Barracuda full logo

Threat Spotlight: Bösartige Bots werden immer „menschlicher“

Themen:
19. Nov.. 2024
|
Tushar Richabadas

Die Bot-Landschaft verändert sich. Bösartige – oder böse Bots – entwickeln sich weiter und werden in ihrem Verhalten immer fortschrittlicher und menschenähnlicher, während eine neue Kategorie von KI-Bots, die wir als „graue Bots“ bezeichnen könnten, die Grenze zu legitimen Aktivitäten verwischt.

Die Sicherheitsforscher von Barracuda analysierten zwischen September 2023 und Ende August 2024 den Bot-bezogenen Datenverkehr und die Aktivitäten, die auf Webanwendungen und APIs abzielten. Unter anderem stellten die Forscher Folgendes fest:

  • Im Jahr 2024 machten bösartige Bots 24 % des Internetverkehrs aus, gegenüber 39 % im Jahr 2021.
  • Die Zahl der einzelnen bösartigen Bots ist gestiegen und umfasst nun 44 % der erkannten Clients, verglichen mit 36 % vor einem Jahr.
  • 49 % der Bots werden als „fortgeschrittene Bots“ eingestuft. Die meisten von ihnen sind bösartig und darauf ausgelegt, menschliches Verhalten nachzuahmen und komplexe Online-Interaktionen abzuwickeln, wie etwa die Interaktion mit Zielen bei Account-Takeover-Angriffen.

Die Bot-Landschaft im Jahr 2024

Bots sind automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt wurden. Zu den guten Bots gehören Suchmaschinen-Crawler-Bots, SEO-Bots und Kundendienst-Bots, die Unternehmen dabei helfen können, Prozesse zu rationalisieren, die Effizienz zu steigern, ihre Online-Präsenz zu verbessern und die Interaktion mit Kunden zu stärken.

Bösartige Bots hingegen sind für bösartige oder schädliche Online-Aktivitäten konzipiert. Bösartige Bots können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, Anwendungsprogrammierschnittstellen (APIs) und andere Endpunkte. Sie zielen unter anderem auf E-Commerce- und Anmeldeseiten ab. Ihr Ziel ist es, in Konten einzudringen, um personenbezogene Daten zu stehlen oder Betrug zu begehen. Außerdem nutzen sie Schwachstellen in Websites aus, um sich Zugriff zu verschaffen. Bösartige Bots können das Opfer mit Datenverkehr überlasten, Spam verbreiten, Geschäftsanalysen verfälschen, Dienste für legitime Kunden stören, den Ruf eines Unternehmens schädigen und vieles mehr.

Das Aufkommen von „grauen KI-Bots“

Die Sicherheitsforscher von Barracuda stellten außerdem eine neue Kategorie von KI-Bots fest, die als „graue Bots“ eingestuft werden könnten, da sie nicht offensichtlich bösartig sind, ihre Vorgehensweise jedoch fragwürdig sein kann.

Diese KI-Bots sind in erster Linie dafür konzipiert, große Datenmengen von Websites zu extrahieren oder zu scrapen, um beispielsweise generative KI-Modelle zu trainieren. Die Bots können beim Sammeln von Daten aggressiv vorgehen und Informationen ohne Erlaubnis entfernen. Dabei ignorieren sie möglicherweise eingebetteten Robots.txt-Code, der von den Herausgebern hinzugefügt wird, um Scraper-Bots zu signalisieren, dass sie die Daten dieser Website nicht übernehmen sollen. 

Die sich verändernde Dynamik zwischen Bots und Menschen

Traffic-Verteilung – Bots vs. Menschen

Von September 2023 bis Ende August 2024 machten gute Bots 18 % des Internetverkehrs aus, während bösartige Bots 24 % und menschliche Nutzer 58 % ausmachten.

Der Anteil des bösartigen Bot-Traffics nimmt von Jahr zu Jahr ab. Im Jahr 2023 machten bösartige Bots 3 0% des Internetverkehrs aus, gegenüber 39 % im Jahr 2021

Traffic-Verteilung – Bots gegen Menschen
Oberflächlich betrachtet scheint dies eine gute Nachricht zu sein. Eine genauere Analyse zeigt jedoch, dass der Anteil der bösartigen Bots zwar zurückgegangen ist, der Anteil der einzelnen bösartigen Bots in den letzten 12 Monaten jedoch zugenommen hat. Mit anderen Worten: Es gibt weniger Verkehr auf den Straßen, aber viel mehr Fahrzeugmarken. 
Einzelne Clients im Internetverkehr erkannt

Die Forscher glauben, dass der allgemeine Rückgang der Erkennung bösartigen Bot-Traffics sowohl auf das wachsende Bewusstsein für die Bedrohung als auch auf die geringere Nachfrage nach automatisierten Massenshopping-Bots zurückzuführen ist.

Immer mehr Unternehmen sind sich des Schadens bewusst, den bösartige Bots ihren Webanwendungen zufügen können, und ergreifen Maßnahmen, um bösartigen oder verdächtigen Bot-Traffic zu erkennen und zu blockieren. Dies hat die Erfolgsquote automatisierter bösartiger Bot-Angriffe reduziert und sie für Cyberangreifer weniger attraktiv gemacht.

Im Jahr 2021 zählten zu den bösartigen Bots Schwärme von Shopping-Bots, die E-Commerce-Websites angriffen, um hochwertige Konsumgüter zu einem deutlich überhöhten Preis weiterzuverkaufen. Dazu gehörten die berüchtigten „Sneaker-Bots“, die auf der Jagd nach Schuhen in limitierter Auflage waren. Als der Markt für solche Produkte während des wirtschaftlichen Abschwungs zusammenbrach, ging die Nachfrage nach Massen-Shopping-Bots zurück, wodurch das Volumen des bösartigen Bot-Traffics sank.

An ihrer Stelle sind jetzt fortschrittlichere und gezieltere Bots getreten.

Böswillige Bot-Aktivität 2024

Unsere Security-Forscher untersuchten auch die Arten der Bot-Aktivität, die in den acht Monaten zwischen Januar und Ende August 2024 festgestellt wurde.

Die Daten zeigen, dass die Bot-Aktivität 2024 von „fortgeschrittenen Bots“ dominiert wird und dass sich die meisten dieser Bots als bösartig erweisen:

  • Fortgeschrittene Bots: Diese machen 49 % der Bot-Aktivitäten aus, von denen viele bösartig sind. Die bösartigen Bots setzen ausgefeilte Methoden ein, um menschliches Verhalten zu imitieren. Sie können komplexe Webinteraktionen steuern und dabei Standardkontrollen umgehen, die Datenverkehr, Fehlerrate, CAPTCHA und IP-Adressen überwachen. Beispiele hierfür sind Account-Takeover-Bots, die mehrere Methoden verwenden, um sogenannte „Low and Slow“-Angriffe durchzuführen, die unterschiedliche IP-/geografische Standorte ausnutzen, um nicht aufzufallen und einer Erkennung zu entgehen. Es ist zu beachten, dass es bei einigen erweiterten Bot-Klassifizierungen zu unbeabsichtigten Fehlalarmen kommen kann. Dabei werden harmlose Webcrawler oder andere Tools, die ihre Fähigkeiten zur Vermeidung von Blockierungen verbessert haben, versehentlich fälschlicherweise als bösartig eingestuft.
  • Imitator: Wie bei den fortgeschrittenen Bots handelt es sich um Bots, die menschliche Verhaltensweisen imitieren, in der Regel zu bösartigen Zwecken wie Betrug. Ein Beispiel hierfür wäre ein Bot, der versucht, den GoogleBot zu fälschen, um nicht für Scraping gesperrt zu werden.
  • Bekannter Eindringling: Dies sind zuvor identifizierte Unternehmen, die sich an unerwünschten oder bösartigen Aktivitäten beteiligt haben. Für Security-Tools stellen sie Bots dar, die bereits abgefangen wurden und daher nicht mehr auf geschützte Anwendungen zugreifen können. Bekannte Eindringlinge machten im analysierten Zeitraum 6 % der Aktivitäten aus.
  • Anomalien bei der Browserintegrität: Dies sind erkannte Clients, deren Browserkonfigurationen Anomalien aufweisen, die auf Emulation oder Spoofing hindeuten könnten. Ihr Anteil an der Gesamtaktivität betrug 3 %.

Gute Bot-Aktivität erkannt

  • Crawler/Indexer: Diese Bots werden hauptsächlich für die Indizierung von Webinhalten für Suchmaschinen verwendet.
  • Feed-Abrufe: Bots, die Inhalte für Web-Feeds, Aggregatoren oder News-Crawler abrufen.
  • Suchmaschinen-Bot: Bots, die mit Unternehmenssystemen interagieren, um sie für die Suchmaschinenoptimierung zu indexieren.
  • Social Media Agent: Automatisierte Agenten, die soziale Medienplattformen verwalten oder mit ihnen interagieren.
  • Technischer Partner/kommerzieller Bot: Von Drittanbietern betriebene Bots zur Integration von Diensten oder Inhalten.
  • Tool: Kunden, die Tools zum Testen, Überwachen oder für andere betriebliche Funktionen verwenden.

Gute Bots und andere Kategorien machen 2024 42 % des Internet-Engagements aus.

Bot-Aktivität nach Typ

Wie Sie Ihr Unternehmen schützen können

Die Bedrohung durch bösartige Bots zu verstehen und zu bekämpfen ist für die Aufrechterhaltung der Security und Integrität von Online-Aktivitäten entscheidend. Dazu gehören der Schutz von E-Commerce-Websites vor Preisabfragen, dem Horten von Lagerbeständen und betrügerischen Transaktionen, die Verhinderung von Spam, gefälschten Konten und Fehlinformationskampagnen in sozialen Medien sowie der Schutz von Firmendaten, der Schutz vor negativen SEO-Taktiken, die das Ranking von Websites beeinträchtigen können, und die Sicherstellung, dass Login-Authentifizierungsversuche legitim sind.

Effektiver, gezielter Bot-Schutz hilft, automatisierte Angriffe von bösartigen Bots zu erkennen und davor zu schützen. Gleichzeitig ermöglicht er bekannten guten Bots, wie etwa Crawler-Bots von Suchmaschinen und SEO-Bots, das Crawlen Ihrer Web-Applikation.

Ein solcher Schutz erfordert einen Ansatz in mehreren Ebenen, der Folgendes umfasst:  

  • Robuste Anwendungssicherheit. Installieren Sie einen fortschrittlichen Anwendungsschutz für Web-Applikationen und APIs, und stellen Sie sicher, dass er ordnungsgemäß konfiguriert ist und über eine Ratenbegrenzung und Überwachung verfügt. Dies ist ein wichtiger erster Schritt, um sicherzustellen, dass Ihre Anwendungssicherheitslösung wie vorgesehen funktioniert.
  • Spezialisierter Bot-Schutz. Vergewissern Sie sich, dass die von Ihnen gewählte Anwendungssicherheitslösung Schutz gegen Bots bietet, die fortgeschrittene automatisierte Angriffe wirksam erkennen und stoppen kann.
  • Nutzen Sie die Vorteile des maschinellen Lernens. Mit einer Lösung, die leistungsstarkes maschinelles Lernen nutzt, können Sie versteckte, menschenähnliche Bot-Angriffe effektiv erkennen und abwehren. Aktivieren Sie unbedingt die Abwehr von Credential Stuffing, um auch Kontoübernahmen zu verhindern.
  • Denken Sie an die Grundlagen. Zugangs- und Authentifizierungskontrollen, einschließlich Multifaktor-Authentifizierung, helfen dabei, anfällige Zugangspunkte wie Anmeldeseiten vor Brute-Force- und Credential Stuffing-Angriffen zu schützen.

Weitere Informationen darüber, wie Sie Ihre Umgebung vor fortschrittlichen und sich weiterentwickelnden Bot-Angriffen schützen können, finden Sie auf unserer Website

E-Book: Das neue ABC der Anwendungssicherheit
Tushar Richabadas

Tushar Richabadas ist Senior Product Marketing Manager für Anwendungen und Cloud-Security bei Barracuda. Zuvor war Tushar Product Manager für die Barracuda Web Application Firewall und Barracuda Load Balancer ADC mit den Schwerpunkten Cloud und Automatisierung. Tushar hat als Leiter von Testteams für Netzwerkprodukte und im technischen Marketing für HCL-Cisco bereits viel Arbeitserfahrung gesammelt. Richabadas verfolgt die rasant zunehmenden Auswirkungen der digitalen Sicherheit sehr aufmerksam und setzt sich mit großer Begeisterung für die Vereinfachung der digitalen Sicherheit für alle ein.

Hier können Sie ihn auf LinkedIn kontaktieren.

Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.