Stando a "Gestire i profitti: l'impatto dei Web Scrapers sull'e-commerce" di Akamai, i bot sono un serio problema per l'e-commerce: essi compongono il 42% del traffico web e il 65% di essi è dannoso.
Stando al report, il settore dell'e-commerce è stato il più colpito dal traffico di bot ad alto rischio. Anche se alcuni tipi di bot sono vantaggiosi per le imprese, in molti casi i web scraper vengono usati per attività come l'intelligence o lo spionaggio, per appropriarsi dell'inventario, per creare siti falsi e per altri attacchi che hanno impatti negativi sul fatturato.
Al momento, spiega Akamai, non ci sono leggi che vietano l'uso dei bot scraper e, a causa dell'aumento delle botnet basate su IA, sono difficili da individuare.
"I bot continuano a presentare sfide enormi che comportano molteplici problemi per i proprietari di App e API" ha dichiarato Patrick Sullivan, CTO, Security Strategy di Akamai. "Lo scraping, ad esempio, è in grado di sottrarre dati web e di replicare siti falsi simili a quelli dei brand. Il panorama degli scraper sta cambiando anche in funzione delle costanti innovazioni (tra cui la tecnologia dei browser headless) che spingono le aziende ad adottare un approccio alla gestione di questo tipo di bot più sofisticato rispetto ad altre mitigazioni basate su JavaScript".
Dal report emerge inoltre che le botnet basate su IA sono in grado di rilevare ed esfiltrare dati e contenuti non strutturati in molteplici formati e posizioni; inoltre, utilizzando la business intelligence, riescono a migliorare il processo decisionale attraverso la raccolta, l'estrazione e l'elaborazione dei dati.
I bot scraper possono essere usati per generare campagne di phishing più sofisticate, catturando immagini, descrizioni e informazioni sui prezzi dei prodotti per poi creare siti di e-commerce o phishing contraffatti.
I bot vengono inoltre utilizzati per facilitare la creazione di nuovi account; queste operazioni rappresentano fino al 50% delle perdite dovute alle frodi.
Lo scraping, sia esso "buono" o cattivo, impatta notevolmente sulle aziende: le performance dei siti web peggiorano e gli attacchi implicano la manipolazione delle metriche dei siti, credenziali compromesse, aumento dei costi di elaborazione e molto altro.
Proteggersi dai bot
I bot scraper non sono semplici da individuare e contrastare, ma esistono delle azioni e soluzioni che aiutano a mitigare le conseguenze legate alle loro attività.
Le soluzioni di bot management possono individuare anomalie negli header HTTP, l'uso di vecchie versioni di HTTP e differenziare le richieste che provengono da migliaia di servizi cloud per segnalare attività sospette e bloccare il traffico dei bot.
Nel caso di scraper più avanzati, però, questi accorgimenti non bastano; in questo caso bisogna controllare se il set di header delle richieste è identico a quello di un browser legittimo, se le richieste sono in HTTP v2 e se provengono da migliaia di indirizzi IP residenziali e mobili.
Le imprese dovrebbero inoltre affidarsi a tool specifici contro lo scraping, come i content protector che utilizzano il machine learning per identificare gli scraper e fermarli. Analizzando il comportamento degli utenti, questi strumenti riescono a differenziarlo da quello dei bot e bloccare il traffico sospetto, proteggendo il contenuto dei siti web.
"I bot stanno colpendo i vostri siti in un volume sempre maggiore ed è importante ottimizzare i bot utili, mitigare quelli dannosi e garantire basso attrito nell'esperienza complessiva del cliente. Si tratta di un problema di sicurezza con impatti di business" sottolinea Akamai.
"Prevediamo un aumento dell'uso, delle scelte del livello di servizio e dei tipi di bot di scraper web disponibili. Pertanto, è necessario valutare costantemente la posizione di rischio della vostra azienda e determinare se gli attuali controlli di sicurezza soddisfano la propensione al rischio della vostra leadership".