We współczesnym krajobrazie cyfrowym, w którym aplikacje i interfejsy API kluczowe dla funkcjonowania firm, coraz większym zagrożeniem stają się zaawansowane boty. Podczas gdy tradycyjne metody bezpieczeństwa koncentrują się głównie na zapobieganiu atakom, zautomatyzowane zagrożenia często pozostają niewykryte – imitując ludzkie zachowania i wykorzystując luki w logice aplikacji w zaskakujący sposób.
Niedawno opublikowany raport F5 Labs Advanced Persistent Bots 2025 rzuca światło na ewolucję taktyk stosowanych przez zaawansowane boty i wyzwania, jakie one niosą. David Warburton, dyrektor F5 Labs zwraca uwagę na trzy kluczowe trendy, które wyraźnie wybrzmiewają w tegorocznych analizach oraz podpowiada, w jaki sposób można się przed nimi skutecznie bronić.
- Credential stuffing: gdy skradzione hasła ujawniają cenne dane
Współczesne ataki z użyciem botów coraz częściej przybierają formę tzw. credential stuffingu – techniki polegającej na masowym testowaniu wykradzionych danych logowania w różnych serwisach. Umożliwia to fakt, że wielu użytkowników powiela te same hasła na różnych stronach internetowych. Według danych F5 Labs w niektórych firmach aż 80% prób logowania pochodzi z ataków typu credential stuffing. W raporcie podkreślono także, że nawet przy niskim współczynniku powodzenia – 1 do 3% na każdą próbę – ogromna skala ataków przekłada się na znaczącą liczbę przejętych kont.
W ostatnich latach wiele znanych firm padło ofiarą credential stuffingu. Przykładem może być incydent z 2022 roku, gdy w wyniku ataku na PayPala uzyskano dostęp do prawie 35 000 kont użytkowników, co umożliwiło przejęcie cennych danych osobowych i ich późniejsze wykorzystanie w innych usługach online. Podobnie spadek reputacji firmy 23andMe częściowo przypisuje się właśnie takiemu atakowi – ujawniono wówczas dane zdrowotne i genealogiczne klientów, które później trafiły na darknet, gdzie oferowano je w cenie 1000 USD za 100 profili, do 100 000 USD za 100 000 profili. Choć jako główną przyczynę incydentu firma wskazała brak aktywnego korzystania z uwierzytelniania wieloskładnikowego (MFA), prawdziwa siła credential stuffingu tkwi w jego zdolności do obchodzenia klasycznych zabezpieczeń. Boty posługują się prawdziwymi danymi do logowania – nie wykorzystują żadnych podatności i nie uruchamiają typowych alarmów. MFA może więc pomóc, ale nie daje pełnej ochrony – zwłaszcza że coraz popularniejsze są tzw. proxy phishingowe działające w czasie rzeczywistym (RTPP). Dlatego kluczowe staje się wdrożenie inteligentnych rozwiązań wykrywających boty, które analizują wzorce logowania, cechy identyfikujące urządzenia i nietypowe zachowania użytkowników.
- Hotelarstwo na celowniku: ataki na karty płatnicze i kradzieże punktów lojalnościowych
Choć za główne cele cyberataków najczęściej uznaje się branże finansową i retail, badania F5 Labs pokazują, że sektor hotelarski również mierzy się ze wzmożoną aktywnością botów. Szczególnie narażone są strony internetowe i API obsługujące programy lojalnościowe oraz systemy kart podarunkowych. W niektórych przypadkach liczba zautomatyzowanych ataków wzrosła aż o 300% rok do roku. Z raportu wynika również, że boty coraz częściej atakują karty podarunkowe o wyższej wartości.
Jednym z typowych działań botów jest masowe testowanie skradzionych numerów kart płatniczych – sprawdzają one ich ważność, wykorzystując formularze płatności lub API (tzw. ataki walidujące, znane jako carding). Z kolei boty ukierunkowane na karty podarunkowe atakują systemy lojalnościowe – sprawdzają salda, przenoszą punkty lub nielegalnie realizują nagrody. W wielu przypadkach boty wykorzystują przewidywalne schematy numeracji – na przykład sekwencyjne numery kart.
Tego rodzaju systemy są atrakcyjnym celem, ponieważ oferują realną wartość, którą można łatwo zamienić na towary, usługi lub wykorzystać do zakupów. W walce z tego typu zagrożeniami niezbędne są rozwiązania umożliwiające skuteczne rozpoznawanie i blokowanie ruchu generowanego przez boty. Wymaga to stałego monitorowania aktywności związanej z kartami, analizy transakcji i wdrażania rozwiązań zdolnych rozpoznać, czy po drugiej stronie stoi człowiek, czy automat. Tradycyjne zabezpieczenia, takie jak CAPTCHA od dawna bywa z łatwością obchodzona przez operatorów botów.
- Nowe metody omijania ochrony: koniec ery CAPTCHA
Tradycyjne mechanizmy ochrony, takie jak CAPTCHA czy blokowanie adresów IP, okazują się nieskuteczne wobec coraz bardziej wyrafinowanych metod omijania zabezpieczeń. Operatorzy botów bez trudu zlecają rozwiązywanie testów CAPTCHA osobom pracującym w tzw. farmach klikaczy – czyli grupach ludzi, którzy za niewielką opłatą wykonują te zadania ręcznie, na żądanie.
Ponadto coraz powszechniej wykorzystywane są tzw. proxy rezydencjalne, czyli połączenia pośredniczące, które przekierowują ruch botów przez zhakowane adresy IP zwykłych użytkowników. Dzięki temu działania botów wyglądają jak legalna aktywność, co utrudnia ich wykrycie.
Zjawisko to potwierdza firma Okta, dostawca usług zarządzania tożsamością, która powiązała rosnącą dostępność proxy rezydencjalnych z gwałtownym wzrostem ataków typu credential stuffing na swoich użytkowników w ubiegłym roku. Według jej danych, miliony fałszywych żądań logowania były przekierowywane przez domowe adresy IP, co sprawiało wrażenie, że pochodzą z urządzeń mobilnych i przeglądarek prawdziwych użytkowników – a nie z adresów przypisanych do wirtualnych serwerów prywatnych (VPS), z których zwykle operują boty.
Aby skutecznie przeciwdziałać takim technikom, organizacje muszą wyjść poza klasyczne metody ochrony i wdrażać inteligentne rozwiązania. Kluczowe są tu technologie oparte na uczeniu maszynowym i analizie behawioralnej, które pozwalają wykrywać boty na podstawie ich zachowania i charakterystycznych cech – a nie jedynie adresu IP czy wyniku testu CAPTCHA. To znacząco zwiększa szanse na skuteczną obronę przed zaawansowanymi atakami automatycznymi.
Równowaga w obronie przed botami: jak zarządzać rosnącym ryzykiem?
Warto pamiętać, że jeden, uniwersalny poziom ochrony przed botami zwyczajnie nie istnieje. To, jak szeroko firma powinna się zabezpieczać, zależy od jej gotowości do podjęcia ryzyka, możliwości technologicznych i kosztów, jakie jest w stanie ponieść. Ponadto całkowite wyeliminowanie ruchu botów może być nie tylko niemożliwe, ale wręcz niepożądane, z uwagi na to, że część zautomatyzowanej aktywności jest legalna i przydatna.
Dlatego – jak zawsze – skuteczna obrona zaczyna się od wiedzy: kto atakuje, jakie niesie to ryzyko i w jaki sposób można je ograniczyć. Tylko takie podejście pozwala realnie chronić firmę i jej klientów.
