De de acordo com mapeamento da Imperva, ataques automatizados foram responsáveis por 30% das ameaças à Interfaces de Programação de Aplicações (APIs) em 2023. O estudo mostra que, entre os incidentes, 17% foram gerados pelos bad bots, que são robôs mal-intencionados que interagem com websites, aplicativos mobile e APIs de organizações como se fossem usuários legítimos. Fazem isso após explorarem vulnerabilidades no design ou na implementação do ambiente, o que lhes permite manipular funcionalidades e acessar dados confidenciais e sensíveis.
Dados de pesquisa mostram que os atacantes têm se mostrado propensos a invadir prioritariamente as operações de cinco setores: serviços financeiros, negócios, viagem, computação & TI e telecomunicações & ISPs.
“É com o uso de bad bots que os atacantes têm conseguido passar por dentro das APIs, que hoje representam 71% das atividades na web, conforme estimativa da Imperva. Então, sobrecarregam redes, interrompem operações ou violam dados”, conta Marcelo Cardoso Alves de Souza, líder da área de arquitetura de soluções da NovaRed.
O gestor da área reforça que os bad bots têm alta capacidade de se passar por um usuário legítimo, o que facilita a tentativa da ameaça de explorar as vulnerabilidades da lógica dos negócios por meio de ataques como:
- Web Scraping – o bot malicioso faz a varredura de websites, furta informações importantes, sensíveis e confidenciais, aloca esses dados em um site fraudulento para que mecanismos de buscas indexem essa página em destaque, atraindo usuários para golpes de phishing;
- DDoS – também conhecido como Ataque Distribuído de Negação de Serviço, consiste no direcionamento de um alto volume de requisições a um website para torná-lo indisponível;
- Ataques de tomada de conta (ATO) – quando bad bots, por meio de dados roubados, força bruta e preenchimento de credenciais, assume uma conta bancária;
- Comment Spam – é a ação de inserir conteúdos incorretos e não solicitados em um formulário legítimo de um site; e
- Spamdexing – ação que altera a relevância de um site diante da avaliação dos mecanismos de busca.
O executivo defende que, quando o assunto são bad bots, a proatividade é a melhor estratégia para garantir a disponibilidade, a integridade, o desempenho e a confiabilidade do ambiente digital.
“É ótimo acompanhar a evolução da tecnologia como uma propulsora da melhora das operações nas empresas e da experiência de colaboradores e clientes que utilizam os ambientes digitais das marcas. Mas não podemos esquecer que, quanto mais digitais nos tornamos, maior é a superfície de ataque. Isso exige que, dentro das organizações, a cibersegurança seja vista como investimento vital para a continuidade do negócio e não como um gasto”, finaliza o especialista.
Siga boas práticas para lidar com Bad Bots
- Mapeamento do comportamento padrão das APIs, seguido de acompanhamento desse desempenho, com planos de ação para picos de tráfego não esperado;
- Entendimento que gerenciamento de bot e segurança de API devem ser ações importantes e complementares;
- Capacitação e treinamento das equipes de TI e SI quanto a ameaças e vulnerabilidades;
- Elaboração de um plano robusto de ação para mitigar, conter, remediar e eliminar bots maliciosos;
- Mecanismos com regras rígidas de autenticação no acesso à API;
- Inventário permanente de APIs, endpoints, parâmetros e payloads;
- Gerenciamento seguro de credenciais e tokens;
- Desenvolvimento de uma cultura preventiva para mitigar os riscos das Shadow APIs, ou seja, Interfaces de Programação de Aplicações implementadas sem o conhecimento e a supervisão das equipes de TI e SI da empresa;