驚人新研究:機器人、詐欺等惡意用途,竟占全球網路 73% 流量
Originally published at https://www-inside-com-tw.cdn.ampproject.org.
專門研究自動攻擊、使用者個資的資安組織 Arkose Labs 最近發表一份新報告 ,發現 2023 Q3 全球網路流量居然有 73% 用於惡意用途!
73% 這數字乍聽下有點誇張,不過報告指出得力於 AI 等工具進步,惡意攻擊相比之前容易許多,而且其計算方式不是只有實質造成財產損失的詐騙事件,「惡意爬蟲」也算在內。像在線上旅遊、住宿業,就有 76% 流量是惡意機器人針對網站、app 抓取價格、可用性和評論,而在網路業也有 71% 流量是惡意機器人是來爬產品資訊、評論和價格。
這份報告名為《Breaking (Bad) Bots: Bot Abuse Analysis and Other Fraud Benchmarks》,首先將攻擊類型分為三類:基本型機器人、智慧型機器人和人工欺詐農場。基本型機器人是執行重複任務的簡單腳本,例如爬蟲、點擊鏈接等等;而智慧型機器人人更先進,可以模仿人類行為,例如滾動頁面、輸入資訊或移動滑鼠游標。人工詐騙農場顧名思義,則是真人所組成的大規模詐騙團體,專門執行例如創假帳號等需要手動執行的詐騙活動。
報告發現,前兩類的機器人攻擊在上半年增加了 167%,其中智慧型機器人攻擊更驚人,一口氣成長 291%!這些智慧型機器人能夠進行讀取網頁資訊上下文並產生類似真實的互動方式,有效繞過資安措施欺騙使用者。且這些詐騙者一旦見機器人攻擊無效,就會轉到人工詐騙農場進行,
新「商模」:CaaS(網路犯罪即服務)
這份報告還強調有兩種趨勢正在快速成長中,一是生成式 AI 所帶來的資安事件,二是網路犯罪即服務(CaaS)正在快速成型。
前者相對容易理解,就是使用生成式 AI 寫出破綻更少的釣魚電子郵件,或是模擬真人在約會 App 上騙財等等,此外報告還發現已經真的有惡意攻擊者大量用爬蟲抓取數據,幫助他們訓練出詐騙專用的生成式 AI 模型。
後者則是可以理解成惡意版的 SaaS(軟體即服務),簡單來說就是直接開放、或租用網路犯罪工具給第三者使用,甚至這些 CaaS 官方還可以為客戶提供培訓、客服,就跟真的 SaaS 一模一樣。這麼做也等於大幅降低網路犯罪的門檻,讓有心人士甚至不需要高深的程式技能就能從事網路犯罪。
Arkose Labs 的發言人表示,現在國際型犯罪組織已經很習慣把網路犯罪當成其他重大犯罪的「前奏曲」,當他們準備進行毒品交易洗錢、運送武器或人口販賣,需要初期成本時就會選擇網路犯罪「籌錢」。而且 CaaS 本身也讓網路犯罪快速專業化,更多網路攻擊者從原先詐騙一般大眾轉向攻擊企業,這樣不僅單價更便宜、同時「利潤」也更好。
核稿編輯:Mia
Originally published at https://www-inside-com-tw.cdn.ampproject.org.
