דוח הסייבר השנתי של חברת Thales לשנת 2025, ה-Imperva Bad Bot Report, מציג תמונת מצב מדאיגה: לראשונה מזה עשור, תעבורת הרשת האוטומטית עקפה את זו האנושית, כאשר 51% מכלל תעבורת האינטרנט ב-2024 בוצעה על-ידי בוטים - מהם 37% "בוטים רעים" (malicious bots), עלייה חדה לעומת 32% בשנה הקודמת.
הדוח מצביע על כך שענף התיירות הפך ליעד המרכזי של מתקפות בוטים, עם 27% מכלל מתקפות הבוטים בעולם - עלייה משמעותית לעומת 21% ב-2023. מדובר במגזר שספג את הנתח הגדול ביותר של מתקפות אוטומטיות, כשהוא עוקף את תחומי הקמעונאות, הפיננסים והבריאות.
מהפכת הבוטים הפשוטים
אחת המגמות הבולטות בדוח היא ירידה במתקפות בוטים מתקדמים (advanced bots) על אתרי תיירות - מ-61% ב-2023 ל-41% בלבד ב-2024 - לצד עלייה חדה במתקפות בוטים פשוטים (simple bots), שזינקו מ-34% ל-52%. המשמעות: כלים מבוססי
בינה מלאכותית הפכו את יצירת הבוטים לנגישה יותר, גם עבור תוקפים חסרי מומחיות טכנית.
"השימוש הגובר בבוטים פשוטים מעיד על כך שהמחסומים הטכנולוגיים נופלים", נכתב בדוח. "שחקנים פחות מתוחכמים יכולים כעת להציף אתרי תיירות בכמויות עצומות של תעבורה מזויפת, ולגרום לנזקים תפעוליים, כלכליים ותדמיתיים".
הבוטים לא רק גולשים - הם תוקפים APIs
44% מהבוטים המתקדמים כוונו לממשקי API - תשתיות קריטיות שמנהלות תשלומים, הזמנות, ואימותי משתמשים. מתקפות אלו מנצלות את הלוגיקה העסקית של הממשקים כדי לבצע גניבת נתונים, השתלטות על חשבונות, והונאות תשלום 1.
לצד ענף התיירות, גם תחומי הקמעונאות (59% תעבורת בוטים) והשירותים הפיננסיים (22% מהשתלטויות על חשבונות) סובלים מהיקפי מתקפות חריגים. הדוח מדגיש כי ככל שארגונים מאמצים שירותים מבוססי ענן וארכיטקטורות מיקרו-שירותים, כך גדל שטח החשיפה שלהם למתקפות בוטים.
המלצות הדוח
Thales קוראת לארגונים לאמץ גישות אבטחה פרואקטיביות, כולל: שימוש בכלים מתקדמים לזיהוי בוטים; ניטור תעבורת API; חיזוק מנגנוני אימות והרשאות; ניתוח התנהגות משתמשים בזמן אמת.
לדברי טים צ'אנג, מנהל תחום אבטחת אפליקציות ב-Thales: "הבוטים של היום הם לא מה שהיו פעם. מה שנחשב בעבר לטכניקות התחמקות מתקדמות - הפך לסטנדרט. ארגונים חייבים להסתגל במהירות כדי להגן על הנכסים הדיגיטליים שלהם".