все потребности.

Через некоторое время в компании зафиксировали рост трафика (до 80 тысяч вредоносных запросов в месяц) за счёт запросов, которые имитировали поведение человека. Это было вредоносное ПО, которое адаптировалось под защиту и атаковало не только внешние, но и внутренние сервисы «Ренессанс страхование». В этот момент компания поняла, что своими силами справиться с атаками достаточно сложно и необходима равноценная замена reCAPTCHA. Выбрав Yandex SmartCaptcha, «Ренессанс страхование» стала одной из первых компаний, которая начала тестировать у себя это решение.

У Yandex SmartCaptcha уже есть пакет для React-приложений, поэтому потребовалась всего пара часов, чтобы внедрить компонент на фронтенде. Трудностей в процессе не возникло.

В начальном варианте Yandex SmartCaptcha, который использовала «Ренессанс страхование», были стандартные проверки: галочка «Я не робот» и распознавание текста.

Сейчас у Yandex SmartCaptcha появились новые челленджи, которые разработаны таким образом, чтобы быть проще для людей и сложнее для роботов.

Так, в галочку «Я не робот» сложно попасть на мобильных устройствах, поэтому сейчас вместо галочки у Yandex SmartCaptcha слайдер: пользователь двигает ползунок. Детали такого варианта капчи крупнее, и ей удобно пользоваться в мобильных приложениях. Yandex SmartCaptcha использует и более сложный вариант слайдера, когда ползунок нужно двигать до тех пор, пока из разных кусочков мозаики не соберётся определённая картинка.

В качестве альтернативы традиционному распознаванию текста Yandex SmartCaptcha сейчас использует силуэты: пользователь нажимает на силуэты на капче в нужном порядке. Такой вариант капчи не требует локализации, потому что у него нет никакой смысловой нагрузки, и при этом выглядит интереснее обычного распознавания.

Решение хорошо себя показало. В данный момент компания использует Yandex SmartCaptcha в веб-версии и мобильном приложении личного кабинета.

Сервисы «Ренессанс страхование» остаются доступными для пользователей вне зависимости от атак на инфраструктуру компании. Доступ в личный кабинет для пользователей остался таким же удобным: для ввода кода требуется несколько секунд и время на авторизацию увеличилось незначительно.