Công cụ AI phổ biến thúc đẩy làn sóng bot độc hại toàn cầu

Theo Báo cáo Bot Độc hại 2025 do Công ty an ninh mạng Imperva công bố, lần đầu tiên trong một thập kỷ, lưu lượng truy cập từ các hệ thống tự động và bot sử dụng AI chiếm tới 51% tổng lưu lượng Internet toàn cầu trong năm 2024, với tỷ lệ bot độc hại ở mức cao kỷ lục. Sự gia tăng này phần lớn bắt nguồn từ sự phát triển của AI và các mô hình ngôn ngữ lớn (LLMs), vốn giúp đơn giản hóa việc tạo và mở rộng bot phục vụ mục đích xấu.

Khi các công cụ AI ngày càng phổ biến, tội phạm mạng đang tận dụng công nghệ này để tạo và triển khai các bot độc hại - hiện chiếm 37% lưu lượng Internet, tăng đáng kể so với mức 32% vào năm 2023. Đây là năm thứ sáu liên tiếp các hoạt động của bot độc hại tăng trưởng, đặt ra thách thức ngày càng lớn về bảo mật cho các tổ chức trong việc bảo vệ tài sản số.

Ngành du lịch và bán lẻ hiện đang là hai lĩnh vực chịu ảnh hưởng nặng nề nhất từ bot nâng cao, với tỷ lệ lưu lượng truy cập từ bot xấu lần lượt đạt 41% và 59%. Riêng ngành du lịch trở thành mục tiêu bị tấn công nhiều nhất trong năm 2024, chiếm 27% tổng số cuộc tấn công bằng bot - tăng từ 21% năm 2023. Một thay đổi đáng chú ý nhất năm 2024 là sự sụt giảm các cuộc tấn công từ bot nâng cao (41%, giảm từ 61% năm 2023) và sự gia tăng mạnh các cuộc tấn công từ các bot đơn giản (52%, tăng từ 34%).

Vai trò của các công cụ AI tiên tiến trong các cuộc tấn công bot

Sự xuất hiện của các công cụ AI tiên tiến như ChatGPT, ByteSpider Bot, ClaudeBot, Google Gemini, Perplexity AI và Cohere AI không chỉ làm thay đổi cách người dùng tương tác với công nghệ, mà còn biến đổi cách thức tin tặc thực hiện các cuộc tấn công mạng.

Kẻ tấn công hiện nay không chỉ sử dụng AI để tạo ra bot mà còn để phân tích các thất bại và cải tiến kỹ thuật để vượt qua khả năng phát hiện với hiệu quả cao hơn.

Theo nhóm nghiên cứu, những công cụ AI phổ biến này đang bị khai thác để phục vụ cho các hoạt động tấn công mạng. Trong năm 2024, Imperva đã ghi nhận trung bình khoảng 2 triệu cuộc tấn công được kích hoạt bằng AI mỗi ngày.

Đáng chú ý, riêng công cụ thu thập dữ liệu web ByteSpider Bot đã chiếm tới 54% tổng số các cuộc tấn công có sử dụng AI. Các công cụ khác như AppleBot (26%), ClaudeBot (13%) và ChatGPT User Bot (6%) cũng góp mặt trong danh sách các bot bị lạm dụng nhiều nhất.

“Sự gia tăng nhanh chóng của các bot do AI tạo ra đang gây ra thách thức lớn cho các doanh nghiệp toàn cầu”, ông Tim Chang, Tổng giám đốc an ninh ứng dụng tại Thales Cybersecurity Products nhận định. “Lưu lượng truy cập tự động chiếm hơn một nửa tổng hoạt động trên web khiến các tổ chức đang đối mặt với rủi ro ngày càng lớn từ các bot độc hại – vốn ngày càng phổ biến và tinh vi”.

Khi tin tặc trở nên thành thạo hơn trong việc sử dụng AI, chúng có triển khai nhiều hình thức tấn công khác nhau, từ các cuộc tấn công từ chối dịch vụ (DDoS), khai thác các quy tắc tuỳ chỉnh, đến xâm phạm API.

Những phát hiện gần đây cho thấy sự gia tăng đáng kể các cuộc tấn công nhắm vào API, với 44% lưu lượng bot nâng cao tập trung vào các điểm cuối API. Những cuộc tấn công này không chỉ nhằm làm gián đoạn hoạt động mà còn tìm cách khai thác các logic nghiệp vụ phức tạp điều khiển API. Tin tặc có thể sử dụng các bot được thiết kế riêng để khai thác lỗ hổng trong quy trình API, thực hiện các hành vi như gian lận thanh toán tự động, chiếm đoạt tài khoản, và đánh cắp dữ liệu.

Tội phạm mạng đang nhắm mục tiêu vào các điểm cuối API

Báo cáo cho thấy tin tặc đang theo đuổi một chiến lược có chủ đích nhằm khai thác các điểm cuối API – nơi xử lý và lưu trữ khối lượng lớn dữ liệu nhạy cảm và có giá trị cao.

API đóng vai trò là xương sống của các ứng dụng hiện đại, cho phép kết nối giữa các dịch vụ, tối ưu hóa quy trình vận hành và cung cấp trải nghiệm cá nhân hóa cho khách hàng trên quy mô lớn. Chúng hỗ trợ các chức năng thiết yếu như xử lý thanh toán, quản lý chuỗi cung ứng và phân tích dựa trên AI, từ đó trở thành yếu tố không thể thiếu trong việc nâng cao hiệu quả hoạt động, thúc đẩy phát triển sản phẩm và mở rộng nguồn doanh thu.

Do đó, xu hướng tấn công này đặc biệt ảnh hưởng đến các ngành phụ thuộc nhiều vào API để vận hành và thực hiện các giao dịch trọng yếu, chẳng hạn như tài chính, y tế và thương mại điện tử. Các lĩnh vực này đang trở thành mục tiêu hàng đầu của các cuộc tấn công bot ngày càng tinh vi, với nguy cơ bị rò rỉ thông tin nhạy cảm ngày càng tăng.

Ngành dịch vụ tài chính là mục tiêu hàng đầu của các cuộc tấn công chiếm đoạt tài khoản (ATO), chiếm 22% tổng số vụ việc, tiếp theo là ngành viễn thông và nhà cung cấp dịch vụ Internet (18%) và lĩnh vực công nghệ thông tin (17%). Dịch vụ tài chính từ lâu đã là mục tiêu chính của các cuộc tấn công ATO do giá trị tài khoản cao và tính nhạy cảm của dữ liệu liên quan.

Các ngân hàng, công ty phát hành thẻ tín dụng và nền tảng fintech đang nắm giữ một lượng lớn thông tin định danh cá nhân (PII) - bao gồm chi tiết thẻ tín dụng và tài khoản ngân hàng - vốn là những dữ liệu có giá trị cao trên dark web. Thêm vào đó, việc các API ngày càng phổ biến trong ngành đã mở rộng bề mặt tấn công, cho phép tin tặc khai thác các lỗ hổng như xác thực yếu và phương thức ủy quyền không an toàn, từ đó tạo điều kiện thuận lợi cho việc chiếm đoạt tài khoản và đánh cắp dữ liệu.

Các chuyên gia khuyến nghị các tổ chức cần triển khai chiến lược phòng thủ nhiều lớp kết hợp phân tích hành vi, học máy và xác thực theo ngữ cảnh để xác định và giảm thiểu các mối đe dọa ngày càng tinh vi này./.