Якщо вам здається, що інтернет став не таким як раніше, то вам не здається. Нове дослідження (та й не одне) показало, що більшість трафіку вже не походить від людей. Ми офіційно втратили контроль над глобальною мережею ще у 2024 році.

Боти (програми, які автоматизовано взаємодіють з вебсайтами) були нормою вже довгий час, але саме минулого року вперше трафік від них перевищив людський. Це зростання не в останню чергу пов’язане з розквітом генеративного штучного інтелекту (ШІ) та великих мовних моделей (LLM). Воно суттєво полегшило створення ботів, і далеко не всі з них – просто корисні інструменти для моніторингу або виконання іншої допомоги. 

Війна ботів: «десептикони» стрімко перемагають

З кожним роком ШІ-боти стають розумнішими та більш небезпечними. Вони здатні до крадіжки паролів, атаки на сайти та маніпуляцій у соціальних мережах. Поки ви намагаєтесь розв’язати чергову хитру CAPTCHA, кіберзлочинці використовують генеративний штучний інтелект, щоб перехитрити системи безпеки. І роблять це у величезних масштабах.

За даними звіту 2025 Imperva Bad Bot Report від компанії Thales, у 2024 році автоматизований вебтрафік вперше за десятиліття перевищив людський, досягнувши 51%, з яких лише 14% – звичайні боти. Тобто, 37% припадає на так званих «поганих» ботів — автоматизовані програми зі зловмисними намірами, які становлять серйозну загрозу для бізнесу та користувачів. 

Зі збільшенням обсягів автоматизованого трафіку командам безпеки доводиться адаптувати свій підхід до захисту додатків у протистоянні загрозі ботів, які щоденно отримують нові переваги.

Тенденція до появи «поганих» ботів зростає вже шостий рік поспіль: у 2023 році їхня частка становила 32%, а людський трафік знизився до 50,4%. Особливо вразливими до «десептиконів» сектори туризму (41% трафіку від «поганих» ботів), роздрібної торгівлі (59%) та фінансових послуг (45%).

У туристичній галузі, наприклад, боти створюють фальшиві бронювання авіаквитків, що призводить до штучного завищення цін, а в роздрібній торгівлі вони скуповують товари обмеженої серії, щоб потім перепродати їх за вищими цінами. 

Завдяки швидкому розвитку генеративного ШІ та великих мовних моделей, створення ботів стало доступним навіть для некваліфікованих людей. Усім відомі ChatGPT, Gemini чи Claude, дозволяють розробляти ботів, які можуть імітувати реальні дії людини  — від рухів миші до кліків, що робить виявлення дедалі складнішим. 

У 2024 році Imperva блокувала близько 2 мільйонів кібератак на базі ШІ щоденно, більшість з яких було спрямовано на соціальні мережі, крадіжку даних та маніпуляції з API (які є основою сучасних цифрових сервісів). Також 31% усіх атак, зафіксованих та усунутих компанією Imperva, були автоматизованими загрозами. З них 25% відбитих атак були складними шкідливими ботами, націлених на підрив бізнес-логіки.

Автоматизовані загрози OWASP 21 — це набір автоматизованих кібератак, які використовують ботів і скрипти для масштабної експлуатації вразливостей вебдодатків, обходу засобів контролю безпеки та підриву бізнесу в різних галузях.

Загалом, 44% атак «поганих» ботів були спрямовані на API, через які зловмисники отримували несанкціонований доступ до конфіденційних даних, здійснювали шахрайство з платежами чи просто крали акаунти. 

У 2024 році складні  атаки ботів та середньої складності становили 55% усіх бот-атак. Також зросли прості, масові атаки ботів — наразі вони становлять 45% (у 2023 році це було 40%). Все тому, що доступність простих інструментів автоматизації на базі штучного інтелекту дозволяє зловмисникам із меншою технічною підготовкою легко запускати масовані бот-атаки.

Першість належала ChatGPT, ByteSpider Bot, ClaudeBot, Google Gemini, Perplexity AI, Cohere AI та Apple Bot. Завдяки ByteSpider Bot вдалось здійснити 54% усіх атак із використанням ШІ, далі йде AppleBot із 26%. Частка ClaudeBot становила 13%, а ChatGPT User Bot – 6%.

Домінування ByteSpider в атаках за допомогю ШІ пояснюється його широким визнанням як легального вебсканера. Ідеальний агент під прикриттям. Кіберзлочинці часто маскують свої шкідливі боти під вебсканери, щоб уникнути виявлення й обійти системи безпеки.

На противагу, «хороші» боти, такі як ШІ-сканери (краулери), SEO-інструменти та програмне забезпечення з безпеки, підвищують функціональність. Наприклад, GPT Bot від OpenAI збільшив свою активність на 12% у 2024 році шляхом збирання навчальних данх та підв’язці мовних моделей до даних у реальному часі. Тим часом популярність ШІ-сканера Google виросла на вражаючі 62% шляхом попиту на інтелектуальний збір даних.

Соціальні мережі — улюблена мішень поганців

Цікаві речі вдалось з’ясувати у 2023 році після інциденту із китайською повітряною кулею (аеростат КНР входив у повітряний простір США та Канади. Його потім збили над Атлантичним океаном). Звичайно ж, шпигунство стало головною темою для дипломатичних суперечок між США та КНР. Холівар розгорнувся і в соцмережах.

Дослідники з Університету Карнегі-Меллона виявили, що 35% геолокованих користувачів у США та 64% – у Китаї демонстрували ботоподібну поведінку та активно намагались впливати на громадську думку через платформу X. 

Експерти відстежили майже 1,2 мільйона твітів, розміщених понад 120 тис. користувачів колишнього Twitter в період з 31 січня по 22 лютого 2023 року. Усі ці твіти містили хештеги #chineseballoon і #weatherballoon, та обговорювали суперечливий повітряний об’єкт. Твіти геолокалізували за допомогою функції визначення місцеперебування на платформі X, і перевірили за допомогою алгоритму під назвою BotHunter. Цікаво, що з 42% акаунтів локація яких не відстежувалася, лише 58% були людьми.

Боти генерують провокаційні чи емоційні публікації або коментарі, щоб розпалювати дискусії та маніпулювати об’єктивним сприйняттям подій реальних користувачів. 

Ще один спосіб використання поганих роботів — «скрейпінг». Тобто, збір особистих даних користувачів соцмереж для створення переконливих фішингових атак. 

Дослідники з Arkose Labs встановити, що з першого по другий квартали 2023 року активність скрейпінг-ботів зросла на 432%. І це стало дуже серйозною загрозою для приватності. Наприклад, бот може вкрасти дані акаунту відомої людини, після чого зловмисники розмістять на сторінці шкідливе посилання. Наприклад, на фейковий сайт для пожертв.

Компанії втрачають сотні тисяч доларів

Також у 2021 році компанія Kasada з’ясувала, що більшість опитаних нею фірм (83%) зазнали хоча б однієї бот-атаки протягом року. 77% компаній втратили 6% або більше свого доходу через бот-атаки, ще 39% – повідомили про втрати понад 10% доходу. Загалом, 80% організацій відзначили, що шкідливі боти стають дедалі складнішими та важчими для виявлення наявними інструментами безпеки. При цьому лише 31% компаній впевнений у своїй здатності виявляти ботів «нульового дня» (тобто тих, які раніше не зустрічалась).

Одній з чотирьох компаній кожна бот-атака коштує у середньому $500 тис. Ще 77% компаній витрачають $250 тис. або більше лише на підтримку антибот-рішень.

Найбільша кількість бот-атак у 2024 році глобально припадала на долю США (53%), Великої Британії (6%) та Бразилії (6%).

Україна та росія увійшли в топ-10 найбільш атакованих країн EMEA  (Європа, Близький Схід, Африка) на тлі воєнних дій. Цікаво, що частина бот-атак була з метою хактивізму.

Ось які методи та тактики ухилення від виявлення використовували боти у 2024 році:

• Підробка ідентичності браузера та його атрибутів (наприклад, Chrome або Firefox). Це простий, але ефективний спосіб обійти базові заходи безпеки. Більш просунуті боти також підробляють інші атрибути браузера — такі як заголовки (headers) і виконання JavaScript — щоб уникнути виявлення складними системами захисту від ботів. Найбільш популярними серед ботів були Chrome, Mobile Safari, Mobile Chrome, Microsoft Edge.
• Резидентні проксі. Нападники використовують IP-адреси реальних користувачів, щоб злитися з нормальним трафіком. Резидентні проксі дозволяють маршрутизувати шкідливий трафік через пристрої реальних користувачів, що ускладнює виявлення на основі репутації IP. Попри те, що використання резидентних провайдерів трохи зменшилось — з 26% бот-атак у 2023 до 21% у 2024 — ця тактика залишається популярною через свою ефективність.
• Інструменти конфіденційності. Сервіси на кшталт iCloud Private Relay маскують особистість користувачів, що ускладнює відокремлення реального трафіку від автоматизованої активності ботів.
• Зловживання API. Атакуючі боти використовують відкриті або незахищені API для крадіжки даних, автоматизації атак і обходу захисту на рівні інтерфейсу користувача.
• Злам мобільних застосунків. Боти атакують застарілі мобільні застосунки, які не вимагають обов’язкового оновлення. Це робить їх вразливими до реверс-інжинірингу, атак методом перебору облікових даних (підбору логіну та паролю) і несанкціонованих змін.
• Обхід CAPTCHA. Так, боти під керуванням ШІ з високою точністю проходять CAPTCHA, що зробило цей традиційний механізм захисту менш ефективними.

Величезні втрати для бізнесу та користувачів

Найбільша проблема полягає в тому, що «погані» боти коштують бізнесу мільярди доларів щорічно через атаки на сайти, API та додатки. Вони не лише крадуть паролі та дані, а й створюють фальшивий трафік, що спотворює аналітику компаній.

Звіт від компанії Lunio показав, що рекламодавці втратили понад $71 млрд у 2023 році через фальшивий трафік, створений ботами. Крім того, боти ускладнюють життя звичайним користувачам. Вони перехоплюють дешеві авіаквитки або на концерти найпершими, створюють штучний дефіцит товарів, імітують реальних людей у соціальних мережах, щоб поширювати дезінформацію.

Збір даних (скрейпінг) складав 31% API-атак

Боти витягують величезні обсяги даних, використовуючи API, які відкривають доступ до конфіденційної або приватної інформації. Цей метод популярний, бо дозволяє зловмисникам автоматизовано збирати масиви даних: вичерпну інформацію про користувачів, про продукти та внутрішні метрики. І все це практично без перешкод. Великий обсяг зібраних даних не лише сприяє подальшій злочинній діяльності, а й може використовуватись для дослідження конкурентів.

Фінансові шахрайства: 26%

Атакуючи фінансові точки обробки трансакцій, зловмисники маніпулюють платіжними процесами. Цей тип атак включає використання вразливостей у системах оформлення замовлень для здійснення несанкціонованих трансакцій або зловживання акціями та знижками. Безпосередній фінансовий збиток у поєднанні з втратою довіри клієнтів робить платіжні шахрайства вкрай привабливими для використання поганих ботів.

Захоплення акаунтів: 12%

Для крадіжки облікових записів (ATO) використовуються попередньо вкрадені або підібрані облікові дані. Після цього зловмисники отримують доступ до конфіденційної персональної та фінансової інформації.

Скальпінг: 11%

Скальпінг-атаки передбачають використання ботів для миттєвого викупу або резервування великої кількості популярних товарів чи послуг. Такий підхід порушує чесний доступ споживачів, спотворює ринкову динаміку, та дозволяє перепродавати товари за завищеними цінами.

Чи можна знищити армію ботів?

Боротьба з ботами — складне завдання, яке переважно лягає на плечі (і фінанси) компаній, що керують вебдодатками. Звичайним користувачам слід піклуватись про себе самостійно та виконувати ці прості кроки, щоб мінімізувати злам та маніпулювання:

• Не використовуйте прості або ті самі паролі на усіх сайтах. 
• Регулярно оновлюйте ПЗ роутерів та антивіруси. 
• Уникайте підозрілих VPN-сервісів.
• Перевіряйте джерела інформації в соціальних мережах, щоб не стати жертвою маніпуляцій. 

Favbet Tech – це ІТ-компанія зі 100% українською ДНК, що створює досконалі сервіси для iGaming і Betting з використанням передових технологій та надає доступ до них. Favbet Tech розробляє інноваційне програмне забезпечення через складну багатокомпонентну платформу, яка здатна витримувати величезні навантаження та створювати унікальний досвід для гравців.