【你遇到好機器人,還是壞機器人】全球惡意機器人流量破 30%!哪些產業被盯上?
Thales 近期發布《2024 年 Imperva 惡意機器人報告》(2024 Imperva Bad Bot Report),對全球網路的機器人流量進行分析。報告顯示,2023 年有近一半(49.6%)的網路流量來自機器人,這是 Imperva 自 2013 年開始監測自動化流量以來的最高紀錄。
不僅如此,它們還幾乎都是惡意機器人,全球平均惡意機器人流量已達到 32%,比例最高的分別是愛爾蘭(71%)、德國(67.5%)和墨西哥(42.8%),美國的惡意機器人流量比例也略高與 2022 年(32.1%),去年達到 35.4%。
(編按:根據 Thales 報告,機器人是一種運行自動化軟體應用程式,任務範圍從填寫表格到抓取資料等更複雜的功能。惡意機器人,則是惡意執行自動化任務的軟體應用程式。)
協助品牌保護機敏資料、身分、應用程式和軟體的 Thales 對此表示,每年,自動化機器人對網站、API 和應用程式的攻擊讓企業造成數十億美元的損失。
為什麼機器人流量這麼高?
機器人流量的興起跟生成式 AI 的使用率有密切相關性,該技術使用爬蟲機器人和自動化爬蟲來訓練模型,同時讓非技術用戶能夠加入程式碼的世界。
除此之外,自動化威脅在 2023 年造成了 30% 的 API 攻擊。其中,17% 是惡意機器人利用業務邏輯漏洞,即 API 設計和流程的缺陷來進行攻擊,也就是說攻擊者可以使用自動化機器人來查找並利用 API,把它當作訪問敏感數據的直接途徑,使其成為業務邏輯漏洞的主要目標。
以及,與上一年同期相比,2023 年的帳戶接管(ATO)攻擊增加了 10%。其中有 44% 的 ATO 攻擊均針對 API 端點,而 2022 年這一比例為 35%。
帳戶接管(Account Takeover, ATO)攻擊是一種網路安全威脅,攻擊者透過非法取得合法用戶的登錄憑證(如用戶名和密碼),來未經授權訪問和控制用戶的線上帳戶。
在 2023 年,遭受 ATO 攻擊最多的行業分別是金融服務業(36.8%)、旅遊業(11.5%)和商業服務(8%)。
惡意機器人會偽裝成真人用戶!哪些產業最常被攻擊?
而百工各業無人可躲過機器人的問題,遊戲產業(57.2%)的惡意機器人流量連續第二年占比第一。同時,零售業(24.4%)、旅遊業(20.7%)和金融服務業(15.7%)遭受的機器人攻擊數量次高,另外在政府單位(75.8%)、娛樂(70.8%)和金融服務業(67.1%)網站上,高級惡意機器人(即那些極力模仿人類行為並逃避防禦的機器人)占比最高。
現階段惡意機器人偽裝成真人用戶的情況越來越嚴重,尤其是來自住宅區的 IP 位址。簡單來說,就是惡意機器人會偽裝成手機用戶,再利用一般家庭的網路 IP,讓自己看起來就像是普通人在上網。這樣一來,網站和應用程式就更難分辨哪些是真人、哪些是機器人,導致惡意機器人更容易得逞,對網路安全造成的威脅不斷擴大。
Thales 旗下的 Imperva 總經理 Nanhi Singh 表示:「隨著更多人工智慧的工具被導入,機器人將無處不在。企業必須將資金投資在機器人管理和 API 安全工具,以管理來自惡意流量的威脅。」
透過 Amazon Bedrock,發掘 Claude 3 系列模型的無窮潛能
【立即試用 Claude 3 系列模型,24 小時內免費體驗!】
【推薦閱讀】
◆ 【股神的警告要聽】巴菲特重申 AI 跟核子武器一樣危險,尤其是被用在詐騙
*本文開放合作夥伴轉載,參考資料:《Security Brief》、Thales、《ITC》,首圖由 AI 工具 Dall E 生成。
(責任編輯:廖紹伶)