imperva 泰雷兹公司

2024 坏机器人报告

impervą

泰雷兹公司

坏机器人报告

账户接管攻击 11

人工智能时代的坏机器人

建议

附录

坏机器人使用案例 38

行业中的恶意机器人
41

Imperva 威胁研究

定义

执行摘要

恶意机器人环境

行业中的恶意机器人流量 … 16

行业中的恶意机器人复杂性 … 21

最受机器人攻击的行业 … 22

移动 Chrome 和 Android 浏览器的受欢迎程度上升……23

移动用户代理占机器人流量的近一半…… 25

住宅代理的崛起 … 26

来自移动和住宅互联网服务提供商的恶意机器人流量占据了前列…… 26

全球的坏机器人 … 27

美国和荷兰是机器人攻击的主要目标……29

关于 Imperva 应用安全

第十一届《Imperva 恶意机器人报告》年度版考察和研究了自动化互联网流量的性质，主要是自动化机器人攻击。

此类攻击日益复杂，绕过传统检测方法，导致互联网混乱。报告分析了 2023 年从 Imperva 全球网络收集的数据，包括近 6 万亿个被阻止的恶意机器人请求，这些请求在数千个域名和行业中进行了匿名处理。

本报告旨在提供有关机器人性质和影响的有意义信息，以帮助组织更好地理解在未得到适当管理时机器人流量的潜在风险。

该报告重点关注 OSI 模型应用层（第 7 层）上的恶意机器人活动。这些机器人用例与操纵低层网络协议的流量型 DDoS 攻击完全不同。

恶意机器人以模仿合法用户的方式与应用程序互动，使其更难被检测和阻止。它们通过利用应用程序的预期功能和流程而不是其技术漏洞来利用业务逻辑。恶意机器人促进了对网站、移动应用程序和 API 的高速滥用、误用和攻击。它们使机器人操作者、攻击者、不道德的竞争对手和欺诈者能够进行恶意活动。

网络爬虫、竞争数据挖掘、个人和财务数据收集、暴力破解登录尝试、抢购、数字广告欺诈、拒绝服务攻击、垃圾邮件、交易欺诈以及其他类似活动可能会对企业造成伤害。这些活动消耗带宽，减慢服务器速度，并窃取敏感数据，导致财务损失和公司声誉受损。

04 在深入数据之前，让我们定义在本报告中将广泛使用的关键术语。

在互联网的背景下，机器人是一个运行自动化任务的软件应用程序。这些任务可以从简单的操作（如填写表单）到更复杂的功能（如抓取网站数据）不等。

什么是坏机器人？

恶意机器人是执行自动化任务的恶意软件应用程序。这些机器人可以在未经许可的情况下从网站提取数据以重新使用，从而获得竞争优势。它们通常用于抢购，这涉及获取有限供应的商品并以更高的价格转售。恶意机器人还可以用于发起针对应用程序的分布式拒绝服务（DDoS）攻击。一些恶意机器人从事诸如欺诈和直接盗窃等犯罪活动。一个例子是执行凭证填充的机器人，这是最突出的机器人攻击类型之一。开放网络应用安全项目（OWASP）在其《自动化威胁手册》中提供了 21 种机器人攻击的全面列表。

好的机器人和坏机器人之间有什么区别？

并不是所有在互联网上找到的机器人都是坏的。也有一些好的机器人提供有价值的功能。例如，一些机器人为搜索引擎索引网站或监控网站性能。Googlebot 和 Bingbot 是帮助创建和维护可搜索网页索引的搜索引擎爬虫的例子。通过索引网页，这些机器人帮助人们找到与他们的查询最相关的网站集合。这些机器人对在线业务至关重要，使潜在客户能够轻松找到和访问他们的网站、产品和服务。

甚至

好的机器人可能会引起担忧

好的机器人可以显著影响网络分析报告，因为它们可以使某些页面看起来比实际更受欢迎。例如，一个好的机器人可能会为您广告的网页生成一次展示，但该广告点击从未导致销售漏斗。这可能导致广告商的表现下降，并导致营销分析失真，最终导致错误的决策。因此，准确区分由合法人类用户、好的和坏的机器人生成的流量，对于做出明智的商业决策至关重要。

坏机器人分类

Imperva 创建了以下分类系统，根据恶意机器人的复杂程度对其进行分类：

简单

从单个 ISP 分配的 IP 地址连接，这个机器人使用自动化脚本连接到网站。这个机器人不会自我报告为浏览器。

适度

这个更复杂的机器人使用“无头浏览器”软件，模拟浏览器技术，包括执行 JavaScript 的能力。

高级

最复杂的机器人模拟人类用户行为，如鼠标移动和点击，以欺骗机器人检测。它们使用浏览器自动化软件或安装在真实浏览器中的恶意软件来连接到网站。

执行摘要

恶意机器人流量水平持续上升

恶意机器人流量水平连续第五年上升，显示出一个令人担忧的趋势。这一增长部分是由于人工智能（AI）和大型学习模型（LLMs）日益受到欢迎。在 2023 年，恶意机器人占所有互联网流量的 32%——比 2022 年增加了 1.8%。良性机器人流量的比例也有所增加，尽管增幅略小，从 2022 年所有意图流量的 17.3%上升到

17.6 %

在 2023 年。综合来看，

49.6 %

在 2023 年所有互联网流量中并非人类流量，因为人类流量水平下降至所有流量的 50.4%。

每月恶意机器人流量水平

下图显示了互联网流量概况的月度趋势分析。有趣的是，自动流量在全年四个月中超过了人工流量。12 月恶意机器人流量的增加（34.2%）可能归因于我们在那个月记录的攻击数量增加，以及假期期间人类活动略有减少。

坏机器人 v 好机器人 v 人类流量趋势 2023 年一个月内

坏机器人 v 好机器人 v 人类流量 2023

好机器人
人类

人类 50.4%

多年来的恶意机器人流量

Imperva 在对抗恶意机器人的斗争中已经领先超过十年。下图显示了过去 11 年中良性和恶性机器人以及人类流量的趋势。

在 2013 年，互联网流量中包含 23.6%的恶意机器人，

19.4 %

的良性机器人和

57 %

的人类流量。值得注意的是，2014 年良性机器人流量大幅增加，从

20.98 %

上升到

36.32 %

，这可能受到搜索引擎更积极的索引影响。2015 年，恶意机器人流量降至最低点，而人类流量达到了 54.4%，这归因于新用户的激增，特别是来自中国、印度和印度尼西亚的用户。2016 年和 2018 年，恶意机器人活动也较低，分别为 19.9%和 20.4%。然而，从 2019 年到 2023 年，恶意机器人流量稳步增加，2023 年达到了 32.0%的互联网总流量——创历史新高。

OWASP 自动化威胁占所有攻击的近三分之一

在过去一年中，Imperva 记录和缓解的所有攻击中，

31.7 %

是自动化威胁，按照 OWASP 的定义。深入分析攻击类型显示，缓解的攻击中有 25% 是复杂的恶意机器人，试图滥用业务逻辑。

2023 年按类别减轻的攻击

中等复杂度的坏机器人会灭绝吗？

人工智能技术的日益普及影响了互联网上恶意机器人的数量和复杂程度。它在拥有部署先进恶意机器人的手段和资源的复杂参与者与依赖基本工具（如查询人工智能）生成机器人脚本的参与者之间创造了明显的分界线。结果是什么？我们看到简单恶意机器人的数量增加，2023 年占恶意机器人流量的

39.6 %

，而 2022 年为

33.4 %

，五年前为

26.3 %

。第二个有趣的趋势是，中等复杂度的恶意机器人的受欢迎程度下降，从 2022 年的

15.3 %

降至 2023 年的

12.4 %

。如果这一趋势持续下去，我们可能会看到这种特定类型的机器人的普遍性逐渐下降。

高级机器人在 2022 年的恶意机器人流量中占比从 51.2%下降到

48.1 %

，而在 2023 年，这些变化使得规避性恶意机器人（中等和高级机器人流量水平的组合）占所有恶意机器人流量的 60.5%。这比前一年（66.6%）有所下降。恶意机器人流量依然高度复杂，新的进展每天都在发生，新的规避技术也在不断出现。

2023 年按复杂性划分的恶意机器人

APls 是机器人攻击的一个热门向量

在过去一年中，自动化威胁导致了 30%的 API 攻击。其中，17%是利用业务逻辑漏洞的恶意机器人，而 13%是其他类型的自动化威胁。业务逻辑攻击利用应用程序设计和实施中的缺陷，使攻击者能够操纵合法功能，并可能获得对敏感数据或用户帐户的访问权限。

API 的使用在不同应用程序和服务之间实现无缝通信的需求正在增加，使其成为软件开发的关键要素。由于它们

机器可读的特性，API 越来越容易受到恶意机器人攻击，缺乏对 API 流量的可见性使其难以检测。然而，API 的广泛使用也使其成为恶意机器人的一个有吸引力的目标。恶意机器人利用 API，这些 API 通常作为通往敏感数据的直接通道，使其容易受到业务逻辑滥用和欺诈的影响。API 增加了攻击面，为自动化攻击提供了更多的入口点。由于组织继续在很大程度上依赖 API，因此实施强有力的安全措施以防范这些复杂的威胁至关重要。

坏机器人问题是一个跨行业、跨职能的问题

恶意机器人对各个行业和组织功能构成严重威胁。它们能够以超出人类能力的速度和规模进行恶意活动，使其成为滥用、误用和攻击的首选工具。

虽然一些不良机器人的使用案例，如内容抓取和账户接管，在各个行业中很常见，但其他案例，如黄牛，通常只影响特定行业，如在线零售和娱乐（票务）。一些行业，如航空公司，具有独特的使用案例，例如“座位旋转”攻击（有关更多信息，请参见“按行业划分的不良机器人流量”部分）。

2023 年各行业恶意机器人流量的最大份额

游戏	$57.2 %$
电信与互联网服务提供商	$49.3 %$
计算与信息技术	$45.9 %$
旅行	$44.5 %$
社区与社会	$42.2 %$

2023 年各行业高级恶意机器人流量的最大份额

法律与政府	$75.8 %$
娱乐	$70.8 %$
金融服务	$67.1 %$
旅行	$60.9 %$
赌博	$52.3 %$

住宅代理是高级机器人操作员最新的工具

来自住宅代理的恶意机器人流量占所有恶意机器人流量的四分之一以上。住宅代理使机器人操作者能够通过使流量的来源看起来像是合法的、由互联网服务提供商分配的住宅 IP 地址，从而逃避检测。这样一来，网站和在线平台就更难区分真实用户互动和恶意机器人行为。

恶意机器人操作者中移动浏览器的受欢迎程度持续上升。在 2023 年，44.8%的恶意机器人试图通过伪装成移动浏览器来逃避检测。移动互联网服务提供商也仍然受欢迎，占发起攻击的 18.3%。

坏机器人报告为移动用户代理（移动 Safari，移动 Chrome 等）

来自住宅互联网服务提供商的恶意机器人

来自移动互联网服务提供商的恶意机器人

全球的恶意机器人

美国在过去一年中经历了攻击的增加，此前几年攻击数量一直在下降，全球所有机器人攻击中占比

47 %

，高于 2022 年的

41.8 %

。荷兰今年首次进入前五名，超过澳大利亚，成为第二，受到

9 %

的机器人攻击。澳大利亚降至第三位，受到 8.4%的攻击，低于去年的 16.4%，更符合往年的水平。

前五名

最具针对性
恶意机器人国家

美国	$47 %$
荷兰	$9 %$
澳大利亚	$8.4 %$
英国	$5.1 %$
法国	$3.1 %$

账户接管（ATO）攻击是最常见的自动化威胁之一。它们涉及使用机器人通过凭证填充和凭证破解技术尝试未经授权访问和接管用户账户，导致数字身份盗窃和组织的重大损失。根据 Aite Group²的估计，2023 年身份盗窃造成的损失将达到

$ 635.4

十亿。

以下图表显示了 Imperva 在过去两年中记录的每月 ATO 攻击。2022 年和 2023 年之间，攻击增加了 10%。尽管攻击数量持续增长，但增长幅度低于往年，尽管 1 月和 2 月分别有显著增加的

77 %

和

86 %

。与 2022 年相比，5 月和 10 月的攻击也有所增加（分别为 56%和 25%）。2023 年日历年结束时，攻击数量减少。

2022 年 8 月的攻击数量是过去两年中最高的。这一增加可能是由于全球数据泄露在那段时间内增加了 70%，正如去年的报告所述。

2 https://aite-novarica.com/us-identity-theft-stark-reality#: :text=Aite%20Group%20 预测%20 所有身份盗窃造成的损失将从简单的欺诈信用卡交易中产生。

几乎一半的 ATO 攻击直接针对 API

针对 API 的账户接管攻击占 Imperva 记录的所有 ATO 攻击的

44 %

，而去年为

35 %

。由于移动和网络应用程序的普及，API 的广泛采用使其成为攻击者寻求破坏用户账户的一个吸引入口。这些 API 处理关键的身份验证过程，使其成为理想的目标。然而，由于现代 IT 环境的复杂性和在线平台的互联特性，实施安全措施具有挑战性。因此，网络犯罪分子利用身份验证 API 中的漏洞，获得对用户账户的未经授权访问。他们使用诸如凭证填充、暴力攻击或 API 滥用等技术。针对身份验证 API 的账户接管攻击频率的增加突显了组织增强其 API 安全措施并保护其免受当今最复杂的自动化攻击的必要性。

账户接管攻击

通过数字

2022 年至 2023 年账户接管攻击的增长

11% 账户接管尝试占所有登录的百分比

4.4% 针对 API 的账户接管攻击的比例

所有登录中 ATO 比率最高的行业

商业服务	$38 %$
体育	$35 %$
食品和杂货	$33 %$
计算与信息技术	$24 %$
医疗保健	$18 %$
旅行	$17 %$

大多数受到 ATO 攻击的目标国家

美国	$40 %$
英国	$7 %$
德国	$7 %$
澳大利亚	$5 %$
西班牙	$5 %$
泰国	$4 %$

最受攻击的行业

与所有登录中恶意登录比例最高的行业相对，以下图表展示了 2023 年遭受最显著账户劫持攻击的行业。考虑到用户账户背后的激励机制，金融服务行业再次成为攻击的主要目标，占攻击总数的

36.8 %

。旅游行业位居第二（11.5%），其后是商业服务（8%）、计算机与信息技术（5.5%）、汽车（4.7%）和零售（4.7%）。

行业账户接管

不付出的代价

防止账户接管

如果您有一个登录页面，被账户接管攻击的可能性很高。如果您的用户账户附带有有价值的信息或财务激励，这种可能性甚至更高。然而，许多组织在主动防止账户接管攻击方面停滞不前，而这些攻击的成本可能是惊人的。例如，考虑一个假设的场景，即在欧洲联盟（EU）内开展业务的网站遭受账户接管攻击。潜在的损失可能高达数百万。

根据 GDPR，监管罚款最高可达公司年全球营业额的 4%或

undefined

百万，以较高者为准。对于年全球营业额为

$ 100

百万的公司，单独的最高罚款可能达到

$ 4

百万。

但成本并不止于此。如果泄露事件的受害者提起集体诉讼，考虑到每位客户平均索赔

$ 500

，对于 1 万名受影响客户，总潜在赔偿金额可能达到

$ 5

百万。

声誉损害是另一个更难量化的重要成本。客户信任的丧失可能导致销售减少和股票价值下降。如果一家年全球营业额为 1 亿美元的公司在接下来的一年中销售额下降

10 %

，损失可能会达到另一个

$ 10

百万。对于一家市值为

$ 200

百万的公司，股票价值下降

5 %

相当于损失 1000 万美元。

最后，还需考虑额外费用，例如通知费用、法律和咨询费用、增加的安全措施以及受影响客户的信用监控服务。这些费用可能会增加另一个

$ 2.5

百万。

监管罚款可以达到公司年全球营业额的

4 %

2000 万欧元，以较高者为准。

密码钥匙将如何影响账户接管攻击的普遍性？

Passkeys

^{3, 4}

的引入旨在提升在线用户体验并减少账户接管欺诈的风险。Passkeys 是比密码更方便和安全的替代方案。它们适用于所有主要平台和浏览器，使用户能够通过指纹、面部识别或本地 PIN 解锁计算机或移动设备进行登录。这减轻了传统密码对用户的负担，缓解了为多个账户选择和记忆强密码的挑战。

通过将密码密钥纳入身份验证流程，组织可以减少账户被接管尝试的脆弱性，从而增强其安全态势并保护用户信息。然而，各种在线平台和服务广泛采用密码密钥是其有效性的必要条件。组织需要共同努力将密码密钥系统实施并整合到其身份验证流程中。随着越来越多的组织接受这一技术，观察其对账户接管攻击普遍性的影响将会很有趣。关于攻击数量增长放缓的早期迹象已经出现，尽管现在下定论还为时尚早。有一点是明确的：在当前的安全状态下，账户接管仍然是对组织和最终用户的重大威胁。保持警惕和采取主动措施对于防范潜在攻击至关重要。

受损的用户账户

检测在线数据泄露中被攻击的用户账户可以帮助组织增强安全措施，防止即将发生的账户接管攻击。下图展示了被 Imperva 识别和警报的前 10 个受影响账户最多的行业。

被泄露用户凭证的前 10 个行业（百万）

恶意机器人环境

行业中的恶意机器人流量

每个行业都有不同的恶意机器人问题。以下图表展示了 Imperva 在 2023 年按行业细分记录的流量概况，提供了对恶意机器人流量水平整体增加如何影响各个行业的更深入了解。

坏机器人 v 好机器人 v 人类流量 2023 - 行业分析

游戏和视频游戏网站在今年的坏机器人报告中再次位居榜首。与去年（58.7%）类似，游戏网站上有相当大比例（57.2%）的流量是由坏机器人生成的。机器人可能会通过接管用户账户、创建虚假账户以利用福利和作弊来造成麻烦。它们为人类玩家做一些困难或不可能的事情，例如与游戏进行高速互动以击败人类玩家，或持续获取虚拟货币、物品或经验值（XP）。这些行为使真正的人类玩家感到不愉快，最终导致他们离开，从而导致活跃玩家数量和参与度下降，进而造成收入损失。

计算机和信息技术行业在 2023 年看到恶意机器人流量增加，占所有流量的

45.9 %

，高于去年 40%的水平。恶意机器人对行业造成伤害，导致技术问题、欺诈和安全风险。恶意机器人针对该行业的最常见方式之一是通过分布式拒绝服务（DDoS）攻击，许多机器人向网站的服务器发送请求。恶意机器人还会抓取敏感数据，如登录凭据和个人信息，这可能导致潜在的数据泄露和身份盗窃。此外，恶意行为者使用机器人进行漏洞扫描和点击欺诈，导致指标失真和收入损失。

电信和互联网服务提供商（ISPs）行业经历了来自恶意机器人的流量略有增加。在 2022 年，恶意机器人流量的百分比为

47.7 %

，在 2023 年上升至

49.3 %

。该行业包括移动互联网服务提供商、住宅互联网服务提供商、托管服务提供商等。恶意机器人通过各种恶意活动针对该行业，包括抓取敏感客户数据和暴力破解登录攻击以接管用户账户。由于该行业高度依赖可用性且对停机时间敏感，恶意机器人可以发起分布式拒绝服务（DDoS）攻击，以压垮其基础设施并中断服务。它们常常伪装成合法用户，使得区分真实流量和虚假流量变得困难。此外，机器人流量可能会扭曲网站分析，导致错误的决策。

旅游行业已经完全从几年的挑战中恢复过来。现在旅行的人比以往任何时候都多

^{5, 6}

。不幸的是，这也增加了机器人对旅行网站的兴趣，因为今年旅行网站的恶意机器人流量显著上升，从

37.4 %

的所有网络流量增加到 44.5%。旅游行业一直在与复杂的机器人问题作斗争，因为不法分子可以利用旅行应用程序中使用的各种商业逻辑。

在旅游行业中，航空公司尤其成为攻击目标。主要问题源于航空公司的在线平台，包括其网站、移动应用程序和 API。这些平台是客户获取航班信息、做出购买决策和预订航班的地方。不幸的是，机器人经常针对这些平台进行数据抓取、干扰服务，有时甚至进行欺诈。

航空公司面临的主要问题是大量未经许可访问其网络资产的抓取机器人。这些机器人来自各种来源，如在线旅行社（OTA）、聚合器和竞争对手。大量抓取航班信息的机器人造成了许多问题，包括损害商业洞察，如查询与预订比率，并增加第三方预订供应商的费用。去年，我们分享了一个航空公司的故事，该公司的搜索 API 被机器人大量抓取航班信息。这导致其第三方供应商每月产生超过

$ 500 K

的 API 请求费用。今年，我们看到类似的攻击针对其他航空公司。

外观与预订比率的突然变化可能表明机器人流量正在积极抓取航班信息。这对许多航空公司来说是一个重大问题。虽然授权的在线旅行社和聚合器可以在达成协议的情况下抓取数据，但未经授权的机构则使用机器人在没有协议的情况下抓取价格和航班信息。这种未经授权的活动违反了航空公司的条款，并扭曲了关键的商业指标和洞察。

竞争航空公司也部署机器人以收集实时市场情报。机器人抓取竞争对手的价格、座位库存和折扣票价，增加了机器人流量的数量，对受害航空公司没有任何价值。

最具破坏性的机器人活动来自那些启动机器人以破坏忠诚奖励计划的罪犯。

最具破坏性的机器人活动来自于那些启动机器人以破坏忠诚奖励计划的犯罪分子。这些机器人在登录页面上进行暴力破解凭证填充和破解攻击，以获取账户访问权限，窃取忠诚积分，并进行欺诈性购买。

航空业一个独特的坏机器人使用案例是座位旋转。这个问题在亚太地区尤其普遍。座位旋转机器人在不付款的情况下占用座位，通常长达 24 小时。这些机器人使得运营商，如未经授权的在线旅行社，可以在没有投资的情况下占用和转售预订。随着出发时间的临近，影响最为明显，似乎已满员的航班突然显示出越来越多的空座位。座位旋转导致收入损失，并损害航空公司的声誉。

总体而言，机器人对航空业的影响深远。它们导致未经授权的数据抓取、座位旋转、账户接管和欺诈。这些活动妨碍了客户体验，损害了航空公司的声誉。如果不加以控制，可能导致网站性能差甚至停机。

社区与社会网站的流量中有 42.2%来自恶意机器人，比去年的 41.4%略有增加。最常见的恶意机器人类型之一是垃圾邮件机器人，也称为假新闻垃圾邮件和评论垃圾邮件。这些机器人传播假新闻，放大宣传，并在诱饵链接中隐藏恶意内容，如恶意软件。这个问题在接受捐款的网站上的非营利组织中也很普遍。机器人利用他们的捐款页面测试被盗的信用卡号码，这给非营利组织带来了很大的财务负担。

医疗保健行业的恶意机器人流量有所上升，33.4%的网站流量来自恶意机器人，而去年这一比例为

31.7 %

。针对医疗保健行业的恶意机器人通常旨在获取敏感客户数据，这可能导致数据泄露。这些机器人还可以控制用户账户，以访问医疗记录或抓取机密健康信息，例如病人记录、病史和保险详情。这些被盗数据可以在暗网上出售以获取利润或用于欺诈活动。此外，医疗保健行业的恶意机器人通过分布式拒绝服务（DDoS）攻击对系统构成威胁，使患者和医疗服务提供者难以访问关键信息和服务。

金融服务行业在 2023 年看到恶意机器人占网站流量的 27%。有趣的是，几乎相同比例的流量来自良性机器人。这可能是由于金融聚合器和其他服务提供商使用机器人为最终用户提供有价值的信息和见解。但在恶意机器人方面，该行业面临着来自账户接管攻击的重大威胁。恶意机器人使用暴力登录技术，如凭证填充或凭证破解，试图非法访问用户账户。其他常见威胁包括信用卡欺诈和定制内容盗窃，例如频繁变化的利率。另一个针对该行业的自动化威胁是套利机器人，它们针对加密货币交易所和 NFT 市场。这些机器人使用网络爬虫识别不同交易所和市场之间的定价不平衡。它们帮助运营商在一个交易所或市场与另一个交易所或市场之间交易加密货币和 NFT，利用不同交易所之间相同币种或交易对的价格差异获利。

零售行业的网站流量中有超过四分之一（25.8%）来自恶意机器人。这比去年增加了 22.7%。与去年一样，在线零售商也经历了大量的良性机器人流量（20.4%）。这很可能是由于搜索引擎和网站使用的价格比较爬虫的普遍存在。在线零售商面临各种形式的自动化威胁，这些威胁对他们的业务产生负面影响，并干扰客户体验和运营。恶意机器人被用于各种恶意活动，例如被竞争对手抓取数据、获取有限供应的商品以更高价格转售（黄牛）、进行分布式拒绝服务攻击。

（DDoS）攻击，以及参与诸如信用卡破解、卡片交易、礼品卡破解和账户接管（ATO）等犯罪活动。今年假期季节，账户接管（ATO）攻击有所增加。自九月份以来，ATO 攻击有所上升，11 月 8 日、14 日和 24 日（黑色星期五）记录到攻击活动的显著激增。与 2022 年黑色星期五期间 ATO 攻击增加 66%相比，黑色星期五的攻击数量惊人地增加了 85%。此外，这些攻击的强度也在增加，10 月至 11 月之间恶意登录请求的数量激增了 82%。

行业内恶意机器人的复杂性

下图显示了根据恶意机器人复杂程度对恶意机器人流量的细分。高级恶意机器人的比例越高，行业面临的机器人问题就越复杂。这项全面的分析进一步揭示了各个行业在今年面临的恶意机器人风险。

理解恶意机器人流量的复杂性与流量本身的数量之间不一定存在相关性是至关重要的。换句话说，一个行业可能有大量的恶意机器人流量，但其中所有流量都被归类为简单机器人。然而，必须记住，先进的机器人流量带来了显著的风险，无论其数量多么少。这是因为先进的恶意机器人可以用比简单恶意机器人更少的请求实现其目标，并且在保持对其指定目标的持续性方面要强得多。

机器人攻击最频繁的行业

各行业的流量概况细分显示了机器人流量与所有流量的比例。相比之下，跨行业的机器人攻击分布提供了不同的视角。它表明哪些行业受到最多的机器人攻击。与去年一样，零售、旅游和金融服务是最受攻击的前三个行业。

正如前一部分所述，这些行业面临着复杂的机器人问题，各种机器人使用案例威胁着它们的利润。所有三个行业在其网站上的机器人复杂性方面排名较高。

重要的是要注意，坏机器人比例高的行业并不一定意味着比其他行业更容易受到攻击。一个行业可能因为全年经历了大量的人类流量而拥有较低的机器人流量比例。或者，它可能被更先进的坏机器人攻击，这些机器人需要更少的请求就能达到它们想要的结果。

按攻击请求数量划分的主要目标行业

移动 Chrome 和 Android 浏览器的受欢迎程度上升

恶意机器人使用各种技术来规避检测，其中之一是伪装成合法用户，通过向源报告自己为人类常用的网页或移动浏览器。他们通过使用浏览器自动化软件来实现这一点。这种技术在大多数恶意机器人中已变得普遍，尽管它曾经是一种先进的规避方法。有趣的是，过去十年中，恶意机器人中浏览器的流行趋势发生了变化，反映了人类用户偏好和其他帮助机器人规避检测的趋势的变化。例如，Internet Explorer 曾经是人类和恶意机器人中流行的浏览器，但现在不再如此。

2013-2023 年恶意机器人自我报告的顶级浏览器

在过去两年中，我们见证了恶意机器人中移动网页浏览器受欢迎程度的上升。最初是恶意机器人选择移动 Safari（

18.51 %)

）作为他们的首选浏览器，但很快扩展到移动 Chrome（14.38%）和 Android 浏览器（

8.25 %)

）。

恶意机器人使用 Chrome 的比例保持在

40.87 %

的所有恶意机器人流量中，而 Firefox 的受欢迎程度继续下降（3.57%）。

按攻击请求数量划分的主要目标行业

移动用户代理占据了几乎一半的机器人流量

伪装成移动用户代理的恶意机器人占所有恶意机器人流量的 44.8%。它们的受欢迎程度急剧上升，从 2020 年的

28.1 %

增加到 2023 年的

44.8 %

。这种受欢迎程度增加的主要原因有两个：首先，恶意机器人试图密切模仿人类流量特征。截至 2024 年 2 月，超过 55%的互联网流量来自移动设备。我们中的更多人使用手机浏览互联网，因此恶意机器人也这样做以融入人类流量是合情合理的。查看恶意机器人流量时，移动和桌面代理之间的比例非常接近。

第二个原因与隐私有关。一些网页浏览器，如移动 Safari，具有额外的隐私控制和功能，使得恶意机器人更容易隐藏其真实身份。这是因为这些浏览器可能向网站的来源发送更少的属性，这使得创建设备的准确指纹变得更加困难。

自报告为桌面用户代理（如 Chrome、Firefox、Safari 或 Edge）的恶意机器人比例已从 2020 年的 68%下降到 2023 年的 54%。

其余的恶意机器人流量为 1.2%，已报告为其他用户代理（例如，Playstation、Nintendo、智能电视等）。

2023 年恶意机器人用户代理类型

2016-2023 年报告的恶意机器人用户代理类型

7 https://explodingtopics.com/blog/mobile-internet-traffic

住宅代理的崛起

今年，来自住宅互联网服务提供商的恶意机器人流量占所有恶意机器人流量的

25.8 %

，高于去年的

17.4 %

。虽然在过去，伪装成合法用户，通过使用合法用户常用的用户代理（浏览器）被认为是一种高级规避技术，但现在这已成为一种商品。使用移动或住宅代理隐藏请求的来源增加了真实性的另一个维度。这种类型的机器人行为将具有实现目标手段和能力的复杂、持久和坚定的对手与不那么复杂的对手区分开来。

Imperva 威胁研究团队发现，机器人程序员越来越多地在其管理的软件产品（例如，一体化机器人）和协作知识库中使用住宅 IP 代理集成。我们一直在开发针对性的检测机制，以检测和对抗这种规避技术。

尽管数据中心仍然是大多数机器人攻击流量的来源（55.9%），但来自它们的流量在经历了去年的意外增长后，今年有所减少。在 2020 年，数据中心占坏机器人流量的 54%，在 2021 年降至

45.1 %

。然后在 2022 年显著增加到坏机器人流量的

58.6 %

。然而，今年它们的数量减少了。

来自移动互联网服务提供商的流量从 2022 年的

24.1 %

减少到 2023 年的

18.3 %

。

2023 年按互联网服务提供商类型划分的恶意机器人流量
55.9% …:

来自移动和住宅互联网服务提供商的恶意机器人流量占据了前列位置

正如我们刚才提到的，移动和住宅代理在恶意机器人操作员中变得越来越受欢迎。中国电信已声称占据第二位，康卡斯特排名第四，斯佩克特排名第六。然而，亚马逊仍然保持第一的位置，拥有

17.01 %

的机器人流量。

顶级机器人来源 ISP ISP

Amazon.com	17.01%
中国电信	$3.42 %$
Digital Ocean	$2.78 %$
康卡斯特有线电视	$1.76 %$
微软 Azure	$1.63 %$
光谱	$1.60 %$
Safaricom	$1.51 %$
谷歌云	$1.51 %$
Jio	$1.34 %$
Contabo GmbH	$0.99 %$

全球的恶意机器人

让我们来看看国家层面的流量分布。我们调查了 13 个国家，发现其中 6 个国家的恶意机器人流量水平高于平均水平，超过了全球平均的 32%。今年，德国和爱尔兰再次记录到超过 60%的流量来自恶意机器人。同样，美国的恶意机器人流量比例略高于全球水平，

35.4 %

的所有流量来自恶意机器人。

坏机器人 v 好机器人 v 人类流量 2023 - 按目标国家

坏机器人 v 好机器人 v 人类流量 2023 - 按目标国家

美国和荷兰是机器人攻击的主要目标

机器人攻击继续针对美国，美国仍然是首要目标，

47 %

的攻击针对美国网站。这个百分比比去年有所增加，当时 41.1%的机器人攻击集中在美国。今年，荷兰以微弱优势超过澳大利亚，成为第二大目标，

9 %

的机器人攻击针对荷兰。澳大利亚受到

8.4 %

的机器人攻击，几乎是去年（16.4%）的一半，但与过去（

6.8 %

在 2021 年）更为一致。英国是第四个受到攻击最多的国家，

5.1 %

的攻击针对英国，随后是法国，法国受到 3.1%的攻击。

前十名

最受攻击的

恶意机器人国家
1 美国
2 荷兰
3 澳大利亚
4 英国
5 法国
6 新加坡
7 印尼
8 巴西
9 加拿大
10 印度

目标国家的机器人攻击分布（2023）

人工智能时代的坏机器人

人工智能（AI）和大型学习模型（LLMs）的崛起正在以我们无法计数的方式改变我们的生活。从增强商业运营到使我们的日常生活更加便利，这些技术正在改变游戏规则。然而，人工智能和LLMs的崛起也带来了许多挑战。

我们已经在报告中涵盖了该问题对互联网流量概况的高层次影响。这些影响包括自动化流量的上升水平以及简单恶意机器人和高级恶意机器人之间的明显区别，所有这些都在执行摘要中进行了说明。然而，一些挑战更为复杂，比如关于网络爬虫合法性的重新辩论，这是一个争议性的问题，已经酝酿了多年。

网络爬虫，即使用机器人从网站提取数据的做法，并不新鲜。然而，人工智能和LLMs的出现使这个问题重新引起了人们的关注。这些先进技术在训练中严重依赖大量数据，而这些数据通常是通过网络爬虫获得的。虽然这种做法可以推动人工智能的发展，但它也引发了重大的法律和伦理问题。

网络爬虫的合法性在很大程度上取决于管辖权和具体情况。然而，人工智能的出现使问题变得更加复杂。虽然一些人认为这些数据对于推动人工智能技术是必要的，但另一些人则认为这侵犯了版权法和隐私权。

辩论的核心在于在训练人工智能模型时使用专有内容和数据。许多组织认为，当他们的数据在未经许可的情况下被抓取时，他们的知识产权受到侵犯。另一方面，网络抓取的支持者认为，这一做法对推动人工智能和机器学习技术至关重要。

创新与隐私之间的拔河赛引发了关于网络爬虫合法性的重新辩论。管理这一实践的法律往往过时，并且在不同国家之间差异显著，使其成为一个复杂的问题。随着人工智能和LLMs的不断发展，迫切需要更新法律法规，以平衡促进技术进步与保护专有内容和数据之间的关系。

在一起开创性的法律案件中，《纽约时报》对 OpenAI 和微软提起诉讼，指控其通过网络爬虫侵犯版权以训练人工智能模型。OpenAI 辩称其行为受到美国版权法“合理使用”原则的保护。同时，《时报》认为 OpenAI 对其内容的使用不符合合理使用所需的“变革性”标准。这起诉讼的结果可能会重新定义版权法和人工智能的界限，可能为使用受版权保护的材料进行人工智能训练的合法性设定先例。它还强调了更新版权法的迫切需要，以平衡内容创作者的权利与人工智能创新的需求。此案突显了在人工智能时代网络爬虫所带来的复杂法律和伦理挑战，强调了企业主动保护其数字资产的必要性。

随着人工智能的不断发展，平衡数据需求与尊重版权法和隐私权的明确法律指导方针的需求变得前所未有的重要。辩论远未结束，随着我们向前推进，企业、法律系统和技术领导者必须谨慎和负责任地应对这一复杂的环境。

餐厅预订是新的热门趋势

关于抢购机器人，有一个简单的经验法则或公式：高需求加上有限的供应等于机器人兴趣。这些机器人操作员非常善于抓住机会，会利用任何供应稀缺而需求旺盛的情况。我们甚至看到机器人在全球范围内抢购护照、签证和驾照考试预约，这是由于 2020 年至 2022 年疫情造成的积压。

因此，他们现在通过抢占黄金时段的预订并在第三方平台上以高价出售，来瞄准餐饮行业，这并不令人惊讶。在便利至上的数字时代，在线预订已成为确保在您最喜欢的餐厅占有一席之地的常态。

想象一下，在一家顶级餐厅计划一顿特别的晚餐，却发现所有的预订在发布的毫秒内就被抢光了。更糟糕的是，这些预订后来出现在转售平台上，

迫使你支付高达

$ 340

以确保一个最初免费的位置。这是今天许多食客的现实，这要归功于恶意机器人的不法活动。

正如他们对音乐会门票和收藏运动鞋所做的，这些机器人利用系统获利，使真正的客户几乎不可能获得

高需求加上有限供应

机器人兴趣

热门餐厅的预订。这不仅让顾客感到沮丧，还对餐饮业造成伤害。当机器人预订的座位未被填满时，餐厅会失去因空桌和对无效信用卡收取的取消费用而产生的潜在收入。

作为回应，餐厅和预订平台正在与这些网络威胁展开斗争。他们正在实施措施以检测和阻止可疑活动，例如来自电子邮件地址混乱或电话号码不连贯的账户的预订。有些甚至减少在线预订的数量，选择欢迎更多的临时顾客。

疫情后票贩子猖獗

现场活动在过去几年中强势回归，全球对音乐会门票的需求异常高涨。如前所述，高需求加上有限的供应等于机器人兴趣。确实，票贩子（批量购买活动门票以高价转售）出现了显著的复苏。这种古老的做法，如今在自动化（即机器人）的推动下，在后疫情时代焕发了新生。

技术的演变改变了剥头皮技术，先进的机器人现在成为剥头皮者的首选工具。娱乐网站，票务平台被分类的地方，在过去一年中，先进的恶意机器人比例达到了 70.8%，是第二高的比例（见“按行业划分的恶意机器人复杂性”部分）。

这些机器人通常是全能型（AIO）“解决方案”，使其操作员能够完全自动化购买过程。它们通常结合多种规避技术和验证码解决能力。这导致消费者普遍感到沮丧，并给企业和现场娱乐行业带来了重大挑战。

企业面临潜在的收入损失，因为真正的客户无法以原价购买票，这损害了他们的声誉和客户忠诚度。相反，消费者不得不忍受高昂的价格和有限的活动访问，导致沮丧和对市场的潜在不信任。

随着疫情限制的放松，现场娱乐需求的激增只加剧了票贩子的复苏。这导致多个国家实施法律措施来应对这一问题。然而，就像网络爬虫的合法性一样，企业显然不能等待法律措施的出台，因为他们必须采取主动措施来减轻机器人流量带来的风险。

进化

技术已经改变了 scalping 技术，先进的机器人现在成为首选工具
scalpers.

建议

企业应该如何保护自己免受机器人和在线欺诈的侵害？由于每个网站的独特脆弱性和攻击向量，普遍解决方案可能难以实现。尽管如此，通过实施多方面的安全措施采取主动方法可以显著降低风险。这包括部署先进的机器人检测和网络安全管理解决方案。这些策略共同构成了针对不断演变的在线欺诈和与机器人相关的安全威胁的全面防御机制。

检测恶意机器人活动和自动化欺诈的安全建议

1. 风险识别

停止机器人流量的第一步是识别对您网站的潜在风险：

A. 营销和电子商务活动通常会吸引更多的机器人，特别是在限量高需求产品发布期间。无论是最新的运动鞋、下一代游戏机，还是独家收藏品，为这些受欢迎的产品指定发布日期就像是给机器人发出了信号。这些自动化实体旨在在真正的客户之前获取商品，可能会垄断访问并破坏您的销售努力。加强您网站的防御以有效管理流量激增至关重要，确保您能够区分合法消费者和意图劫持产品发布的逃避机器人。实施先进的流量分析、实时机器人检测机制和强大的身份验证措施可以帮助保护您的平台，确保实际客户的公平访问。

B. 识别您网站上的潜在漏洞是有效的机器人管理策略的关键要素。某些网站功能特别容易受到恶意机器人活动的影响。例如，加入登录功能可能导致凭证填充和凭证破解攻击，攻击者利用被盗的凭证获得未经授权的访问权限。同样，结账表单的存在

可能会增加信用卡欺诈的风险，称为卡片欺诈或卡片破解。此外，实施礼品卡功能可能会吸引意图进行欺诈的机器人。为了降低这些风险，必须采取增强的安全措施并在这些页面上实施更严格的规则。实施多因素身份验证、验证码和对可疑活动的持续监控可以显著增强您网站对这些自动化威胁的防御能力。

2. 脆弱性减少

保护暴露的 API 和移动应用程序与保护您的网站同样重要，这强调了需要一个全面的网络安全策略，涵盖所有数字接触点。仅仅关注您网站的安全是不够的。API 和移动应用程序通常作为您网络应用程序和敏感数据的入口，提供了额外的网络威胁向量。在这些平台上实施强有力的安全措施并在系统之间进行阻断对于减少漏洞至关重要。这种综合方法确保了对潜在攻击的统一防御机制，最大限度地降低通过任何数字入口对您的网络应用程序和关键数据的未经授权访问的风险。

3. 威胁减少：用户代理

许多机器人工具和脚本包含过时浏览器版本的用户代理字符串。相比之下，人类被迫将他们的浏览器自动更新到较新版本。采取措施阻止过时的浏览器版本：

区块生命周期超过三年

CAPTCHA 生命周期超过两年

Chrome 版本

< 95

< 105

Firefox 版本

< 95

< 105

Safari 版本

< 13

< 14

Internet Explorer 版本

< 11

< 11

4. 威胁减少：代理

恶意机器人使用代理服务来掩盖其活动的情况正在上升，攻击者利用这些服务模拟合法用户行为。通过利用批量 IP 服务的 IP 轮换，他们可以掩盖其真实来源，增加检测的难度。缓解这一威胁的战略方法包括限制来自已知批量 IP 数据中心的访问，显著减少僵尸网络流量渗透您网络的潜力。这类基于代理的攻击的显著来源包括数据中心和云服务提供商，如 Host Europe GmbH、Dedibox SAS、Digital Ocean、OVH SAS 和 Choopa, LLC。实施访问控制并监控来自这些实体的流量可以通过预先识别和阻止机器人生成的流量来增强您的安全态势，从而最小化与这些代理启用攻击相关的风险。

5. 威胁减少：自动化

现代工具如 Puppeteer、Selenium 和 WebDriver 常常被攻击者滥用，以模仿在线人类行为，使他们能够进行有害活动，如批量账户注册和数据盗窃。区分这些恶意行为与合法流量需要实施检测策略，以识别自动化的迹象，例如不自然的快速互动或异常的浏览模式。通过关注这些行为，组织可以有效地识别和阻止自动化攻击，保护真实用户的互动。

6. 评估流量

A. 在没有明确指标的情况下识别机器人流量是一项挑战，但特定模式通常暗示它们的存在。高跳出率和低转化率可能是非人类流量的明显迹象。此外，流量的突然无解释激增或针对特定 URL 的异常高请求数量通常表明机器人活动。监测这些异常情况使组织能够标记潜在的机器人流量，从而促进进一步调查和采取适当的应对措施以减轻不受欢迎的干扰。

B. 特定端点的流量突然激增可能表明机器人正在针对特定事件或操作。要评估这种激增是否由机器人驱动，请分析这种流量增加的来源。寻找模式，例如单个 IP 地址、一个 ISP 或特定 URL 产生的流量水平显著高于正常水平。识别这些来源可以提供明确的机器人活动证据，使您

采取针对性的行动。例如，如果流量主要来自单个 IP 或狭窄范围的 IP，这强烈表明存在自动访问尝试。这些洞察对于部署有效的反制措施以抵御机器人攻击至关重要，确保您的数字资产保持安全。

7. 监控流量

A. 在登录页面上定义您的失败登录尝试基线，然后监控异常或激增。设置警报，以便在发生任何情况时自动通知您。高级的“低而慢”的攻击不会触发用户或会话级别的警报，因此请确保设置全局阈值。

在结账和礼品卡验证页面上，失败次数的增加，甚至流量的增加，可能是卡片攻击的信号，或者是像 GiftGhostBot 这样的机器人试图窃取礼品卡余额。

8. 意识

保持对全球数据泄露和泄漏的警惕至关重要。攻击者可以轻松购买这些泄露的凭证转储或租用机器人基础设施来自动化攻击，这使得威胁提升为实际风险。机器人经常利用新近被攻破的凭证进行填充攻击和账户接管（ATO），因为这些凭证更有可能保持活跃。这种策略显著提高了成功攻破您平台上用户账户的几率。了解这些泄露事件并理解其影响可以帮助您主动加强防御，降低您的网站成为这些自动化威胁目标的可能性。

9. 评估机器人保护解决方案

评估机器人保护解决方案至关重要，因为机器人攻击的形势已经发生了显著变化。曾经足以抵御恶意机器人的简单措施现在已无效。本报告中收集的见解强调，现代机器人的复杂性和适应性超越了以往水平，它们的易用性和有效性使其成为网络犯罪分子青睐的工具。这些机器人迅速进化，使传统检测方法变得过时，但它们也比以往更接近地模仿人类行为，使得区分它们与合法用户变得具有挑战性。

在这种环境中，攻击者利用机器人获得高回报和低风险的好处，单靠个人几乎不可能对抗这些威胁。

动态防御策略的需求比以往任何时候都更加紧迫。这不仅仅是识别恶意机器人；还涉及在其日益复杂的情况下将其与有益的机器人区分开来。全面的机器人防范解决方案应采用分层防御方法，包括用户行为分析、画像和指纹识别。这一策略不仅保留了合法机器人的优势，还有效过滤掉恶意活动。这种细致入微的方法需要一支专门团队的专业知识，能够以新兴威胁的速度不断发展您的防御。

坏机器人使用案例

坏机器人问题

定义

它是如何伤害业务的

症状

目标行业

价格抓取

使用机器人非法监控和跟踪价格信息，通常是为了削弱竞争对手并提升销售

销售损失给那些抓取你价格、削减价格并在市场上击败你的竞争对手由于抓取的数据以误导业务价格或产品的方式使用而造成的声誉受损客户的终身价值恶化影响网站性能

转化率下降你的 SEO 排名下降无法解释的网站缓慢和停机（通常是由于激进的抓取工具造成的）

所有显示定价的业务： - 零售 - 游戏 - 航空公司 - 旅行

内容抓取

使用机器人从网站提取内容和数据

由于您的业务内容或数据在其他地方发布，导致访问原始网站或购买您的产品或服务的人减少，从而造成收入损失重复内容损害您的 SEO 排名损害品牌声誉影响网站性能

您的内容出现在其他网站上您的 SEO 排名下降无法解释的网站缓慢和停机（通常是由于激进的抓取工具造成的）

类似于价格抓取，但除此之外： - 招聘网站 - 分类信息 - 市场 - 财务 - 票务

账户接管（即凭证填充，凭证破解）

使用机器人非法访问他人用户账户，通常通过暴力登录技术实现，例如凭证填充或凭证破解

对品牌忠诚度和声誉的直接影响，负面公关客户因账户锁定、数据盗窃或处理欺诈而感到沮丧，流失率增加影响网站性能、可用性和可靠性不遵守数据隐私法规的风险支持和欺诈成本增加

登录失败率增加客户账户锁定和客户服务工单增加欺诈增加（丢失的积分、被盗的信用卡、未经授权的购买）退款增加

任何有登录页面的企业

"Bad Bot Problem" Definition How it Hurts the Business Symptoms Targeted Industries "Price Scraping" The use of bots to illegally monitor and track pricing information, typically in order to undercut rivals and boost sales "Loss of sales to competitors that scrape your prices, undercut them and beat you in the marketplace Damaged reputation due to scraped data being used in a way that misrepresents the business's prices or products The lifetime value of customers worsens Impacts website performance" "Declining conversion rates Your SEO rankings drop Unexplained website slowdowns and downtime (usually caused by aggressive scrapers)" "All businesses that show pricing: - Retail - Gaming - Airlines - Travel" "Content Scraping" The use of bots to extract content and data from a website "Loss of revenue due to your business's content or data being published elsewhere, leading to fewer people visiting the original site or purchasing your products or services Duplicate content damages your SEO rankings Damage to brand reputation Impacts website performance" "Your content appears on other sites Your SEO rankings drop Unexplained website slowdowns and downtime (usually caused by aggressive scrapers)" "Similar to Price Scraping, but in addition: - Job boards - Classifieds - Marketplaces - Finance - Ticketing" Account Takeover (aka Credential Stuffing, Credential Cracking) "The use of bots to gain illegal access to user accounts belonging to someone else Usually achieved using brute force login techniques such as Credential Stuffing or Credential Cracking" "Direct impact on brand loyalty and reputation, negative PR Customer frustration to due account lockout, data theft or dealing with fraudulent, increasing churn Impacts website performance, availability, and reliability Risk of noncompliance with data privacy regulations Increased support and fraud costs" "Increase in failed login rates Increase in customer account lockouts and customer service tickets Increase in fraud (lost loyalty points, stolen credit cards, unauthorized purchases) Increase in chargebacks" Any business with a login page

| Bad Bot Problem | Definition | How it Hurts the Business | Symptoms | Targeted Industries | | :---: | :---: | :---: | :---: | :---: | | Price Scraping | The use of bots to illegally monitor and track pricing information, typically in order to undercut rivals and boost sales | Loss of sales to competitors that scrape your prices, undercut them and beat you in the marketplace Damaged reputation due to scraped data being used in a way that misrepresents the business's prices or products The lifetime value of customers worsens Impacts website performance | Declining conversion rates Your SEO rankings drop Unexplained website slowdowns and downtime (usually caused by aggressive scrapers) | All businesses that show pricing: - Retail - Gaming - Airlines - Travel | | Content Scraping | The use of bots to extract content and data from a website | Loss of revenue due to your business's content or data being published elsewhere, leading to fewer people visiting the original site or purchasing your products or services Duplicate content damages your SEO rankings Damage to brand reputation Impacts website performance | Your content appears on other sites Your SEO rankings drop Unexplained website slowdowns and downtime (usually caused by aggressive scrapers) | Similar to Price Scraping, but in addition: - Job boards - Classifieds - Marketplaces - Finance - Ticketing | | Account Takeover (aka Credential Stuffing, Credential Cracking) | The use of bots to gain illegal access to user accounts belonging to someone else Usually achieved using brute force login techniques such as Credential Stuffing or Credential Cracking | Direct impact on brand loyalty and reputation, negative PR Customer frustration to due account lockout, data theft or dealing with fraudulent, increasing churn Impacts website performance, availability, and reliability Risk of noncompliance with data privacy regulations Increased support and fraud costs | Increase in failed login rates Increase in customer account lockouts and customer service tickets Increase in fraud (lost loyalty points, stolen credit cards, unauthorized purchases) Increase in chargebacks | Any business with a login page |

坏机器人问题

定义

它是如何伤害业务的

症状

目标行业

账户创建（即账户聚合，新账户欺诈）

使用机器人自动创建大量账户。这些账户随后可能被滥用以进行各种形式的欺诈、垃圾内容或传播宣传。

某些平台和网站的可信度下降，导致机器人账户用于发送垃圾信息或放大宣传。利用新账户推广积分（资金、积分、免费游戏）而导致的收入损失。基于用户账户数量或社交媒体互动的指标如果全部来自机器人，可能会导致错误的决策

新账户创建异常增加评论垃圾信息增加新账户转化为付费客户的转化率下降

消息平台 - 社交媒体 - 约会网站 - 社区注册促销滥用 - 游戏 - 财务

信用卡欺诈（又称卡片欺诈、卡片破解）

使用机器人批量验证被盗信用卡号码的有效性或猜测缺失的细节（CVV、到期日期等）

由于企业对其平台上发生的任何欺诈活动的责任而导致的财务损失：从高昂的退款到因消费者信任下降而导致的收入损失受损的品牌声誉企业的欺诈评分受损处理欺诈退款的客户服务成本增加不符合数据隐私法规（PCI-DSS、GDPR 等）

信用卡欺诈增加客户支持电话增加处理的退款增加

任何有支付处理器的网站： - 零售 - 非营利/慈善 - 航空公司 - 旅行 - 票务 - 金融 - 游戏

拒绝服务

使用机器人通过请求淹没网站，导致文件系统、内存、进程、线程、CPU 以及人力或财力等资源的耗尽

减慢网站性能，导致停电或停机网站不可用造成的收入损失损害品牌声誉潜在客户流失

特定资源（登录、注册、产品页面等）上异常和无法解释的流量激增客户服务投诉增加

所有行业

礼品卡余额检查和滥用

使用机器人自动枚举潜在礼品卡号码，以便在余额查询页面上窃取礼品卡余额

与信用卡欺诈类似，礼品卡欺诈导致财务损失，因为机器人从礼品卡中窃取资金。增加了处理欺诈性退款的客户服务成本。客户声誉差，未来销售损失。品牌声誉受损

礼品卡余额页面请求激增关于丢失余额的客户服务电话增加

任何提供礼品卡作为支付选项的企业 - 主要是零售

"Bad Bot Problem" Deffinition How it Hurts the Business Symptoms Targeted Industries "Account Creation (aka Account Aggregation, New Account Fraud)" The use of bots to automate bulk account creation. These accounts can then be misused to perform various forms of fraud, spam content, or spread propaganda "Decreased credibility of certain platforms and websites to bot accounts that are used to spam messages or amplify propaganda Loss of revenue to bots that exploit new account promotion credits (money, points, free plays) Metrics based on the number of user accounts or social media interactions that all originate from bots may lead to poor decision making" "Abnormal increases in new account creation Increased comment spam Drop in conversion rates from new accounts to paying customers" "Messaging platforms - Social media - Dating sites - Communities Sign-up promotion abuse - Gaming - Finance" "Credit Card Fraud (aka Carding, Card Cracking)" The use of bots to mass-verify the validity of stolen credit card numbers or guess the missing details (CVV, expiration date, etc.) "Financial losses due to the businesses' liability for any fraudulent activity that occurs on their platforms: from costly chargebacks to lost revenue due to decreased consumer trust Damaged brand reputation Damages to the fraud score of the business Increased customer service costs to process fraudulent chargebacks Noncompliance with data privacy regulations (PCI-DSS, GDPR, etc.)" Rise in credit card fraud Increase in customer support calls Increased chargebacks processed "Any site with a payment processor: - Retail - Nonprofit/Charities - Airlines - Travel - Ticketing - Finance - Gaming" Denial-ofService The use of bots to overwhelm a website with requests, leading to an exhaustion of resources such as file system, memory, processes, threads, CPU, and human or financial resources "Slows the website performance causing brownouts or downtime Lost revenue from the unavailability of websites Damaged brand reputation Potential customer churn" "Abnormal and unexplained spikes in traffic on particular resources (login, signup, product pages, etc.) Increase in customer service complaints" All industries "Gift Card Balance Checking and Abuse" The use of bots to automate the enumeration of potential gift card numbers against balance checking pages to steal gift card balances "Similary to credit card fraud, gift card fraud leads to fininaial losses due to bots that steal money from gift cards Increased customer service costs to process fraudulent chargebacks Poor customer reputation and loss of future sales Damaged brand reputation" "Spike in requests to the gift card balance page Increase in customer service calls about lost balances" Any business offering gift cards as a payment option - Retail predominantly

| Bad Bot Problem | Deffinition | How it Hurts the Business | Symptoms | Targeted Industries | | :---: | :---: | :---: | :---: | :---: | | Account Creation (aka Account Aggregation, New Account Fraud) | The use of bots to automate bulk account creation. These accounts can then be misused to perform various forms of fraud, spam content, or spread propaganda | Decreased credibility of certain platforms and websites to bot accounts that are used to spam messages or amplify propaganda Loss of revenue to bots that exploit new account promotion credits (money, points, free plays) Metrics based on the number of user accounts or social media interactions that all originate from bots may lead to poor decision making | Abnormal increases in new account creation Increased comment spam Drop in conversion rates from new accounts to paying customers | Messaging platforms - Social media - Dating sites - Communities Sign-up promotion abuse - Gaming - Finance | | Credit Card Fraud (aka Carding, Card Cracking) | The use of bots to mass-verify the validity of stolen credit card numbers or guess the missing details (CVV, expiration date, etc.) | Financial losses due to the businesses' liability for any fraudulent activity that occurs on their platforms: from costly chargebacks to lost revenue due to decreased consumer trust Damaged brand reputation Damages to the fraud score of the business Increased customer service costs to process fraudulent chargebacks Noncompliance with data privacy regulations (PCI-DSS, GDPR, etc.) | Rise in credit card fraud Increase in customer support calls Increased chargebacks processed | Any site with a payment processor: - Retail - Nonprofit/Charities - Airlines - Travel - Ticketing - Finance - Gaming | | Denial-ofService | The use of bots to overwhelm a website with requests, leading to an exhaustion of resources such as file system, memory, processes, threads, CPU, and human or financial resources | Slows the website performance causing brownouts or downtime Lost revenue from the unavailability of websites Damaged brand reputation Potential customer churn | Abnormal and unexplained spikes in traffic on particular resources (login, signup, product pages, etc.) Increase in customer service complaints | All industries | | Gift Card Balance Checking and Abuse | The use of bots to automate the enumeration of potential gift card numbers against balance checking pages to steal gift card balances | Similary to credit card fraud, gift card fraud leads to fininaial losses due to bots that steal money from gift cards Increased customer service costs to process fraudulent chargebacks Poor customer reputation and loss of future sales Damaged brand reputation | Spike in requests to the gift card balance page Increase in customer service calls about lost balances | Any business offering gift cards as a payment option - Retail predominantly |

坏机器人问题

定义

它是如何伤害业务的

症状

目标行业

库存拒绝

使用机器人在购物车中保留商品而不实际完成购买，从而使合法消费者无法获得这些商品

由于机器人持有的购物车中未售出的商品造成的收入损失转化率降低购物车放弃率增加由于不道德的中介在转售到其他地方之前持有所有库存，导致客户声誉受损

购物车中被遗弃物品的增加转化率的下降客户对库存缺乏可用性的投诉增加

提供稀缺或时间敏感商品的企业： - 航空公司 - 票务 - 零售 - 医疗保健

剥头皮交易

使用机器人来获得对合法消费者的不公平优势，并获取有限供应和/或优先商品/服务

受损的客户声誉降低网站性能，导致停机或宕机，造成收入损失较低的客户终身价值（LTV），因为机器人不会定期回来购买额外商品较低的平均购物篮价值（ABV），因为机器人只针对单一产品，而合法消费者往往会购买额外商品

无法解释的网站缓慢和停机（通常由激进的抢购机器人引起）转化率下降客户关于库存缺乏可用性的投诉增加

类似于库存拒绝： - 航空公司 - 机票 - 零售例如：运动鞋、游戏机、计算机硬件、限量版商品。 - 医疗保健

座椅旋转

使用机器人在不付款的情况下占用航班座位，通常长达 24 小时

未售座位的收入损失因为合法消费者无法预订所需航班而造成的声誉损害

随着出发时间临近，似乎已满的航班突然显示出越来越多的空座位

航空公司

| Bad Bot Problem | Definition | How it Hurts the Business | Symptoms | Targeted Industries | | :---: | :---: | :---: | :---: | :---: | | Denial of Inventory | The use of bots to hold items in shopping carts without ever actually completing the purchase, thus denying them from legitimate consumers | Loss of revenue from unsold items that are held in shopping carts by bots Lower conversion rates Increased cart abandonment rates Damaged customer reputation because unscrupulous middlemen hold all inventory until resold elsewhere | Increase in abandoned items held in shopping carts Decrease in conversion rates Increase in customer complaints about lack of availability of inventory | Businesses offering scarce or timesensitive items: - Airlines - Tickets - Retail - Healthcare | | Scalping | The use of bots to gain an unfair advantage over legitimate consumers and obtain limitedavailability and/or preferred goods/ services | Damaged customer reputation Slows the website performance causing brownouts or downtime, leading to loss of revenue Lower lifetime value (LTV), because a bot doesn't regularly come back for additional items Lower average basket value (ABV), because bots target a single product as opposed to legitimate consumers who tend to purchase additional items | Unexplained website slowdowns and downtime (usually caused by aggressive scalping bots) Decrease in conversion rates Increase in customer complaints about lack of availability of inventory | Similar to Denial of Inventory: - Airlines - Tickets - Retail e.g. sneakers, consoles, computer hardware, limited edition items. - Healthcare | | Seat Spinning | The use of bots to hold flight seats without making a payment, often up to 24 hours | Loss of revenue for unsold seats Reputation damage because legitimate consumers cannot book desired flights | As departure time approaches, seemingly fully booked flights are suddenly showing increasing numbers of empty seats | Airlines |

行业中的恶意机器人

行业	包括哪些企业？	坏机器人做什么？
汽车	汽车租赁、制造商、经销商、车辆市场	价格抓取，数据抓取，库存检查
商业服务	房地产，第三方供应商如零售平台，客户关系管理系统，商业指标	针对 API 的攻击、数据抓取、账户接管
计算与信息技术	IT 服务，IT 供应商，服务和技术供应商	账户接管，抓取
教育	在线学习平台，学校，学院，大学	学生和教职员工的账户接管、课程可用性、抓取专有研究论文和数据
娱乐	流媒体服务，票务平台，制作公司，场馆	账户接管，价格抓取，库存抓取，抢购
金融服务	银行、保险、投资、加密货币	账户接管，卡片欺诈，卡片破解，自定义内容抓取
食品和杂货	食品配送服务，在线杂货购物，食品和饮料品牌网站	信用卡欺诈，礼品卡欺诈，账户接管
赌博	在线游戏，赌场，体育博彩	账户接管，赔率抓取，促销滥用的账户创建
政府	法律与政府网站，公民服务，州，市，大都市	账户接管、商业注册列表的数据抓取、选民注册、预约抓取和调度
医疗保健	健康服务，药店	账户接管，内容抓取，“有用”的机器人抓取预约可用性
生活方式	生活方式杂志，博客	专有内容抓取
市场营销	营销机构，广告机构	专有内容抓取，广告欺诈，拒绝服务，偏斜
新闻	新闻网站，在线杂志	专有内容抓取，广告欺诈，评论垃圾邮件
零售	电子商务，市场，分类信息	账户接管，剥头皮，库存拒绝，信用卡欺诈，礼品卡欺诈，数据和价格抓取，分析偏差
社区与社会	非营利组织、信仰与信念、浪漫与关系、在线社区、LGBTQ、家谱	内容和数据抓取，账户接管，账户创建，在捐赠页面上测试被盗信用卡
体育	体育更新，新闻，实时比分服务	数据抓取（实时比分、赔率等）
电信与互联网服务提供商	电信服务提供商，移动互联网服务提供商，托管服务提供商	账户接管，竞争价格抓取
旅行	航空公司，酒店，假期预订	价格和数据抓取，预订比率的扭曲，拒绝服务，价格抓取，账户接管，座位旋转

Industry What Businesses are Included? What Bad Bots do? Automotive Car Rentals, Manufacturers, Dealerships, Vehicle Marketplaces Price Scraping, Data Scraping, Inventory Checking Business Services Real Estate, Third Party Vendors Like Retail Platforms, CRM Systems, Business Metrics Attacks Targeting Apis, Data Scraping, Account Takeover Computing & IT It Services, It Providers, Services and Technology Providers Account Takeover, Scraping Education Online Learning Platforms, Schools, Colleges, Universities Account Takeover For Students and Faculty, Class Availability, Scraping Proprietary Research Papers and Data Entertainment Streaming Services, Ticketing Platforms, Production Companies, Venues Account Takeover, Price Scraping, Inventory Scraping, Scalping Financial Services Banking, Insurance, Investments, Cryptocurrency Account Takeover, Carding, Card Cracking, Custom Content Scraping Food & Groceries Food Delivery Services, Online Grocery Shopping, Food & Beverage Brand Sites Credit Card Fraud, Gift Card Fraud, Account Takeover Gambling Online Gaming, Casinos, Sport Betting Account Takeover, Odds Scraping, Account Creation For Promotion Abuse Government Law & Government Websites, Citizen Services, States, Municipalities, Metropolitans Account Takeover, Data Scraping Of Business Registrations Listings, Voter Registration, Appointment Scraping and Scheduling Healthcare Health Services, Pharmacies Account Takeover, Content Scraping, "Helpful" Bots That Scrape For Appointment Availability Lifestyle Lifestyle Magazines, Blogs Proprietary Content Scraping Marketing Marketing Agencies, Advertising Agencies Proprietary Content Scraping, Ad Fraud, Denial-Of-Service, Skewing News News Sites, Online Magazines Proprietary Content Scraping, Ad Fraud, Comment Spam Retail Ecommerce, Marketplaces, Classifieds Account Takeover, Scalping, Denial of Inventory, Credit Card Fraud, Gift Card Fraud, Data and Price Scraping, Analytics Skewing Community & Society Nonprofits, Faith and Beliefs, Romance and Relationships, Online Communities, LGBTQ, Genealogy Content and Data Scraping, Account Takeover, Account Creation, Testing Stolen Credit Cards on Donation Pages Sports Sports Updates, News, Live Score Services Data Scraping (Live Scores, Odds Etc.) Telecom & ISPs Telecommunications Providers, Mobile Isps, Hosting Providers Account Takeover, Competitive Price Scraping Travel Airlines, Hotels, Holiday Booking Price And Data Scraping, Skewing Of Look-To-Book Ratio, Denial-Of-Service, Price Scraping, Account Takeover, Seat Spinning

| Industry | What Businesses are Included? | What Bad Bots do? | | :---: | :---: | :---: | | Automotive | Car Rentals, Manufacturers, Dealerships, Vehicle Marketplaces | Price Scraping, Data Scraping, Inventory Checking | | Business Services | Real Estate, Third Party Vendors Like Retail Platforms, CRM Systems, Business Metrics | Attacks Targeting Apis, Data Scraping, Account Takeover | | Computing & IT | It Services, It Providers, Services and Technology Providers | Account Takeover, Scraping | | Education | Online Learning Platforms, Schools, Colleges, Universities | Account Takeover For Students and Faculty, Class Availability, Scraping Proprietary Research Papers and Data | | Entertainment | Streaming Services, Ticketing Platforms, Production Companies, Venues | Account Takeover, Price Scraping, Inventory Scraping, Scalping | | Financial Services | Banking, Insurance, Investments, Cryptocurrency | Account Takeover, Carding, Card Cracking, Custom Content Scraping | | Food & Groceries | Food Delivery Services, Online Grocery Shopping, Food & Beverage Brand Sites | Credit Card Fraud, Gift Card Fraud, Account Takeover | | Gambling | Online Gaming, Casinos, Sport Betting | Account Takeover, Odds Scraping, Account Creation For Promotion Abuse | | Government | Law & Government Websites, Citizen Services, States, Municipalities, Metropolitans | Account Takeover, Data Scraping Of Business Registrations Listings, Voter Registration, Appointment Scraping and Scheduling | | Healthcare | Health Services, Pharmacies | Account Takeover, Content Scraping, "Helpful" Bots That Scrape For Appointment Availability | | Lifestyle | Lifestyle Magazines, Blogs | Proprietary Content Scraping | | Marketing | Marketing Agencies, Advertising Agencies | Proprietary Content Scraping, Ad Fraud, Denial-Of-Service, Skewing | | News | News Sites, Online Magazines | Proprietary Content Scraping, Ad Fraud, Comment Spam | | Retail | Ecommerce, Marketplaces, Classifieds | Account Takeover, Scalping, Denial of Inventory, Credit Card Fraud, Gift Card Fraud, Data and Price Scraping, Analytics Skewing | | Community & Society | Nonprofits, Faith and Beliefs, Romance and Relationships, Online Communities, LGBTQ, Genealogy | Content and Data Scraping, Account Takeover, Account Creation, Testing Stolen Credit Cards on Donation Pages | | Sports | Sports Updates, News, Live Score Services | Data Scraping (Live Scores, Odds Etc.) | | Telecom & ISPs | Telecommunications Providers, Mobile Isps, Hosting Providers | Account Takeover, Competitive Price Scraping | | Travel | Airlines, Hotels, Holiday Booking | Price And Data Scraping, Skewing Of Look-To-Book Ratio, Denial-Of-Service, Price Scraping, Account Takeover, Seat Spinning |

2024 年 API 安全状况

现代应用安全中客户端保护的作用

网络威胁指数

网络威胁指数是对全球网络威胁形势的每月测量和分析。它提供了一个易于理解的分数，以跟踪网络威胁水平并持续观察趋势。

关于 Imperva 应用安全

Imperva 是网络安全领域的领导者，帮助组织在任何地方以规模化的方式保护关键应用程序、API 和数据，并实现最高的投资回报率。Imperva 应用安全平台以最高的效率阻止最先进的攻击，同时最小化误报。其高效性使组织能够快速上手，规模化保护其资产。在 Imperva 威胁研究团队和我们的全球情报社区的帮助下，我们始终走在不断变化的威胁格局前面，将最新的安全、隐私和合规专业知识无缝集成到我们的解决方案中。

Imperva 应用安全平台结合了最佳解决方案，提供深度防御，以保护您的应用程序，无论它们位于何处 - 在云中、本地或混合配置中：

■本地和云端 Web 应用防火墙（WAF）解决方案，用于阻止最关键的 Web 应用安全风险。

◻

API 安全，通过深度发现和分类对所有 API 进行持续保护。

◻

高级机器人保护，用于保护网站、移动应用程序和 API 免受当今最复杂的自动化威胁。

◻

客户端保护，用于保护网站免受客户端攻击，并简化与 PCI DSS 4.0 的合规性。

网站、网络和 DNS 的 DDoS 保护，以确保业务连续性并保证正常运行时间。默认情况下，运行时应用程序自我保护（RASP）可防止已知和零日漏洞的安全性。

◻

内容分发网络，用于以卓越的速度和性能安全地交付全球应用程序。

今天开始您的应用程序安全免费试用，以保护您的应用程序免受恶意机器人攻击。

5 https://www.washingtonpost.com/climate-environment/2023/11/23/pandemic-flying-normal-emissions/
6 https://www.euronews.com/travel/2023/04/21/post-covid-revenge-travel-has-gone-big-and-the-revenge-is-sweet

imperva 泰雷兹公司

impervą

坏机器人报告

目录

账户接管攻击 11

第十一届《Imperva 恶意机器人报告》年度版考察和研究了自动化互联网流量的性质，主要是自动化机器人攻击。

04

在深入数据之前，让我们定义在本报告中将广泛使用的关键术语。

什么是坏机器人？

好的机器人和坏机器人之间有什么区别？

坏机器人分类

简单

适度

高级

执行摘要

恶意机器人流量水平持续上升

每月恶意机器人流量水平

多年来的恶意机器人流量

OWASP 自动化威胁占所有攻击的近三分之一

中等复杂度的坏机器人会灭绝吗？

APls 是机器人攻击的一个热门向量

坏机器人问题是一个跨行业、跨职能的问题

住宅代理是高级机器人操作员最新的工具

全球的恶意机器人

前五名

几乎一半的 ATO 攻击直接针对 API

账户接管攻击

最受攻击的行业

行业账户接管

不付出的代价

在 GDPR 下，

密码钥匙将如何影响账户接管攻击的普遍性？

受损的用户账户

恶意机器人环境

行业中的恶意机器人流量

最具破坏性的机器人活动来自那些启动机器人以破坏忠诚奖励计划的罪犯。

行业内恶意机器人的复杂性

机器人攻击最频繁的行业

移动 Chrome 和 Android 浏览器的受欢迎程度上升

按攻击请求数量划分的主要目标行业

移动用户代理占据了几乎一半的机器人流量

住宅代理的崛起

来自移动和住宅互联网服务提供商的恶意机器人流量占据了前列位置

全球的恶意机器人

坏机器人 v 好机器人 v 人类流量 2023 - 按目标国家

美国和荷兰是机器人攻击的主要目标

前十名

最受攻击的

人工智能时代的坏机器人

餐厅预订是新的热门趋势

疫情后票贩子猖獗

进化

建议

检测恶意机器人活动和自动化欺诈的安全建议

1. 风险识别

2. 脆弱性减少

3. 威胁减少：用户代理

4. 威胁减少：代理

5. 威胁减少：自动化

6. 评估流量

7. 监控流量

8. 意识

9. 评估机器人保护解决方案

坏机器人使用案例

行业中的恶意机器人

网络威胁指数

关于 Imperva 应用安全

今天开始您的应用程序安全免费试用，以保护您的应用程序免受恶意机器人攻击。