Интернет — больше не наш: больше половины трафика теперь принадлежит ботам

Интернет уже не тот. Исследование , опубликованное компанией Imperva, показало: более половины всего интернет-трафика приходится не на людей, а на ботов. Это первый случай в истории, когда автоматизированные программы начали доминировать в цифровом пространстве.

Причина всплеска — бурное развитие генеративного искусственного интеллекта. Именно такие технологии лежат в основе современных ботов, способных имитировать поведение человека, вести беседы, писать письма и выполнять автоматические действия на сайтах. Не все они безобидны: значительная часть используется с вредоносными целями.

По данным Imperva, ещё с 2016 года «плохие» боты — то есть те, что созданы для атак, кражи данных или обхода систем — начали превосходить по объёму «хороших». В 2024 году на долю вредоносных ботов пришлось 37% от всего трафика, тогда как безопасные составили лишь 14%. В то же время, год назад доля вредоносных ботов составляла 32%, что указывает на устойчивый рост угрозы.

В теории «мёртвого интернета» говорится о будущем, в котором значительная часть онлайн-жизни — это имитация, симулякры, созданные не для людей и не людьми. Сегодня мы, похоже, уже сделали первый уверенный шаг в это будущее: по данным отчёта Imperva, в 2024 году боты впервые превысили по объёму трафика живых пользователей. Согласно нашей аналитике, это действительно так. В 2024 году количество заблокированных нами запросов ботов выросло на 30% по сравнению с 2023 годом, а в первом квартале 2025 года эта цифра выросла еще более чем на 5%. В среднем в месяц мы блокировали 1,69 миллиарда таких запросов, — рассказывает Дмитрий Лошаков, менеджер продукта Curator.AntiBot .

По его словам, в профессиональной практике боты классифицируются не по «намерениям», а по реальной активности. Вредоносной она становится, когда наносит ущерб — финансовый, репутационный, технический. И в этом смысле, гораздо продуктивнее рассматривать бот-угрозы в разрезе: DDoS-атак, эксплуатации уязвимостей приложений и API (в том числе из списка OWASP Top 10), а также злоупотребления легальными функциями веб-приложений — будь то SMS-бомбинг, массовое добавление товаров в корзину или агрессивный парсинг каталога.

Сценарий атак на пользовательские аккаунты остаётся простым, но эффективным: бот перебирает украденные пароли и логины на разных сайтах, рассчитывая на повторное использование комбинаций. За год количество подобных атак выросло почти в два раза — со 190 тысяч в декабре 2023 года до 330 тысяч в декабре 2024-го. Росту способствовала и волна утечек данных, значительно расширившая арсенал злоумышленников.

В контексте DDoS-атак, подчёркивает Лошаков, не так важно, кто отправил запрос — бот или человек. Ключевое — это вред, который он наносит. Эффективная защита здесь — это оперативное определение степени нагрузки и блокировка вредоносного трафика без помех для легитимных пользователей. А когда речь идёт о массовом сканировании и эксплуатации уязвимостей, особенно API, наиболее надёжным средством остаётся качественный WAF .

Особую тревогу вызывает активность ботов в API-интерфейсах. API — это язык общения машин с машинами, и логично, что именно боты стали главными собеседниками на этом языке. Imperva фиксирует, что 44% продвинутых атак в 2024 году были направлены именно на API. И если на обычном сайте можно выставить CAPTCHA, то в API такие защиты неэффективны или вовсе невозможны. Проблема усугубляется тем, что API часто разрабатываются без учёта безопасности, особенно в условиях спешки при запуске продукта.

Отдельное внимание в отчёте уделено отраслям, наиболее страдающим от активности ботов. В 2024 году лидером стала туристическая сфера — на неё пришлось 27% вредоносного трафика, что значительно выше уровня прошлого года. Боты в этом сегменте симулируют бронирование, нарушая ценообразование и дезориентируя системы спроса. Ритейл и образование также входят в топ пострадавших отраслей.

Боты становятся всё более изощрёнными. Если раньше они просто подделывали внешний вид браузера, то теперь используют IP обычных пользователей и VPN, обходят CAPTCHA, адаптируются к защите. Особенно опасны те, кто взаимодействует напрямую с API — их поведение почти невозможно отследить стандартными средствами мониторинга.

Imperva в своём отчёте предлагает десять шагов для защиты от ботов. Большинство из них разумны, но важно понимать, что применять их нужно в комплексе. Например, блокировки по IP или региону могут задеть легитимных пользователей, а оценка паттернов и трафика требует значительных ресурсов, недоступных малому бизнесу. Ключевые рекомендации — гигиена паролей, использование MFA и постоянный пересмотр защитных механизмов. Один успешный бот-запрос может обойти всю систему, поэтому важно не только защититься, но и регулярно проверять, как именно вы защищены.

Пока боты становятся умнее и агрессивнее, пользователям остаётся сохранять цифровую гигиену и надеяться, что интернет-компании не уступят в этой гонке.