Il 49.6% del suo traffico è composto da bot: che cosa significa per la sua azienda
Quasi la metà di tutto il traffico internet è automatizzato. Ecco che cosa dicono i dati, quanto costa e che cosa si può fare al riguardo.
Secondo l'Imperva 2024 Bad Bot Report, oggi il 49.6% di tutto il traffico internet è automatizzato: bot, crawler e script. Di questi, il 32% è classificato come traffico di bad bot: programmi automatizzati progettati per fare scraping, testare a raffica credenziali rubate (credential stuffing), commettere frodi o abusare dei sistemi su larga scala.
Per la prima volta nella storia di internet, il traffico umano è in minoranza. Se la sua azienda non rileva e gestisce attivamente il traffico dei bot, quasi metà dei costi infrastrutturali e dei dati analitici è generata da macchine.
La tassonomia dei bot
I bot buoni (crawler dei motori di ricerca, bot di monitoraggio) rappresentano circa il 17.6% del traffico. I bad bot — il restante 32% — si suddividono in diverse categorie:
Bot di credential stuffing
Questi bot prendono elenchi di combinazioni di username e password rubate da violazioni di dati e le provano su larga scala contro le pagine di login. Le credenziali rubate costano $1-10 ogni mille sui marketplace del dark web. Un tasso di successo dello 0.1-2% produce centinaia di account compromessi per milione di tentativi. Secondo il Ponemon Institute, il costo medio di un attacco di credential stuffing è di circa 6 milioni di dollari.
Bot di scraping
I bot di web scraping estraggono dati sui prezzi, cataloghi di prodotti e contenuti. Le piattaforme di e-commerce sono particolarmente vulnerabili: i concorrenti che fanno scraping dei prezzi in tempo reale possono ribassare i propri prezzi nel giro di pochi minuti.
Bot di frode pubblicitaria
La frode pubblicitaria è un problema da 84 miliardi di dollari secondo Juniper Research. I bot generano impression, clic e conversioni fittizie sulle campagne pubblicitarie digitali. Le operazioni sofisticate di frode pubblicitaria usano proxy residenziali e browser anti-rilevamento per far sembrare il traffico dei bot quello di utenti reali.
Bot di accaparramento delle scorte
Questi bot prendono di mira le scorte a disponibilità limitata: biglietti per concerti, prodotti in edizione limitata, prenotazioni. Il solo mercato della rivendita di sneaker genera 2 miliardi di dollari all'anno, alimentato in gran parte dall'accaparramento delle scorte guidato dai bot.
Perché i CAPTCHA non funzionano più
Risoluzione basata sull'IA. GPT-4V e modelli di IA multimodale simili possono risolvere i CAPTCHA visivi con un'accuratezza dell'85-95%.
Le CAPTCHA farm. Operatori umani risolvono i CAPTCHA per $1-3 ogni mille. Servizi come 2Captcha ne elaborano milioni al giorno.
Impatto sull'esperienza utente. Le ricerche di Google mostrano che i CAPTCHA riducono i tassi di conversione del 3-8%. Si bloccano clienti reali per fermare bot che comunque sono in grado di risolvere il CAPTCHA.
L'evoluzione della sofisticazione dei bot
Gen 1: bot HTTP semplici. Script che inviano richieste HTTP direttamente. Facilmente rilevati dai WAF.
Gen 2: browser headless. Puppeteer, Playwright e Selenium automatizzano browser reali. Rilevabili attraverso gli artefatti dei framework di automazione.
Gen 3: browser anti-rilevamento. Multilogin, GoLogin e Dolphin Anty creano ambienti browser completamente falsificati. Rilevabili tramite l'analisi delle incoerenze del canvas e le anomalie di timing.
Gen 4: bot basati sull'IA. La minaccia emergente: bot che usano il ML per imitare i pattern comportamentali umani, inclusi i movimenti del mouse, i pattern di scorrimento e la cadenza di digitazione.
L'approccio di tracio.ai
Un rilevamento efficace dei bot richiede più livelli:
Il fingerprinting del dispositivo crea ID visitatore persistenti a partire da oltre 130 segnali del browser che resistono ai cambi di VPN, alla cancellazione dei cookie e alle sessioni in incognito.
L'analisi comportamentale valuta i pattern di interazione. I bot che imitano perfettamente i movimenti del mouse producono comunque pattern rilevabili nel timing e nel jitter.
Smart Signals forniscono 24 segnali di arricchimento calcolati sul server, tra cui il rilevamento di modalità in incognito, VPN/proxy, emulatori e spoofing del canvas.
Il Verdict Engine combina tutti i segnali in un'unica decisione ALLOW, BLOCK o CHALLENGE in meno di 50ms.
Che cosa dovrebbe fare
- Misuri il suo traffico di bot. Inizi con il piano gratuito di tracio.ai e lo esegua per una settimana.
- Protegga prima gli endpoint di alto valore. Login, registrazione, checkout ed endpoint API.
- Non si affidi solo ai CAPTCHA. Usi l'intelligence dei dispositivi come livello di rilevamento primario.
- Monitori di continuo. Gli operatori di bot si adattano. Un rilevamento automatizzato che si evolve con il panorama delle minacce è essenziale.
- Quantifichi il ROI. Tenga traccia dei costi infrastrutturali, delle perdite per frode e dei miglioramenti nell'accuratezza dell'analisi.