根據《2025年Imperva惡意機器人報告》,人工智慧推動了難以偵測的機器人的增加,目前這類機器人產生的流量已占全球網際網路流量的一半以上
!此為分頁標誌前台不顯示!
Imperva威脅研究團隊的最新發現顯示,針對API的攻擊大幅增加,44%的進階機器人流量都針對API。這些攻擊不僅僅侷限於使API端點不堪重負,而是針對定義API如何運行的複雜業務邏輯。攻擊者部署專門設計的機器人來利用API工作流程中的漏洞,進行自動化支付詐騙、帳戶劫持和資料竊取。
報告中的分析揭示了網路攻擊者有預謀地利用管理敏感和高價值資料的API端點的策略。這一趨勢對那些依賴API進行關鍵營運和交易的產業影響尤其重大。金融服務、醫療保健和電子商務產業首當其衝地承受著這些複雜的機器人攻擊,使它們成為試圖竊取敏感資訊的惡意行為者的主要目標。
API是現代應用程式的支柱,它實現了服務之間的連接,簡化了操作,並大規模地提供個人化的客戶體驗。它們支撐著諸如支付處理、供應鏈管理和AI驅動的分析等基本功能,對於提高效率、加快產品開發和開闢新的收入來源來說不可或缺。
Chang表示,API提供強大的的業務邏輯處理能力,但它也創造了惡意行為者可利用的獨特漏洞。隨著企業採用雲端服務架構和微服務架構,必須體認到,利用API強大邏輯處理能力的同時,也可能使它們承受更容易受到詐騙和資料外洩的風險。
《2025年Imperva惡意機器人報告》進行了深入分析,突顯了風險最高的產業。金融服務、醫療保健和電子商務是受影響最嚴重的產業,這些產業依賴API進行關鍵操作和敏感交易,這使它們成為複雜機器人攻擊的誘人目標。金融服務行業是帳戶接管(ATO)攻擊的頭號目標產業,占所有此類事件的22%,其次是電信和網際網路服務提供者(ISP),占18%,以及電腦與IT產業,占17%。長期以來,由於帳戶價值高且所涉及的資料性質敏感,金融服務行業一直是ATO攻擊的主要目標。銀行、信用卡公司和金融科技平台擁有大量的個人身分資訊(PII),包括信用卡和銀行帳戶詳細資訊,這些資訊在暗網上可以賣得高價。此外,該產業內API的日益普及擴大了攻擊面,使網路犯罪分子能夠利用諸如弱身分驗證和授權方法等漏洞,從而便於進行帳戶接管和資料竊取。
第12份年度《Imperva惡意機器人報告》依據我們的威脅研究和安全分析師服務(SAS)團隊的見解。我們的分析資料來自2024年在Imperva全球網路中蒐集的資料,包括在數千個網域和產業中攔截的13兆次惡意機器人請求。這個資料集提供了關於機器人活動的關鍵見解,以協助企業瞭解和因應不斷成長的自動化攻擊風險。