Quando si parla di minacce informatiche fanno notizia i malware a vario titolo. Si tende a trascurare i bot, una minaccia di ampia portata che viene sfruttata per truffe e furto di informazioni. I bot rappresentano quasi i due terzi del traffico Internet. Non sono tutti dannosi: poco più della metà è "buono", si pensi per esempio agli strumenti SEO e agli aggregatori.

Tuttavia, secondo il recente report Bot attacks: Top Threats and Trends – Insights into the growing number of automated attacks di Barracuda Networks, quasi il 40% di tutto il traffico web è rappresentato da bot dannosi. I cosiddetti bot "cattivi" sono progettati per eseguire attacchi su larga scala. Vanno dagli scraper per il furto di dati a quelli che imitano il comportamento umano per perpetrare furti di account, attacchi DDoS e altro.

Analizzando i modelli di traffico nei primi sei mesi del 2021, è emerso che gli obiettivi più comuni dei bot persistenti avanzati sono le applicazioni di e-commerce e i portali di accesso. La maggior parte del traffico bot proviene dai maggiori cloud pubblici: AWS e Microsoft Azure. Il Nord America rappresenta da solo il 67% del traffico di bot dannosi, solo poco più del 22% del traffico di bot dannosi proviene dall'Europa. In quest'ultimo caso, l'origine del traffico è da ricercare per lo più da servizi di hosting o IP residenziali.

Rilevare e bloccare efficacemente il traffico dei bot è di fondamentale importanza ma è difficile. Nel periodo di analisi, infatti, il traffico di bot dannosi è stato gestito per mimetizzarsi nella giornata lavorativa standard. Al contrario dei bot buoni (che nel corso delle 24 ore mantengono un tasso di traffico abbastanza costante), quelli cattivi seguono l'andamento del traffico umano per evitare di far scattare campanelli d'allarme.

Come si può vedere nel grafico di seguito, ci sono quindi le ore di punta tipicamente fra le 8 e le 17, in cui la circolazione dei bot sale. Nelle ore notturne e serali invece si registra un consistente calo, per imitare le attività umane.

Non solo: sovente i bot cattivi si travestono da bot buoni per eseguire ricognizioni e sondare le vulnerabilità utilizzando tecniche di attacco di base. Oppure, imitando utenti umani tentano di eseguire il login a servizi privati o, impersonando i browser più diffusi, di rastrellare i listini prezzi dei negozi e e-commerce.

Strategie di difesa

Fra le strategie di difesa vincenti spiccano le offerte WAF/WAF-as-a-Service, altrimenti note come servizi WAAP (Web Application and API Protection). Sono strumenti sviluppati appositamente per identificare e bloccare i bot cattivi, migliorando sia l'efficienza dei servizi web sia la loro sicurezza complessiva.

Ovviamente è necessario affidarsi a specialisti del settore, per sincerarsi che i WAF siano configurati correttamente. È inoltre consigliata l'adozione di soluzioni dotate di apprendimento automatico, che possono distinguere con maggiore percentuale di successo un utente umano da un bot, e impedire per esempio il furto di credenziali.