Boty odpowiadają za 48% ruchu w Internecie. Te złośliwe najczęściej korzystają z urządzeń podłączonych do Internetu w naszych domach

Niemal połowę (48%) całkowitego światowego ruchu internetowego w pierwszej połowie 2023 roku wygenerowały boty. Większość z nich (30%) była złośliwa, wynika z najnowszego raportu Threat Spotlight opracowanego przez firmę Barracuda Networks, producenta rozwiązań z obszaru bezpieczeństwa IT. Szkodliwe boty używały domowych adresów IP do przeprowadzania ataków. Dzięki temu unikały wykrycia.

Boty to programy komputerowe działające w sieci Internet i wykonujące automatyczne zadania. Badacze z firmy Barracuda od lat śledzą ich zachowanie.

Boty mają dziś różnorodne zastosowania – zarówno dobre, jak i złe. Dobre boty to głównie roboty wyszukiwarek internetowych używane do agregacji lub monitorowania treści. Przestrzegają one zasad określonych przez właściciela strony internetowej, pozwalają na weryfikację swojej tożsamości i pracują tak, aby nie przeciążać odwiedzanych stron internetowych i aplikacji. Złe boty natomiast są tworzone do wykonywania różnych złośliwych działań. Są wśród nich i proste skanery próbujące pozyskać dane z aplikacji, i zaawansowane boty, które zachowują się niemal jak ludzie i skutecznie unikają wykrycia. To właśnie one podejmują próby cyberataków, w tym ataków DDoS, przejmowania kont czy monitorowania stron i aplikacji w poszukiwaniu cen oraz znaczących danych

Michał Zalewski

inżynier w Barracuda Networks

Eksperci Barracuda Networks ustalili, że od stycznia do czerwca 2023 roku złośliwe boty odpowiadały za 30% całego ruchu w Internecie. Źródłem 72% z nich była Ameryka Północna. 67% ruchu złych botów pochodziło od dostawców hostingu, w tym dwóch dużych chmur publicznych: AWS i Azure.

Nowy sposób działania botów

Tegoroczny wynik jest niższy od rezultatu w roku 2021. Wtedy złośliwe boty generowały 39% ruchu w Internecie. Zmienił się też sposób ich działania. W 2021 r. dominowały boty z obszaru interakcji e-commerce, których głównym zadaniem było poszukiwanie rzadkich i tym samym pożądanych artykułów, np. butów czy zabawek, które można było wykupić z rynku i odsprzedać z zyskiem.

W pierwszej połowie 2023 roku złośliwe boty były wykorzystywane do bardziej zaawansowanych ataków. Co ważne, używały przede wszystkim domowych adresów IP do przeprowadzona ataków. To miało je chronić przed wykryciem przez oprogramowanie zabezpieczające, które blokuje znane szkodliwe adresy IP. W wielu przypadkach osoby korzystające z tych prywatnych adresów IP lub później do nich przydzielone znalazły się w "piekle CAPTCHA". Nie mogły bowiem przejść testów reCAPTCHA od Google lub zabezpieczeń od Cloudflare, ponieważ ich adres IP wywoływał alarm.

Uzbrojone w miliony powszechnych nazw użytkowników i haseł złe boty są wysyłane w różne części Internetu po to, by przejąć konta e-mail, zwłaszcza te, do których można się dostać poprzez podatne interfejsy programowania aplikacji, czyli API. Boty sprawdzają setki, a nawet tysiące kombinacji nazw użytkowników i haseł, aż znajdą tę jedną, która działa

Michał Zalewski

inżynier w Barracuda Networks

API stają się coraz częstszym celem cyberataków, ponieważ są stosunkowo słabo zabezpieczone i szeroko wykorzystywane do procesów automatyzacji i komunikacji. Interfejsów API do dostępu do e-maili i skrzynek odbiorczych używają między innymi aplikacje do e-mail marketingu, które wysyłają i śledzą masowe lub spersonalizowane wiadomości e-mail do potencjalnych lub istniejących klientów, a także aplikacje do zarządzania, weryfikowania i automatyzacji wiadomości e-mail.

Podatne na tego typu ataki są przede wszystkim organizacje używające słabo zabezpieczonych interfejsów API, słabego uwierzytelnienia i polityk dostępu oraz niestosujące ochrony przed działalnością botów, np. ograniczenia objętości i prędkości ruchu przychodzącego. Dobra wiadomość jest taka, że na rynku są dziś dostępne skonsolidowane rozwiązania chroniące aplikacje internetowe i API (WAAP), które identyfikują i zatrzymują złośliwe boty

Michał Zalewski

inżynier w Barracuda Networks