Il traffico malevolo generato dai bot non è più un problema marginale. Negli ultimi anni questi strumenti, spesso indistinguibili dagli utenti reali, si sono evoluti al punto da sfruttare lacune logiche delle applicazioni, aggirare controlli di sicurezza e compromettere dati sensibili. Il nuovo rapporto “Advanced Persistent Bots 2025” di F5 Labs mette in evidenza una tendenza preoccupante: il numero e la complessità degli attacchi automatizzati sono in forte aumento e le difese tradizionali non bastano più.
Credential stuffing: il punto debole delle password riutilizzate
Molti utenti continuano a usare le stesse credenziali su più servizi. Questa abitudine, unita alla disponibilità di enormi database di login rubati, alimenta il fenomeno del credential stuffing. I bot provano in modo massivo username e password già compromessi, riuscendo a ottenere accessi non autorizzati anche con un tasso di successo ridotto. È una strategia a basso costo ma ad alto impatto: bastano poche percentuali di login riusciti per compromettere migliaia di account.
L’esempio di PayPal nel 2022, con oltre 35.000 profili violati, dimostra quanto sia efficace questa tecnica. Anche piattaforme come 23andMe hanno visto trafugare dati sanitari e genealogici, rivenduti poi sul dark web. La sola autenticazione a più fattori non basta più, perché strumenti come i proxy di phishing in tempo reale riescono a intercettare i codici MFA. Servono soluzioni di rilevamento avanzate, basate su analisi comportamentali e impronte digitali dei dispositivi.
Settore hospitality nel mirino di carding e gift card bot
Non solo banche e e-commerce: il comparto hospitality è sempre più bersagliato da bot specializzati nel “carding”, ossia nella verifica massiva di numeri di carte di credito rubate. Allo stesso tempo, i gift card bot mirano ai programmi fedeltà per sfruttare saldi, punti o voucher come fossero contanti digitali. In alcuni casi, gli attacchi sono cresciuti del 300% in un anno, rendendo questo settore un obiettivo ad alta redditività per il cybercrime.
Per difendersi, non bastano più soluzioni di base come i CAPTCHA, facilmente superati da bot che simulano comportamenti umani o da click farm. Monitoraggio costante, analisi dei pattern di transazione e sistemi di bot management dedicati sono ormai indispensabili.
Proxy residenziali: l’arma per aggirare IP e geolocalizzazione
Uno dei fattori che rende i bot quasi invisibili è l’uso dei proxy residenziali, ossia reti di dispositivi compromessi che forniscono indirizzi IP “puliti”, indistinguibili da quelli degli utenti legittimi. Questo espediente ha permesso a molti attacchi di credential stuffing di passare inosservati. Okta, leader nella gestione delle identità digitali, ha denunciato milioni di tentativi di accesso fraudolenti mascherati da traffico normale, provenienti proprio da reti proxy.
Per contrastare questo fenomeno, le aziende devono puntare su sistemi di rilevamento basati su machine learning, in grado di analizzare tempi di interazione, movimenti del mouse o pattern di digitazione per smascherare i bot avanzati.
Gestire il rischio senza bloccare il traffico legittimo
Un errore comune è cercare di eliminare del tutto i bot. Alcune attività automatizzate sono infatti utili, come quelle legate all’indicizzazione dei motori di ricerca. Tuttavia, ignorare il traffico malevolo significa esporsi a frodi, perdite economiche e danni d’immagine. Il vero obiettivo è raggiungere un equilibrio, separando il traffico lecito da quello dannoso attraverso strategie di rilevamento mirate. Le aziende che comprendono la natura evolutiva di questi attacchi e adottano sistemi intelligenti di mitigazione saranno in grado di proteggere utenti e dati, limitando i rischi di una minaccia sempre più sofisticata.
