Bots blijken het internet te overspoelen. Volgens het kersverse ‘Bad Bot Report’ van Thales-dochterbedrijf Imperva komt bijna de helft van al het internetverkeer van bots, waarvan 32 procent kwaadaardig. Het totale botverkeer is twee procent gestegen in vergelijking met vorig jaar en het hoogste percentage ooit gemeten sinds Imperva in 2013 begon met het monitoren ervan.
Het aandeel kwaadaardig botverkeer is in 2023 eveneens gestegen, voor het vijfde jaar op rij. In 2022 bedroeg dit nog 30,2 procent. Dat betekent dat een flink deel van het internetverkeer afkomstig is van digitale criminelen, hackers of staatsactoren wiens bots het internet afstruinen op zoek naar slachtoffers. Geautomatiseerd verkeer levert jaarlijks voor miljarden euro’s aan schade op als gevolg van aanvallen op websites, API’s en applicaties, aldus Imperva.
Goed op te merken dat bots niet per definitie kwaadaardig zijn. Denk aan de bekende Google ‘robots’ die websites doorzoeken om ze te indexeren, of bots die de performance van websites meten.
Kwaadaardige bots worden veel ingezet om accounts te kapen, stelt het rapport. Maar liefst 44 procent van dergelijke account takeover (ATO)-aanvallen waren gericht op API-endpoints (een specifieke functionaliteit of resource die beschikbaar is via de API). Het betreft vooral accounts in de financiële dienstverlening, reisbranche en zakelijke dienstverlening.
Van alle inlogpogingen op internet hield 11 procent verband met accountovernames. Websites van overheden (75,8 procent van het verkeer), entertainment (70,8) en financiële dienstverlening (67,1) waren het vaakst doelwit van de meest geavanceerde categorie bots, namelijk die menselijk gedrag nabootsen en verdedigingsmechanismen omzeilen.
API’s geliefd doelwit
API’s zelf blijken ook een geliefd doelwit te zijn, goed voor 30 procent van alle geautomatiseerde aanvallen. Ze zijn een aantrekkelijk doelwit voor cybercriminelen, omdat ze dienen als directe route naar gevoelige gegevens en vatbaar zijn voor misbruik van bedrijfslogica, aldus het rapport.
Niet alle bots zijn per se geavanceerd. De opkomst van generatieve AI zorgt volgens Imperva voor een toename van het aantal simpele bots. Web scraping-bots en geautomatiseerde crawlers plukken data van het internet om AI-modellen mee te trainen. Daarnaast kunnen niet-technische gebruikers met behulp van generatieve AI en LLM’s geautomatiseerde scripts voor eigen gebruik genereren.
In 2023 vertegenwoordigden kwaadaardige bots die zich voordoen als mobiele user agents 44,8 procent van al het malafide botverkeer. Vijf jaar geleden was dat nog 28,1 procent. Cybercriminelen gebruiken mobiele user agents in combinatie met consumenten- en mobiele providers om detectie te omzeilen, waardoor hun verkeer lijkt te komen van legitieme IP-adressen toegekend aan consumenten.
Meer bots dan mensen op internet
Nanhi Singh, directeur Application Security bij Imperva, windt er dan ook geen doekjes om: “Het percentage geautomatiseerd botverkeer zal op korte termijn dat van menselijk internetverkeer overstijgen. Dit vraagt om een verandering van de manier waarop organisaties de ontwikkeling en beveiliging van hun websites en applicaties benaderen.”
Volgens Singh heeft botverkeer een negatieve impact op het bedrijfsresultaat van organisaties en gaat het ten koste van de kwaliteit van hun online dienstverlening. Hij pleit ervoor dat dat organisaties de dreiging van kwaadaardige bots proactief aanpakken, bijvoorbeeld door te investeren in tools voor API-beveiliging.
In Ierland, Duitsland en Mexico is het kwaadaardige botverkeer het meest aanwezig, met respectievelijk 71, 67,5 en 42,8 procent van het internetverkeer. Ook in de Verenigde Staten is het percentage gestegen, van 31,1 procent in 2022 tot 35,4 procent in 2023. Overigens maakt het rapport onderscheid tussen verkeer van bots en gerichte aanvallen door bots. Qua aanvallen staat de VS op eenzame hoogte (of diepte, zo je wilt) met 47 procent van het totaal aantal aanvallen op websites. Nederland staat hierin op plaats 2 met 9 procent. Nederland wordt verder niet specifiek genoemd, België evenmin.
Het 2024 Bad Bot Report is hier te downloaden.
Lees ook: Thales koopt securitybedrijf Imperva voor 3,3 miljard euro