Kötü Bot Raporu 2025: Yapay Zeka Çağında Dijital İşletmeler İçin Görünmez Risk

Otomatik Trafik İnsan Faaliyetini Geride Bıraktı

Son on yıl içinde ilk kez, 2024 yılında internet trafiğinin yarısından fazlası, yani yüzde 51’i otomatik trafikten oluştu. İnsan faaliyetleri ise tüm trafiğin yüzde 49’unda kalmış durumda. Bu dramatik değişimin temel nedeni, bot oluşturmayı ve dağıtmayı daha erişilebilir ve ölçeklenebilir hale getiren büyük dil modellerinin (LLM) ve yapay zekanın hızla benimsenmesi.

Kötü bot faaliyetleri üst üste altıncı yıldır yükselişini sürdürmekte. 2024 yılında, kötü amaçlı botlar tüm internet trafiğinin yüzde 37’sini teşkil etmiş; bu oran, 2023’teki yüzde 32’lik orana kıyasla keskin bir artışı temsil etmekte. Geri kalan trafik yüzde 14 oranında iyi botlardan gelmekte. Bu yükseliş, 2015’ten bu yana kötü bot trafiğindeki istikrarlı büyümeyi (2015’te yüzde 19 idi) pekiştirmekte. Hatta bu makalede baz aldığımız kaynak Imperva, 2024 yılında 13 trilyon bot isteğini engellediğini ifade ediyor.

Bot Saldırısı Karmaşıklığındaki Eğilimler

Saldırganlar, insan trafiğini taklit etmek ve tespit edilmekten kaçınmak için sürekli olarak daha karmaşık teknikler kullanmakta. 2024’te, gelişmiş ve orta düzeydeki bot saldırıları, tüm bot saldırılarının yüzde 55’ini oluşturmuş durumda. Ancak, bot saldırısı karmaşıklığının dinamiklerinde önemli bir değişim gözlemlenmiş. Basit, yüksek hacimli bot saldırıları önemli ölçüde artarak, 2023’teki yüzde 40’tan yüzde 45’e yükselmiş durumda. Bu artış, teknik uzmanlığı daha az olan saldırganların bile kolayca bot saldırıları başlatmasını mümkün kılan yapay zeka destekli otomasyon araçlarının erişilebilirliğine bağlanmakta.

Yapay Zekanın (AI) Yükselişi ve Saldırılara Etkisi

Erişilebilir yapay zeka araçlarının ortaya çıkması, siber saldırganlar için giriş engelini önemli ölçüde düşürdü. Üretken yapay zeka, bot geliştirmeyi basitleştirdikçe, otomatik tehditler daha sofistike, tespitten kaçınan ve yaygın hale gelmekte. Saldırganlar artık sadece bot üretmek için değil, aynı zamanda başarısız girişimleri analiz edip, tespit mekanizmalarını aşmak için tekniklerini daha yüksek verimlilikle iyileştirmek amacıyla da yapay zekayı kullanmaktalar.

Imperva, 2024 yılında günde ortalama 2 milyon AI destekli siber saldırıyı engellemiş. Analiz edilen AI araçları arasında:

• ByteSpider Bot, tüm AI destekli saldırıların yüzde 54’ünden sorumlu.
• Onu, yüzde 26 ile AppleBot ve yüzde 13 ile ClaudeBot takip etti.

ByteSpider’ın bu kadar baskın olmasının nedeni, meşru bir web tarayıcısı olarak geniş çapta tanınması ve bu sayede siber suçluların tespit edilmemek için kimliğine bürünmeyi tercih etmesi. 2024’te, kötü botlar AI destekli saldırıların yüzde 16’sını oluştururken, bu oran iş mantığı saldırılarıyla birleştiğinde (otomasyon kullanarak gizli keşif için), yüzde 41’e yükselmekte.

API İş Mantığı İstismarı Saldırıların Yeni Cephesi

Dijital dönüşüm ve yapay zeka destekli otomasyon sayesinde işletmelerin API’lara olan bağımlılığı artmakta; API’lar modern uygulamaların omurgasını oluşturuyor. Ancak bu durum, API’ları kötü botlar için cazip bir hedef haline getirmiş durumda. 2024’te, ileri düzey bot trafiğinin yüzde 44’ü API’ları hedef aldı, oysa web uygulamalarını hedefleyen ileri düzey bot trafiği yalnızca %10. Bu, saldırganların yüksek değerli ve hassas verileri işleyen API uç noktalarına kasıtlı bir kayma yaptığını göstermekte. Saldırganlar, ödeme sahtekarlığını, hesap ele geçirmeyi ve veri sızdırmayı otomatikleştirmek için API iş akışlarındaki güvenlik açıklarını hedef almaktalar. Geleneksel güvenlik önlemleri, her kuruluşa özgü olan API iş mantığına dayandığından, genellikle yetersiz kalıyor.

En Çok Hedef Alınan API Uç Noktaları ve Teknikleri:

Botlar stratejik olarak en kritik API uç noktalarını hedeflemekte:

• Veri Erişim Uç Noktaları: Saldırıların yaklaşık yüzde 37’si. Saldırganlar, hassas veya tescilli bilgileri kazımayı ve sızdırmayı amaçlar.
• Ödeme Uç Noktaları: Saldırıların yaklaşık yüzde 32’si. Finansal işlemleri manipüle etmek ve sahtekarlık yapmak için hedeflenir.
• Kimlik Doğrulama Uç Noktaları: Saldırıların yüzde 16’sı. Çok faktörlü kimlik doğrulamayı (MFA) atlama ve oturum manipülasyonu için kullanılır.

API saldırı teknikleri arasında en yaygın olanları: Veri Kazıma (yaklaşık %31), Ödeme Sahtekarlığı (yaklaşık %26), Hesap Ele Geçirme (ATO) (yaklaşık %12) ve Stokçuluk (Scalping) (yaklaşık %11) yer almakta.

Hesap Ele Geçirme (ATO) Saldırılarındaki Dramatik Artış

Hesap Ele Geçirme (ATO) saldırılarının sayısı, yapay zeka destekli kimlik bilgisi doldurma (credential stuffing) ve kaba kuvvet saldırılarının otomasyonu sayesinde önemli ölçüde artmıştır. ATO saldırıları, geçen yıla göre yüzde 40, 2022’den bu yana ise yüzde 54 oranında yükseldi. E-ticaret sezonu ve büyük veri ihlallerinin artması, yılın ikinci yarısında (özellikle Eylül, Ekim ve Kasım aylarında yüzde 79’luk büyüme) ATO girişimlerinde keskin bir artışa katkıda bulundu.

ATO Saldırılarında En Çok Hedef Alınan Sektörler:

1. Finansal Hizmetler: %22. Hesapların yüksek değeri ve hassas Kişisel Tanımlayıcı Bilgilerin (PII) varlığı nedeniyle.
2. Telekom ve İSS’ler: %18. Finansal kazancın yanı sıra, ele geçirilen hesaplar trafik gözetimi veya kritik altyapıyı bozma amacıyla kullanılabilir.
3. Bilgi İşlem ve BT: %17.

Botlardan Kaçınma Taktikleri

Kötü botlar, insan davranışını taklit etme ve tespit edilmeme konusunda giderek daha ustalaşmaktadır.

• İkametgah Vekil Sunucuları (Residential Proxies): Gelişmiş saldırganların birincil kaçınma taktiğidir. İnternet servis sağlayıcıları (İSS) kullanan tüm bot saldırılarının yüzde 21’i ikametgah vekil sunucuları aracılığıyla gerçekleştirilmiştir, bu da yasal bir yerleşim adresinden gelen trafiği taklit ederek tespiti zorlaştırmaktadır.
• Tarayıcı Kimliğine Bürünme: Bu artık standart bir kaçınma yaklaşımı haline gelmiştir. Saldırganlar on yıldır olduğu gibi, dünya çapında en popüler tarayıcı olan Chrome’u taklit etmeyi tercih etmektedir. 2024’te tüm kötü bot saldırılarının yüzde 46’sı Chrome’u taklit etmiştir.
• Kafa Olmayan Tarayıcılar (Headless Browsers): Puppeteer ve Selenium gibi araçlar, yapay zeka ile geliştirilerek insan gibi etkileşim kurma yeteneği kazanır.
• Polimorfik Botlar: Tespitten kaçınmak için özelliklerini dinamik olarak değiştiren, kendi kendine öğrenen botlardır.

Sektörel ve Küresel Tehdit Manzarası

2024’te küresel olarak en çok hedef alınan ülke, tüm bot saldırılarının yüzde 53’ünü oluşturan Amerika Birleşik Devletleri olmaya devam etti. Bunun nedeni, ülkenin dünyanın en büyük çevrimiçi ekonomisine ve yüksek konsantrasyonda finans kurumlarına ev sahipliği yapması. Sektörel bazda ise seyahat sektörü, tüm kötü bot saldırılarının yüzde 27’sini oluşturarak en çok hedef alınan sektör haline geldi. Seyahat sektörüne yönelik bot saldırıları, Ocak 2022’den Aralık 2024’e kadar yüzde 280 oranında arttı. Bu sektördeki temel tehditler arasında Look-to-Book Oranı Çarpıtma, Koltuk Çevirme ve Sadakat Programı Sahtekarlığı yer almakta.

• Perakende: En çok saldırıya uğrayan ikinci sektör olup, tüm bot saldırılarının yüzde 15’ini oluşturmakta. Perakende sitelerine gelen web trafiğinin yüzde 33’ü kötü botlardan kaynaklanmıştır.
• Eğitim: En çok hedef alınan üçüncü sektör haline gelmiştir (yüzde 11). Eğitim, yüzde 92 ile en yüksek basit bot saldırı oranına sahiptir; bu da GPT araçlarına erişimi olan, daha az sofistike saldırganların (muhtemelen öğrencilerin) saldırı başlatma olasılığını göstermekte.
• Gıda ve Marketler: Bu sektörde bot trafiği yüzde 31 olmasına rağmen, saldırıların yüzde 73’ü ileri düzeyde, bu da sektörün karmaşık bir bot problemiyle karşı karşıya olduğunu gösterir.

İşletmeler İçin Öneriler

Tehdit ortamı sürekli değişirken, işletmelerin botlara karşı koruma sağlamak için katmanlı ve proaktif bir strateji benimsemeleri gerekmektedir:

1. Risk Tanımlaması ve Hazırlık: Botların ilgisini çeken potansiyel riskli işlevleri ve alanları (giriş formları, ödeme akışları, sınırlı sayıda ürün lansmanları) belirleyin. API uç noktaları gibi istismar edilebilir işlevleri tanımak, etkili bir bot yönetim stratejisinin kritik bir unsurudur.
2. Güvenlik Açığı Azaltma: Kimlik bilgisi tabanlı saldırılara karşı korunmak için Çok Faktörlü Kimlik Doğrulama (MFA) uygulayın. Ayrıca, kötü botların sıklıkla kullandığı üç yıldan eski tarayıcı sürümlerini engelleyin. API güvenliğini sağlamak için kimlik doğrulama en iyi uygulamalarını ve sıkı erişim kontrollerini uygulayın.
3. Trafiğin Değerlendirilmesi ve İzlenmesi: Beklenen trafik modelleri için bir taban çizgisi belirleyin ve anormal derecede yüksek istek sayısı gibi bot faaliyetlerini gösterebilecek beklenmedik sapmaları izleyin. Giriş sayfalarında başarısız oturum açma girişimlerinin taban çizgisini tanımlayın ve anormallikler için uyarılar ayarlayın.
4. Bot Koruma Çözümlerini Değerlendirme: Modern botların sofistike doğası nedeniyle, tek başına karşı koymak neredeyse imkansızdır. Kapsamlı bir çözüm, kullanıcı davranış analizi, profil oluşturma ve parmak izi alma dahil olmak üzere katmanlı bir savunma yaklaşımını içermelidir. Yapay zeka/makine öğrenimi (AI/ML) destekli araçlar, tespit doğruluğunu artırmak ve gelişen tehditlere sürekli uyum sağlamak için kullanılmalıdır.
5. Tüm Savunma Kartlarını Hemen Açmayın: Tüm azaltma tekniklerini platformunuzun tamamında aynı anda uygulamaktan kaçının. Bunun yerine, bu teknikleri yalnızca ürün lansmanları veya büyük satış etkinlikleri gibi bot faaliyetlerinin artması beklenen kritik anlar için saklayın. Etkinlik bittikten sonra bu kontrolleri devre dışı bırakın veya ayarlayın; bu yaklaşım, savunmalarınızın öngörülemez kalmasını sağlar ve botların adapte olmasını zorlaştırır.

Bu makale, Imperva’nın 2025 Kötü Bot Raporu’ndan (2024 verilerine dayanarak) elde edilen bilgileri temel almaktadır. Rapora buradan ulaşabilirsiniz.