Поделиться
F6: атаки ботов занимают более 40% в интернет-трафике российских компаний
Компания F6, разработчик технологий для борьбы с киберпреступностью, проанализировала тенденции развития атак вредоносных ботов на российский бизнес. За два года доля таких атак в интернет-трафике защищаемых ресурсов увеличилась с 30% до 41%. Вектор угроз сместился от классических сетевых DDoS-атак к действиям непосредственно против веб-приложений (Application Layer). Действия ботов становятся всё более «человечными»: такие атаки максимально похожи на действия реальных пользователей, что мешает их блокировать. Помимо роста затрат бизнеса на защиту сервисов, атаки ботов создают препятствия для действий легитимных клиентов и тем самым влияют на прибыль компаний.
Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 проанализировали тенденции развития атак вредоносных ботов на российские компании.
По итогам 2025 г. доля ботов в интернет-трафике сервисов впервые превысила порог в 41%. В 2023 г. боты формировали 30% трафика на защищаемых ресурсах, в 2024 г. – 39%. Специалисты F6 прогнозируют: тенденция роста трафика за счёт атак ботов в 2026 г. сохранится.
За такими атаками могут стоять как политически мотивированные группы злоумышленников, так и конкуренты, и сборщики информации. При этом теневые ресурсы переполнены предложениями провести DDoS-атаки на любые сервисы за деньги.
Как отмечают аналитики Fraud Protection F6, вектор угроз смещается: если в прежние годы доминировали классические сетевые DDoS-атаки, то сейчас злоумышленники всё чаще действуют на уровне L7 (Application Layer) — непосредственно против веб‑приложений.
«Умные боты» для бизнеса — одна из критических угроз: они всё лучше имитируют поведение реальных пользователей. Для каждого запроса создаётся уникальный IP-адрес и цифровой отпечаток устройства. Вдобавок к этому «интеллектуальный бот» во всём старается подражать человеку: кликает в разные точки страницы или приложения, делает паузы разной длительности между кликами и запросами, открывает в одном браузере несколько страниц одного и того же сервиса. Боты более низкого уровня действуют однотипно: например, кликают в одни и те же точки экрана.
Маскируясь под легитимных пользователей, «умные боты» вместе с тем стремятся нанести как можно больше вреда: исчерпать вычислительные ресурсы приложений: процессорное время и оперативную память, ресурсы базы данных или вывести из строя бизнес‑логику сервиса. Для этого, в отличие от атак уровня L3 и L4, которые можно блокировать объёмными фильтрами трафика, L7‑атакам не нужен гигантский поток данных: достаточно сложных, «тяжёлых» запросов с поиском, авторизацией, запуском скриптов, которые вынуждают сервер долго и дорого их обрабатывать.
Первое и самое важное из последствий DDoS-атак уровня L7 для бизнеса – отказ в обслуживании запросов пользователей к атакуемому ресурсу. Они не могут войти на сайт или в приложение, сделать заказ, оформить покупку, провести оплату и совершить прочие полезные для себя действия. А это напрямую влияет на уровень прибыли сервиса. Одновременно резко возрастают расходы на защиту сервиса для обеспечения его устойчивой работы. Приходится увеличивать мощности и приобретать новые серверы для того, чтобы обслуживать «пустую» активность, хотя число реальных пользователей остаётся на прежнем уровне или же растёт незначительно.
Поставщики связи и провайдеры хорошо справляются с атаками уровня L3 и L4, однако для защиты от ботов, который действуют на прикладном уровне, их эффективности недостаточно.
Злоумышленники применяют широкий набор приёмов для маскировки и причинения ущерба, начиная с ежесекундной смены IP‑адресов для каждого HTTP‑запроса до комбинаций нагрузки, которая «съедает» пропускную способность канала и перекрывает доступ легитимным пользователям. Трафик ботов приходит с миллионов разных IP, включая резидентные и облачные прокси, заражённые устройства IoT. В таком плотном и разнообразном трафике обнаружить «плохие» подсети, чтобы остановить действия бота, становится крайне сложно.
Традиционные WAF (средства фильтрации трафика) и правила блокирования всё чаще оказываются бессильны перед атаками прикладного уровня. Причины – сложность и ресурсоёмкость обработки HTTP/HTTPS‑запросов, необходимость выполнения бизнес‑логики на стороне сервера и, в случае HTTPS, дешифровки соединений. В этих условиях преимущество на стороне продвинутых ботов: они не создают явные объёмные аномалии, а высокая «человечность» поведения затрудняют простую фильтрацию.
Чтобы достоверно отличить легитимного пользователя от автоматизированного скрипта и не закрыть «дверь» перед реальным клиентом, требуется анализировать не только объём трафика, но и модели поведения. А для этого необходимо мгновенно оценивать совокупность признаков: User‑Agent («визитную карточку» браузера), данные провайдера, IP‑адреса, частоту и распределение запросов при использовании сервисов и приложений, а также признаки использования автоматизации (такие как Selenium), анонимайзеров и антидетект‑браузеров. Специалисты F6 считают: поведенческий анализ, оценка сессий и эвристики дают результаты лучше, чем единичные сигнатуры.
«Атаки уровня L7 — это прежде всего киберпреступный бизнес, ориентированный на прибыль. Преимущество в этом противостоянии можно получить, если за счёт технических решений увеличивать цену атаки для злоумышленника, чтобы такие действия стали для него невыгодны, и одновременно снижать собственные потенциальные потери. А для этого необходимо обеспечивать защиту в непрерывном режиме: владельцам сервисов придётся постоянно адаптироваться к новым приёмам ботов и вкладываться в многоуровневую систему обнаружения и смягчения последствий их атак», – сказал Константин Гребенюк, руководитель отдела защиты от автоматизированных угроз департамента Fraud Protection компании F6.
Рекомендации по защите ресурсов от атак ботов. Специалисты F6 советуют комплексный подход: внедрять сессионные антифрод‑модули и системы оценки поведения пользователей; сокращать время жизни сессий и динамически менять параметры HTTP‑запросов; комбинировать сигнатурную фильтрацию с ML‑моделями, анализом последовательностей действий и контекстных проверок бизнес‑логики; вводить лимиты, резервирование критичных ресурсов и механизмы, повышающие стоимость атаки для злоумышленника (усложнение эмуляции, дополнительные проверки).
Компании могут защититься от подобного рода атак с помощью сложных решений, умеющих в режиме реального времени отличать активность пользователя от бота и блокировать последних с высокой точностью, независимо от масштаба атаки и сложности используемых ботов. Модуль Preventive Proxy в решении F6 Fraud Protection защищает приложения и API заказчика от бот-активности.
Поделиться
Короткая ссылка
