I bot invadono il Web. I programmi software che eseguono azioni automatizzate in Rete, come il crawling dei motori di ricerca, hanno generato il 48% del traffico Internet globale nel primo semestre di quest’anno, come mostrano le statistiche di Barracuda. I ricercatori della società di cybersicurezza hanno monitorato la presenza e i comportamenti di bot benevoli e malevoli di anno in anno, evidenziando alcune interessanti evoluzioni del fenomeno.
Anche se non necessariamente “cattivi”, almeno non per definizione, i bot molto spesso vengono attivati per scopi malevoli, ed è noto per esempio il loro utilizzo all’interno degli attacchi DDoS. Dall’analisi di Barracuda sappiamo che nel 2021 lo scenario dei bot malevoli era dominato dai cosiddetti “retail bot, programmi che ricercavano sul Web oggetti rari o in quel momento di tendenza (come giocattoli o modelli di sneakers), da rivendere poi per generare profitto. Quest’anno invece sono emersi utilizzi più sofisticati e al servizio del cybercrimine.
Nel primo semestre del 2023 molti bot malevoli hanno usato indirizzi IP residenziali per lanciare attacchi evitando il rilevamento. Gli indirizzi IP malevoli già conosciuti come tali, infatti, possono essere sottoposti a controllo e quindi smascherare gli autori dell’attacco. L’escamotage utilizzato è, appunto, quello di agganciarsi a indirizzi IP residenziali e in molti casi le persone che utilizzavano o a cui sono stati assegnati successivamente gli IP in questione si sono ritrovati in un “inferno dei CAPTCHA”: nelle procedure di verifica di Google o Cloudflare, gli indirizzi innescavano un segnale d’allarme, essendo stati usati per attività malevole, e dunque gli utenti non potevano proseguire nella autenticazione.
Un’altra tendenza osservata da Barracuda sono gli attacchi bot rivolti alle interfacce di programmazione applicativa (Api) vulnerabili e, tramite queste, ad account di posta elettronica. I bot possono introdursi in una casella email inserendo innumerevoli combinazioni di username e password finché non trovano quella giusta per eseguire il login. Inoltre le API, essendo relativamente poco protette e di contro molto usate all’interno di processi automatizzati e comunicazioni. Diverse applicazioni usano le API per accedere ad account e caselle di posta, come quelle di email marketing e quelle le applicazioni che gestiscono, verificano e automatizzano le email.
“Le aziende colpite da questi bot risultano vulnerabili agli attacchi a causa di una combinazione di API poco protette, policy di autenticazione e accesso deboli e l’assenza di misure di sicurezza specifiche per i bot, come limitazioni al volume e alla velocità del traffico in ingresso”, ha commentato Tushar Richabadas, principal product marketing manager, applications and cloud security di Barracuda. “Le aziende possono sentirsi sopraffatte dal gran numero di soluzioni richieste per fermare i bot, ma la buona notizia è che queste soluzioni si stanno consolidando all’interno di servizi di Web Application and Api Protection (Wapp) che identificano e bloccano i bot malevoli”.
Per quanto riguarda l’origine geografica dei bot malevoli, nella prima metà del 2023 il 72% del traffico essi generato è partito dal Nord America. La ragione di questa predominanza è che circa due terzi (67%) del traffico creato da bot malevoli proveniva da fornitori di servizi di hosting, tra Aws e Azure. Seguono, come principali regioni di origine, Emirati Arabi (12%), Arabia Saudita (6%), Qatar (5%) e India (5%).