當今的網路上除了人類之外,隨著 AI 和各種新技術的興起,自動化機器人更已經成為佔據網路流量的巨大勢力,尤其是在電商平台與購物網站方面。
根據以色列 IT 安全公司 Radware 最近公開的報告,在 2024 年的假期購物季期間,自動化機器人瀏覽電商網站的整體比例,竟然佔據總流量高達 57%,首次超越真正的人類消費者。
哄抬價格、實施詐騙,惡意機器人全年無休
所謂網路上的自動化機器人,大多是指模仿人類網路操作行為的電腦程式;有些機器人單純透過預設腳本執行任務,有些則應用了更先進的 AI 代理技術。
雖然並非所有存在於網路上的自動化機器人,全都是為了發動惡意攻擊而來,比方說搜尋引擎的網路爬蟲,通常會被企業視為無害。
然而 Radware 卻也提醒電商業者,機器人可能會遭到有心份子刻意設計,用來進行各種類型的惡意活動,包括哄抬價格、囤積庫存、實施詐騙,以及對線上零售商發動資安攻擊。
Radware 網路威脅情報主管 Ron Meyran 表示,當代的自動化機器人已經開始以 AI 為動力,因此更難遭到安全軟體與資安人員偵測,電商業者若仍然依賴過時的安全措施,將可能導致網站受到攻擊,而且其威脅並不限於如聖誕節之類的假期購物季,有心攻擊者事實上會全年無休。
惡意機器人轉由 AI 驅動,企業更難辨認
Radware 進一步指出,目前將近 60% 的自動化機器人,更偏好採取躲避安全檢測的行為策略,例如不斷輪換 IP 位址和身分,並透過「CAPTCHA 農場」由人類協助破解驗證碼,藉此模仿出更加接近人類的瀏覽行為。
在缺乏先進工具的情況下,Radware 認為,電商業者將很難識別出網路上的惡意機器人,因此唯一有效的解決方案,就是採取同樣智慧的偵測方法,例如透過 AI 打造出能夠學習、適應機器人攻擊的防禦應用。
Radware 建議,電商企業必須重新評估安全解決方案,並且在基本的傳統過濾器之外,尋找提供進階 DDoS 保護及智慧型流量監控的新手段,藉此區分出真實人類客戶和自動化機器人,降低企業遭受詐欺、收入和商譽損失的風險。
行動購物開啟新戰場,傳統防禦逐漸無效
另一方面,Radware 也觀察到行動平台正在成為人類大戰機器人的關鍵戰場。
根據報告指出,在 2023 年至 2024 年的假期購物季期間,針對行動裝置而來的惡意機器人,其活躍程度激增了 160%,至於攻擊者所慣用的手段,包含投放模仿人類 App 操作行為的模擬器,以及透過缺少圖形化介面的無頭瀏覽器存取購物網站。
此外,Radware 也警告自動化惡意機器人的流量來源,正在不斷混入民眾的日常網路流量之中,例如源自普通人家庭的攻擊流量增加了 32%,導致資安單位和電商企業,在區分機器人與真實使用者方面變得更加困難。
傳統上,電商業者通常會透過限制使用者瀏覽速度,或者設定地理區域存取圍欄等方法,阻擋自動化機器人存取旗下網站,但由於攻擊流量來源已經遭到混淆,這類防禦方式可能會於未來逐漸失效。
企業遭遇多面向攻擊,網站癱瘓損失大
只不過最讓資安專家感到憂慮的風險,其實是結合殭屍網路、傳統漏洞和 API 針對性攻擊,三者所組合而成的多面向攻擊活動。
Radware 表示,駭客發動多面向攻擊的主要目標,不只是為了抓取購物網站上的商品價格,或者駭入使用者的平台帳號,而是力圖讓網站完全下線並停止運作,對企業造成更加嚴重的損失。
隨著民眾的購物習慣不斷向網路遷移,尤其是透過智慧型手機進行的購物行為蓬勃發展,網路上的自動化惡意機器人將會導致企業付出更高的營運成本,無論是影響產品庫存或網站效能,甚至於消費者所支付的價格,皆可能遭到有心人士竄改。
對於電商企業來說,當機器人已經佔據了網站流量半數以上,正意味著經營者必須面對艱困的雙重挑戰,即如何在不影響正常消費者的情況下,阻擋那些刻意發動攻擊的惡意機器人,同時跟上攻擊者技術不斷升級的步伐。
自動化機器人對電商平台的威脅顯而易見,Radware 認為,企業的資安防禦必須跟攻擊者技術同步提升,例如為旗下平台建立專用的防護措施,才能有可能抵禦網路上日益複雜的威脅。
【推薦閱讀】
◆ 【埋伏 6 年才被發現】逾 500 家電商網站遭「供應鏈攻擊」,怎麼檢查是否被動手腳?
◆ 【RAG 能讓 AI 更安全嗎】研究顛覆認知:導入後,LLM 對有害指令有問必答
◆ 【LLM 的幻覺在作怪】AI 寫的程式碼,竟成軟體供應鏈的資安災難引爆點
◆ 【再說一次,不要付錢給駭客】教育科技公司 PowerSchool 被駭付贖金,客戶慘成韭菜被割
◆ 【真的是老闆打的電話嗎】Jericho Security 用真人級 AI 模擬釣魚,讓企業防禦「明天的攻擊」
*本文開放合作夥伴轉載,參考資料:《TechRadar》、《Scoop》,首圖來源:Pixabay
(責任編輯:鄒家彥)
