近期有報告指出,2022年,近一半的互聯網流量來自機器人程序,比前一年增長(cháng)了5.1%。人流量占比降至8年來的最低水平。
惡意機器人流量能(néng)夠高速濫用、誤用和攻擊的惡意自動化軟件應用的數量連續第四年增長(cháng)至30.2%,比2021年增長(cháng)2.5%。
2022年,互聯網上的惡意機器人活動達到了自2013年惡意機器人報告發(fā)布以來的最高水平。惡意機器人活動對(duì)企業來說(shuō)是一個重大風險,因爲它可能(néng)導緻帳戶洩露、數據盜竊、垃圾郵件、更高的基礎設施和支持成(chéng)本、客戶流失,以及在線服務退化。總的來說(shuō),由于對(duì)組織網站、基礎設施、API和應用的自動攻擊,每年損失數十億美元。
機器人進(jìn)化和自動攻擊的興起(qǐ)
Earth Link Spammer是世界上最早的僵屍網絡之一,于2000年被(bèi)發(fā)現。它由一個人創建,作爲網絡釣魚詐騙的一部分,它發(fā)送了超過(guò)一百萬封電子郵件。
2014年,機器人利用移動浏覽器設置抓取數據,表明機器人運營商正在适應移動網絡和應用環境的早期現象。
2015年,惡意機器人的複雜程度飙升了11%。機器人操作員使用單個機器人在許多IP地址之間循環,以發(fā)出單個請求,同時(shí)僞裝其身份。
2016年,随著(zhe)移動設備使用量的增長(cháng),惡意機器人迅速适應了環境。移動Safari首次成(chéng)爲自我報告的領先用戶代理之一,而聲稱是移動浏覽器的機器人數量增加了42.78%。
在2020年和2021年,随著(zhe)自動化變得更加複雜,惡意機器人成(chéng)爲互聯網的流行病。通過(guò)囤積和收集庫存,機器人使人類更難購買遊戲機或安排新冠疫苗預約。
自2013年以來,機器人發(fā)展迅速,但随著(zhe)生成(chéng)式人工智能(néng)的出現,該技術將(jiāng)在未來10年以更快、更令人擔憂的速度發(fā)展,網絡罪犯將(jiāng)更加關注通過(guò)複雜的自動化攻擊API端點和應用業務邏輯。因此,與惡意機器人相關的業務中斷和财務影響將(jiāng)在未來幾年變得更加嚴重。
2023年機器人報告的主要發(fā)現:
惡意機器人越來越複雜,越來越難以檢測。2022年,被(bèi)歸類爲“高級”的惡意機器人占所有惡意機器人流量的一半以上(51.2%)。
相比之下,2021年惡意機器人的複雜程度爲25.9%。對(duì)于企業來說(shuō),這(zhè)是一個令人擔憂的趨勢,因爲高級惡意機器人使用最新的規避技術,并密切模仿人類行爲,通過(guò)循環訪問随機IP、通過(guò)匿名代理進(jìn)入和更改身份來逃避檢測。
帳戶接管(ATO)攻擊在2022年增加了155%。此外,在過(guò)去12個月中,所有行業中有15%的登錄嘗試被(bèi)歸類爲帳戶接管。網絡犯罪分子使用惡意機器人來促進(jìn)憑證填充和暴力攻擊,因爲自動化可以快速循環憑證直到成(chéng)功。這(zhè)些攻擊有可能(néng)鎖定客戶的帳戶,向(xiàng)欺詐者提供敏感信息,導緻企業收入損失,并增加不合規的風險。
惡意機器人以API爲目标,濫用業務邏輯和損害賬戶。到2022年,對(duì)API的所有攻擊中有17%來自濫用業務邏輯的惡意機器人。
業務邏輯攻擊利用API或應用設計和實現中的缺陷來操縱合法功能(néng),以竊取敏感數據或非法獲取帳戶訪問權限。此外,2022年35%的帳戶接管攻擊專門針對(duì)API。當以編程方式調用API時(shí),攻擊者可以輕松地自動執行嘗試接管帳戶的過(guò)程,而不會(huì)觸發(fā)任何警報。
旅遊業(24.7%)、零售業(21%)和金融服務業(12.7%)繼續遭受最多的僵屍程序攻擊。與此同時(shí),醫療保健和法律與政府在2022年的惡意機器人攻擊數量大幅增加。遊戲(58.7%)和電信(47.7%)在其網站和應用中的惡意機器人流量比例最高。總而言之,機器人對(duì)所有行業來說(shuō)都(dōu)是一個日益嚴重的問題。
大多數國(guó)家/地區都(dōu)存在嚴重的機器人問題。在報告分析的13個國(guó)家中,超過(guò)一半的惡意機器人程序流量水平超過(guò)全球平均水平30.2%。德國(guó)、愛爾蘭和新加坡位列前三,而美國(guó)也以32.1%超過(guò)平均水平。
浏覽器設置掩蓋惡意機器人行爲,2022年,五分之一的惡意機器人選擇移動Safari作爲浏覽器,高于2021年的16.1%。更新後(hòu)的浏覽器提供的隐私設置可以混淆惡意機器人行爲,使企業更難檢測并停止自動交通。
每個企業,無論規模或行業,都(dōu)應該關注互聯網上不斷增加的惡意機器人數量,機器人流量的比例逐年增長(cháng),惡意自動化造成(chéng)的中斷導緻了切實的商業風險,從品牌聲譽問題到網絡應用、移動應用和API的在線銷售減少和安全風險。企業需要立即采取行動并投資于機器人程序管理和在線預防,以識别和阻止針對(duì)API和應用業務邏輯的複雜自動化。
采編:上海速亞信息科技有限公司
來源:千家網