Os bots estão burlando suas defesas? 3 tendências contra as quais se proteger
No cenário digital atual, onde applications e APIs são a força vital dos negócios, uma ameaça silenciosa espreita: adversários bot sofisticados. Enquanto as medidas de segurança tradicionais se concentram em evitar ataques maliciosos, ameaças automatizadas estão passando despercebidas, imitando o comportamento humano e explorando lacunas na lógica do application de maneiras inesperadas.
O Relatório de Bots Persistentes Avançados de 2025, lançado recentemente pela F5 Labs, esclarece as táticas em evolução dos bots persistentes avançados e os desafios que eles representam. Embora você queira ler o relatório completo, aqui estão três tendências que se destacaram para mim na pesquisa deste ano e o que as empresas podem fazer para se proteger.
1. Credential stuffing: Quando senhas roubadas expõem dados valiosos
Imagine um cenário em que criminosos cibernéticos usam credenciais roubadas facilmente disponíveis para acessar contas de usuários confidenciais. Essa é a realidade do credential stuffing, um ataque comum conduzido por bots que explora a prática generalizada de reutilização de senhas. De acordo com o F5 Labs, algumas organizações enfrentam mais de 80% de tráfego de login proveniente de ataques de credential stuffing lançados por bots. O relatório destaca que, mesmo com uma baixa taxa de sucesso de 1% a 3% por campanha de ataque, o grande volume de logins automatizados se traduz em um número substancial de contas comprometidas.
Incidentes como a violação do PayPal em 2022, onde quase 35.000 contas de usuários foram acessadas para expor informações pessoais altamente monetizáveis , fornecem enormes bancos de dados de nomes de usuários e senhas para uso malicioso em outros serviços online. Como muitas pessoas reutilizam senhas, mesmo uma pequena taxa de sucesso pode gerar um sucesso significativo. Esses detalhes podem ser usados para transações fraudulentas ou roubo de dados, ou vendidos na dark web para ataques direcionados.
Nos últimos anos, diversas marcas conhecidas relataram ataques de credential stuffing . O declínio da empresa de testes genéticos 23andMe foi, em parte, atribuído a uma campanha de credential stuffing que expôs informações de saúde e ancestralidade dos clientes. Dados foram encontrados à venda na dark web por um preço de US$ 1.000 por 100 perfis, até US$ 100.000 por 100.000 perfis.
A empresa citou a falta de adoção da opção de autenticação multifator (MFA) do site pelos clientes como a principal falha, mas, na verdade, a natureza insidiosa do credential stuffing está na sua capacidade de contornar as medidas de segurança tradicionais. Como os bots usam credenciais legítimas e não tentam explorar nenhuma vulnerabilidade, eles não disparam alarmes típicos. O MFA pode ajudar, mas, devido ao aumento de proxies de phishing em tempo real (RTPP), ele não é infalível. As organizações devem implementar soluções inteligentes de detecção de bots que analisem padrões de login, impressões digitais de dispositivos e anomalias comportamentais para ver o que realmente está acontecendo.
2. Hospitalidade sob cerco: Robôs de vale-presente e a ascensão do "carding"
Embora os setores financeiro e varejista sejam frequentemente considerados os principais alvos de ataques cibernéticos, a pesquisa do F5 Labs mostrou que o setor de hospitalidade é fortemente alvo de atividades de bots maliciosos. Em particular, descobriu-se que bots de "carding" e vale-presentes têm como alvo sites de hospitalidade e APIs, com algumas organizações experimentando um aumento de 300% na atividade de bots maliciosos em comparação ao ano passado. O relatório também observa que o valor médio dos cartões-presente alvos dos bots está aumentando.
A Carding usa bots para validar números de cartão de crédito roubados, testando-os rapidamente em páginas de checkout e APIs. Os bots de vale-presente exploram programas de fidelidade e sistemas de vale-presente. Os invasores os usam para verificar saldos, transferir pontos ou resgatar recompensas ilegalmente. Esses bots geralmente têm como alvo vulnerabilidades como padrões simples e IDs sequenciais de vales-presente.
A vulnerabilidade do setor de hospitalidade decorre do fato de que pontos de fidelidade e cartões-presente são essencialmente moedas digitais. Os criminosos cibernéticos podem facilmente converter esses ativos em dinheiro ou usá-los para comprar bens e serviços.
Para se protegerem, os negócios de hospitalidade devem implementar estratégias robustas de detecção e mitigação de bots, adaptadas especificamente para lidar com esses tipos de ameaças. Isso inclui monitorar a atividade do vale-presente, analisar padrões de transação e implementar soluções que possam diferenciar entre humanos e bots. Os CATPCHAs, que antes eram a solução preferida para bloquear bots, foram facilmente ignorados pelos operadores de bots durante anos, como veremos a seguir.
3. Ignorando os guardiões: Proxies residenciais e a futilidade dos CAPTCHAs
Defesas tradicionais de bots, como CAPTCHAs e bloqueio de IP, estão falhando diante de táticas de evasão cada vez mais sofisticadas. Os operadores de bots podem facilmente terceirizar a resolução de CAPTCHA para fazendas de cliques humanos, onde indivíduos recebem pequenas quantias para resolver desafios sob demanda.
Além disso, o aumento das redes de proxy residenciais é um fator significativo. Essas redes roteiam o tráfego de bots por meio de IPs residenciais por meio de dispositivos comprometidos, mascarando os verdadeiros endereços IP dos bots. O relatório do F5 Labs sugere que proxies residenciais agora são amplamente utilizados por operadores de bots, e a maior parte do tráfego de bots agora parece se originar dessas redes.
O fornecedor de gerenciamento de identidade, Okta, destacou o papel da ampla disponibilidade de serviços de proxy residencial em uma onda de ataques de credential stuffing contra seus usuários no ano passado. A empresa disse que milhões de solicitações falsas foram roteadas por proxies residenciais para fazer com que parecessem originárias de dispositivos móveis e navegadores de usuários comuns, em vez do espaço IP de provedores de servidores virtuais privados (VPS).
Para combater efetivamente essas técnicas avançadas de evasão, as organizações precisam ir além das defesas tradicionais e adotar soluções de bots inteligentes. Essas soluções aproveitam o aprendizado de máquina e a análise comportamental para identificar bots com base em suas características únicas. Ao se concentrar no comportamento humano, em vez de depender de endereços IP ou CAPTCHAs, as organizações podem detectar e bloquear ataques de bots sofisticados com mais precisão.
Navegando pelo cenário de riscos: Encontrando o ponto ideal para a defesa do seu bot
Em última análise, o nível de defesa contra bots que uma organização implementa depende de seu apetite ao risco. Cada empresa deve ponderar os potenciais custos e benefícios de diferentes estratégias de mitigação e determinar o nível de risco que está disposta a aceitar.
Eliminar completamente todo o tráfego de bots pode não ser viável — ou mesmo desejável, já que algumas atividades automatizadas são legítimas e benéficas. No entanto, não abordar a atividade maliciosa de bots pode levar a perdas financeiras significativas, danos à reputação e frustração do cliente.
O segredo é encontrar o equilíbrio certo. Ao entender os diferentes tipos de bots que têm como alvo sua organização, avaliar o impacto potencial de suas atividades e implementar medidas adequadas de detecção e mitigação, você pode gerenciar efetivamente o risco de bots e proteger sua empresa — e seus clientes — de ameaças avançadas e persistentes de bots.
Para saber mais, leia o relatório completo aqui . Visite também nossa página sobre F5 Distributed Cloud Bot Defense .