Provedores de IA generativa reescrevendo as regras do tráfego automatizado – Relatório F5

• Um novo relatório do F5 Labs descobriu que mais da metade das solicitações de páginas para conteúdo da web agora são automatizadas à medida que o uso de scrapers LLM se intensifica.
• Mais de um terço das tentativas de login no setor de tecnologia são ataques de invasão de conta.
• Saúde e hospitalidade são os setores mais visados na web; entretenimento é o mais visado em dispositivos móveis.

SEATTLE – A ascensão da IA generativa significa que os bots agora acessam alguns tipos de conteúdo da web mais do que os humanos, de acordo com uma nova pesquisa da F5.

Laboratórios F52025 Relatório de Bots Persistentes Avançados analisa 207 bilhões de transações da web e API de novembro de 2023 a setembro de 2024. Ele examina registros de clientes com defesas de bot existentes, demonstrando como os operadores de tráfego automatizado se comportam quando confrontados com contramedidas.

O relatório conclui que 50,04% das solicitações de páginas para conteúdo¹ eram de fontes automatizadas, em comparação com 22,3% das solicitações de pesquisa na web e 21,5% das transações de Adicionar ao carrinho. Isso sugere um crescimento significativo no tipo de web scrapers usados por provedores de LLM, como OpenAI, Anthropic e Perplexity, e a persistência desses bots em continuar enviando solicitações quando bloqueados. 

No total, 21,22 bilhões das transações monitoradas (10,2%) vieram de uma variedade de fontes automatizadas, algumas delas benignas, mas com 10 bilhões (4,8%) consistindo de tráfego de bots maliciosos.

“Por anos, o tráfego de bots foi direcionado principalmente aos fluxos de pesquisa, bem como aos aspectos da jornada do usuário em que alguém se inscreve ou faz login para usar um serviço, adiciona um item à cesta, finaliza a compra ou tenta alterar sua senha”, disse David Warburton, diretor da F5 Labs . “O enorme aumento na extração de conteúdo, indubitavelmente associado à explosão de IA generativa e LLMs, ressalta o quão dinâmico é o tráfego de bots e a necessidade de as organizações estarem constantemente atentas às mudanças nos padrões de ataque.”

Os bots estão mais fáceis, mas não para todos

Os padrões e a prevalência do tráfego de bots variaram de acordo com o setor. Os setores mais visados na web foram hospitalidade (44,6% do tráfego de bots), saúde (32,6%) e comércio eletrônico (22,7%). 

No celular, o entretenimento (23%) foi de longe o setor mais visado, bem à frente do comércio eletrônico (4,5%) e do QSR (4,2%). 

Vários setores ainda enfrentam altos níveis de ataques de credential stuffing que buscam assumir o controle de contas de usuários. Na web, mais de um terço das tentativas de login de empresas do setor de tecnologia foram tentativas de invasão de contas (33,5%), à frente do varejo em geral (25,7%) e jogos (19,6%). Em dispositivos móveis, esses ataques foram mais prevalentes contra empresas de entretenimento (24,7%) e provedores de comércio eletrônico (23,8%).

A sofisticação dos ataques também variou de acordo com o setor. A grande maioria do tráfego automatizado direcionado à saúde, tanto na web quanto em dispositivos móveis, foi classificado como "básico". Outras indústrias experimentaram níveis relativamente altos de tráfego mais sofisticado considerado "avançado" — os três principais na web são o varejo em geral, os bancos e as companhias aéreas. 

Apesar dos altos níveis de tráfego de bots, a maioria dos setores monitorados experimentou um declínio na atividade automatizada em comparação a 2023, sugerindo que os controles de bots em vigor estavam tendo o efeito desejado.

Os casos atípicos foram a hospitalidade na web, que aumentou 18,3%, e o QSR na web, que cresceu 11,2%. Embora tenha registrado uma parcela muito maior de tráfego de bots em dispositivos móveis do que qualquer outro setor, o setor de entretenimento ainda registrou uma queda de 11,5% em relação a 2023.

“Certos setores são alvos constantes de tráfego de bots indesejados”, acrescentou Warburton. “O setor de hospitalidade tem altos volumes porque os agregadores querem coletar dados de disponibilidade e tarifas de quartos de hotéis, ou agentes mal-intencionados estão tentando roubar pontos de fidelidade. Da mesma forma, provedores de comércio eletrônico são alvos de revendedores e bots treinados para explorar detalhes de vouchers e cartões-presente.”

A partir dos dados, fica claro que certos setores se adaptaram ao longo do tempo: setores amplamente visados, como companhias aéreas e serviços financeiros, construíram defesas para frustrar invasores menos sofisticados, o que significa que agora devem lidar com uma proporção maior de tráfego de operadores mais avançados e altamente persistentes. 

Mitigação: uma faca de dois gumes?

O relatório também avaliou o impacto da dissuasão no tráfego de bots, comparando as experiências de clientes que estavam monitorando o tráfego automatizado com aqueles que o estavam mitigando.

No celular, a tendência era clara e esperada. As organizações que mitigam o tráfego observaram uma parcela significativamente menor de atividade automatizada em seu tráfego de pesquisa (0,9% em comparação com 24,8% para aquelas que apenas monitoram), um padrão correspondido em Login (5% para mitigadores em comparação com 21,7% para aquelas que monitoram) e Inscrição (2,4% em comparação com 21,7%).

Na web a história foi diferente. Na maioria dos fluxos de trabalho, o tráfego automatizado foi maior para organizações que estavam ativamente mitigando bots. Esses clientes viram 20,9% de tráfego automatizado na Pesquisa, contra 14,9% daqueles que simplesmente monitoraram, e a equação foi a mesma em Adicionar ao carrinho (19,2% vs. 18,2%), Checkout (8,6% vs. 7,4%) e Recuperação de Conta (6,6% vs. 4,6%). 

“Normalmente, esperamos que a mitigação leve a um declínio no tráfego de bots, à medida que os operadores bloqueados seguem em busca de alvos mais fracos”, disse Warburton. “No entanto, agora existem modelos de negócios inteiros construídos em torno da coleta de dados, preços e propriedade intelectual: esses operadores não vão desistir facilmente quando forem dissuadidos. Um aumento no tráfego pode significar que esses atores estão se esforçando mais e de mais maneiras — não necessariamente que estão tendo sucesso. A tendência consistente desta pesquisa e de toda a nossa experiência na F5 é que a mitigação funciona e a dissuasão faz a diferença.”

[1] Definido como solicitações de páginas que exibem um produto, item, preço ou serviço. ‘Conteúdo’ foi um dos 17 fluxos avaliados no relatório, com outros como: ‘Pesquisar’, ‘Adicionar ao carrinho’, ‘Cotações’ (para seguros, etc.), ‘Inscrever-se’, ‘Transacionar’, ‘Login’, ‘Gerenciamento de conta’, ‘Classificações’ e ‘Finalizar compra’.