Bot yang buruk mengambil alih web. Bank adalah target teratas mereka

Rasa tidak aman internet telah mencapai tonggak baru: lebih banyak lalu lintas web (51%) sekarang berasal dari bot, potongan kecil perangkat lunak yang menjalankan tugas otomatis, daripada manusia, menurut laporan baru.

Lebih dari sepertiga (37%) berasal dari apa yang disebut bot buruk-bot yang dirancang untuk melakukan aktivitas berbahaya, seperti mengikis data sensitif, spam dan meluncurkan serangan penolakan layanan-yang banknya menjadi target teratas. (“Good Bots,” seperti crawler mesin pencari yang mengindeks konten, menyumbang 14% dari aktivitas web.)

Sekitar 40% dari serangan bot pada antarmuka pemrograman aplikasi pada tahun 2024 diarahkan di sektor keuangan, menurut laporan BOC BOT 2025 dari Imperva, sebuah perusahaan Thales. Hampir sepertiga dari mereka (31%) melibatkan pengikisan data sensitif atau hak milik dari API, 26% adalah pembayaran bot penipuan pembayaran yang mengeksploitasi kerentanan dalam sistem checkout untuk memicu transaksi yang tidak sah dan 12% adalah serangan pengambilalihan di mana bot yang digunakan oleh bot yang dikomentari atau dengan kredensial yang tidak diatasi.

Untuk laporan ini, para peneliti menganalisis data serangan bot untuk lebih dari 4.500 pelanggan, 53.000 akun pelanggan dan lebih dari 200.000 lokasi pelanggan. Jadi laporan ini bukan representasi lengkap dari semua aktivitas internet, tetapi para ahli mengatakan itu cocok dengan apa yang mereka lihat di lapangan.

“Temuan ini secara terarah benar tetapi tidak tepat pembedahan,” kata Gary McAlum, mantan kepala petugas keamanan di USAA dan mantan Kepala Petugas Keamanan Informasi di AIG. “Dataset Imperva sangat besar, cukup baik. Bank telah berurusan dengan bot selama bertahun -tahun, terutama mengenai pengambilalihan akun dan serangan isian kredensial.”

Gagasan bahwa 51% dari lalu lintas web berasal dari bot tidak mengherankan baginya.

“Proposisi nilai sebenarnya dari bot, baik dan buruk, adalah mereka memberikan kecepatan dan skala,” kata McAlum. “Sementara bot yang baik melayani peran penting seperti situs pengindeksan untuk mesin pencari atau memantau kinerja situs web, lonjakan bot jahat menunjukkan semakin banyak kecanggihan dan skala ancaman cyber. Munculnya AI hanya akan membuat ini lebih buruk.”

Valerie Abend, pemimpin cybersecurity layanan keuangan global di Accenture, mengatakan dia juga melihat ancaman AI yang semakin meningkat dalam angka -angka ini.

“Penyebaran bot adalah masalah klasik Whack-A-Mole,” katanya. “Ini bukan masalah baru, tapi ini tumbuh dalam volume dan kecepatan.”

AI Mengemudi Bangkit Buruk

Munculnya bot buruk selama beberapa tahun terakhir, dari 30% dari semua lalu lintas web pada tahun 2022 menjadi 33% pada tahun 2023 hingga 37% pada tahun 2024, sebagian besar didorong oleh adopsi AI dan model bahasa besar, menurut analisis peneliti Imperva.

Penyerang sekarang menggunakan AI tidak hanya untuk menghasilkan bot tetapi juga untuk menganalisis upaya yang gagal dan memperbaiki teknik mereka untuk mendeteksi bypass dengan efisiensi yang lebih besar, kata laporan itu.

“Beberapa tahun yang lalu, ada peretasan yang digerakkan bot, tetapi mereka adalah bot yang dirancang oleh manusia, orang jahat yang akan duduk di sana dan menganalisis serangkaian API tertentu, seperti API perbankan, dan kemudian mencari tahu, ‘Bagaimana saya bisa menulis bot yang akan meniru bahwa mantan manajer seniur di Kevin Kohut, pendiri API First, LLC dan mantan manajer senior. “Sekarang yang kita lihat adalah, kamu tidak perlu sepintar orang jahat. Kamu bisa pergi ke model AI dan berkata, bagaimana aku menulis sesuatu untuk membuka rekening bank baru?”

Beberapa bot buruk dapat meniru lalu lintas yang sah yang berasal dari alamat tempat tinggal, yang membuat deteksi lebih menantang. Menurut laporan itu, 21% dari semua serangan bot menggunakan penyedia layanan internet dilakukan melalui proxy perumahan.

Laporan ini juga melihat ke mana model AI generatif digunakan untuk membuat bot yang buruk. Lebih dari setengahnya (54%) dikembangkan menggunakan Bytespider Bot, menurut laporan tersebut. Lebih dari seperempat (26%) dibuat menggunakan bot Apple, 13% dengan Claudebot dan 6% dengan chatgpt. “Dominasi Bytespider dalam serangan yang diaktifkan AI sebagian besar dapat dikaitkan dengan pengakuannya yang meluas sebagai perayap web yang sah, menjadikannya kandidat yang ideal untuk spoofing,” kata laporan itu.

Para ahli yang diwawancarai untuk artikel ini paling terkejut dengan meningkatnya bot yang menyerang API.

“Orang -orang biasa mengatakan API adalah perimeter baru,” kata Abend. “Saya juga akan mengatakan bahwa mereka adalah rantai pasokan bank.

Apa yang bisa dilakukan bank tentang bot buruk

Bank biasanya menerapkan kombinasi kontrol detektif dan preventif dalam perang melawan bot yang buruk, kata McAlum.

“Ini adalah masalah ras senjata, sehingga kemampuan untuk mendeteksi dan membedakan lalu lintas bot adalah kuncinya,” kata McAlum. “Sistem berbasis aturan tradisional berdasarkan kecepatan dan frekuensi tidak akan cukup.”

Bot yang dihasilkan AI dapat memotong bahkan layar captcha canggih, katanya.

“Kemampuan canggih dalam firewall aplikasi web bersama dengan model berbagi intelijen ancaman cyber yang kuat akan membantu,” kata McAlum. “Mengamankan API sangat penting dan menegakkan protokol otentikasi yang ketat bersama dengan pembatasan laju (pengaturan batas jumlah permintaan yang dapat dilakukan pengguna ke server atau aplikasi dalam periode waktu tertentu) dan deteksi anomali untuk mencegah eksploitasi.”

Teknik deteksi ancaman tradisional, seperti mengawasi uptick abnormal dalam lalu lintas web, dapat membantu organisasi menyadari bahwa lalu lintas situs dapat menjadi buatan dan berpotensi berbahaya, kata Tracy Goldberg, direktur keamanan siber di strategi & penelitian javelin. Berbagi lebih banyak ancaman intelijen dari alamat IP yang mencurigakan akan membantu organisasi mengidentifikasi bot yang lebih buruk, katanya.

“Honeypots, yang tetap menjadi taktik besar untuk penipuan dalam deteksi, juga memainkan peran yang kurang dihargai dalam mendeteksi bot,” katanya. Honeypots umumnya memikat tetapi kumpulan data palsu yang diletakkan di tempat yang terbuka untuk memikat penyerang ke dalam perangkap dan menonton bagaimana mereka beroperasi.

Cara lain bank dapat membantu melindungi diri adalah dengan berinvestasi dalam mengembangkan protokol konteks model, atau MCP. “Apa portal pengembangan bagi pengembang manusia, server MCP akan menjadi agen AI,” kata Kohut. “Jadi idenya adalah, alih -alih meminta agen AI menebak bagaimana mereka seharusnya mengkonsumsi API kami, kami akan membuat server MCP yang akan memberi mereka informasi yang mereka butuhkan.”

Ada Catch-22 untuk ini, kata Kohut, karena untuk model AI yang diberikan untuk mengkonsumsi MCP dengan benar, model harus tahu apa protokol MCP.

Bank juga perlu memastikan sistem API yang mereka gunakan aman dan terkunci, kata Kohut.

Mengamankan API adalah “tantangan klasik untuk memastikan bahwa inventaris API dipertahankan, bahwa itu akurat, dan kemudian semua itu dicakup dalam gerbang itu,” kata Abend. “Sama seperti otentikasi dan otorisasi adalah kontrol akses yang penting dan berbasis peran dan hak istimewa, enkripsi dan melindungi kunci Anda, pengujian dan pemindaian, pemodelan ancaman, dan melakukan semua hal yang akan Anda lakukan untuk area lain.”

Sementara itu, masalah bot terus tumbuh, kata McAlum. “Sementara bank dan lembaga keuangan melawan masalah ini di ujung penerima, sampai penyedia layanan internet mengambil tindakan yang lebih agresif untuk membantu mengidentifikasi dan menyaring lalu lintas ini, itu akan terus menjadi pertempuran berat,” katanya.