Imperva Bad Bot Report 2025

Da generative KI die Entwicklung von Bots vereinfacht, entwickeln sich automatisierte Bedrohungen rasch weiter – sie werden immer raffinierter, ausweichender und verbreiteter, was das Wachstum sowohl einfacher als auch hoch entwickelter Schadprogramme antreibt.

Angreifer nutzen KI nicht nur, um Bots zu erstellen, sondern auch, um fehlgeschlagene Versuche zu analysieren und ihre Techniken zu verfeinern, um die Erkennung noch effizienter zu umgehen. Das daraus resultierende Aufkommen immer raffinierterer Bots stellt für Unternehmen ein größeres Risiko dar als je zuvor.

Da das Volumen des automatisierten Datenverkehrs zunimmt, müssen Sicherheitsteams ihren Ansatz zur Anwendungssicherheit anpassen und stehen unter wachsendem Druck einer sich verändernden Bedrohungslandschaft, in der Bots die Oberhand gewinnen.

Zum ersten Mal seit einem Jahrzehnt übertrifft der automatisierte Datenverkehr die menschlichen Aktivitäten und wird 2024 51 % des gesamten Internetverkehrs ausmachen.  Dies ist vor allem auf die rasche Einführung von KI und großen Sprachmodellen (LLMs) zurückzuführen, die die Erstellung von Bots einfacher und skalierbarer gemacht haben.

Gleichzeitig hat die Aktivität bösartiger Bots im sechsten Jahr in Folge zugenommen. Der Anteil bösartiger Bots am gesamten Internetverkehr liegt nun bei 37 %, ein deutlicher Anstieg gegenüber 32 % im Jahr 2023.

OWASP Automated Threats machen fast ein Drittel aller Angriffe aus

Im vergangenen Jahr waren 31 Prozent aller von Imperva registrierten und entschärften Angriffe automatisierte Bedrohungen, wie sie von der OWASP Foundation definiert werden. Bei den OWASP 21 Automated Threats handelt es sich um eine Reihe von automatisierten Cyberangriffen, die Bots und Skripte verwenden, um Schwachstellen in Webanwendungen in großem Umfang auszunutzen, Sicherheitskontrollen zu umgehen und Unternehmen in verschiedenen Branchen zu stören.

Ihre weite Verbreitung und die Leichtigkeit, mit der sie von Angreifern ausgenutzt werden können, machen sie zu einem Hauptanliegen der Sicherheitsstrategie jedes Unternehmens. Ein genauerer Blick auf die Angriffsarten zeigt, dass es sich bei 25 % der entschärften Angriffe um ausgeklügelte Bad Bots handelte, die speziell auf die Geschäftslogik abzielten und diese missbrauchten.

Warum moderne APIs gegen Bad Bots verteidigt werden müssen Im Jahr 2024 beobachtete das Imperva Threat Research Team einen signifikanten Anstieg der auf APIs abzielenden Angriffe, wobei 44 % des fortschrittlichen Bot-Traffics auf APIs abzielten. Bösartige Bots, die auf die API-Geschäftslogik abzielen, stellen eine große Bedrohung für Unternehmen dar und zeigen, dass der Schutz von APIs nicht nur eine Sicherheitsmaßnahme ist, sondern die Grundlage Ihres digitalen Ökosystems sichert.

Proxys für Privatpersonen bleiben eine beliebte Umgehungstaktik Durch die Verwendung von Proxys für Privatpersonen können bösartige Bots legitimen Datenverkehr von einer Privatadresse imitieren, was die Erkennung erschwert.  Tatsächlich wurden 21 % aller Bot-Angriffe über Internet Service Provider (ISP) über Residential Proxies durchgeführt – eine wichtige Umgehungstaktik, die von fortgeschrittenen Angreifern häufig eingesetzt wird.

Account-Takeover-Angriffe

Die Zahl der Account-Takeover-Angriffe (ATOs) hat deutlich zugenommen, und zwar um 40 % im Vergleich zum Vorjahr und um 54 % im Vergleich zu 2022. Dieser Anstieg ist wahrscheinlich darauf zurückzuführen, dass Cyberkriminelle KI und maschinelles Lernen einsetzen, um Credential Stuffing und Brute-Force-Angriffe zu automatisieren, wodurch sie raffinierter und schwerer zu erkennen werden. Im Jahr 2024 beobachteten Forscher den zunehmenden Einsatz von KI-gestützten Tools bei Cyberangriffen. Imperva blockierte durchschnittlich 2 Millionen KI-gestützte Cyberangriffe pro Tag.

KI-Tools wie ChatGPT, ByteSpider Bot, ClaudeBot, Google Gemini, Perplexity AI, Cohere AI, Apple Bot und andere revolutionieren die Art und Weise, wie Nutzer mit ihren Lieblingsmarken interagieren, wie Schüler und Studenten lernen und wie Mitarbeiter Aufgaben erledigen und Inhalte schneller als je zuvor erstellen. Allerdings werden diese Tools auch als neue Angriffsvektoren genutzt.

In einer Analyse von KI-Tools fand das Imperva Threat Research Team heraus, dass die meisten der weit verbreiteten KI-gestützten Tools, die derzeit im Umlauf sind, für Cyberangriffe verwendet werden. Die Verteilung der Bot-Angriffe auf die untersuchten KI-Tools war sehr unterschiedlich.

ByteSpider Bot war für 54 % aller KI-gestützten Angriffe verantwortlich, gefolgt von AppleBot mit 26 %. Auf ClaudeBot entfielen 13 % und auf den ChatGPT User Bot 6 % der Angriffe. Die Dominanz von ByteSpider bei den KI-gestützten Angriffen ist vor allem darauf zurückzuführen, dass er als legitimer Web-Crawler bekannt ist und sich daher ideal für Spoofing eignet.

Cyberkriminelle tarnen schädliche Bots häufig als Web-Crawler, um der Entdeckung zu entgehen und Sicherheitsmaßnahmen zu umgehen, die bekannte Web-Crawler auf eine Whitelist setzen. Im Gegensatz dazu werden AppleBot (26 %) und ClaudeBot (13 %) seltener eingesetzt, wahrscheinlich aufgrund strengerer Sicherheitskontrollen.

Da Bots immer raffinierter werden und menschliches Verhalten imitieren, stehen Sicherheitsteams vor der wachsenden Herausforderung, automatisierte Bedrohungen von echten Benutzern zu unterscheiden. Angesichts wachsender Datenschutzbedenken nutzen Bot-Betreiber zunehmend VPNs und Verschleierungstechniken, um sich mit legitimem menschlichem Datenverkehr zu vermischen und nicht als automatisierte Bedrohung erkannt zu werden.

Laut den Erkenntnissen der auf Bots spezialisierten Sicherheitsanalysten von Imperva und des Imperva Threat Research Teams hebt die folgende Liste die neuesten Umgehungstaktiken und Techniken hervor, die von Bot-Angreifern im Jahr 2024 eingesetzt werden:

Viele einfache bösartige Bots fälschen ihre Browseridentität, um als legitimer Browser (z. B. Chrome, Firefox) zu erscheinen. Dies ist eine einfache, aber effektive Methode, um grundlegende Sicherheitsmaßnahmen zu umgehen. Fortgeschrittene Bots fälschen auch andere Browser-Attribute wie Kopfzeilen und die Ausführung von JavaScript, um zu verhindern, dass sie von fortschrittlicheren Anti-Bot-Tools erkannt werden.

Residential Proxies Angreifer verwenden IP-Adressen von Privatpersonen, um die Erkennung zu umgehen und sich in den normalen Datenverkehr einzumischen. Mit Hilfe von Residential Proxies können Angreifer bösartigen Datenverkehr über die Geräte echter Benutzer leiten, wodurch es schwieriger wird, sie allein aufgrund ihrer IP-Reputation zu erkennen und zu blockieren.

Obwohl die Nutzung von ISPs für Bot-Angriffe von 26 % aller Bot-Angriffe, bei denen der Datenverkehr über einen ISP geleitet wurde, im Jahr 2023 auf 21 % im Jahr 2024 leicht zurückgegangen ist, bleibt diese Taktik aufgrund ihrer Wirksamkeit bei der Imitation legitimer Nutzer eine beliebte Methode.

Privacy Tools Dienste wie iCloud Private Relay verschleiern die Identität der Nutzer und erschweren die Unterscheidung zwischen legitimem menschlichen Datenverkehr und automatisierten Bot-Aktivitäten.

API-Missbrauch Angreifer nutzen exponierte oder ungeschützte APIs aus, um Daten zu extrahieren, Angriffe zu automatisieren und Sicherheitskontrollen am Front-End zu umgehen.

In ihrem Bestreben, unentdeckt zu bleiben, tarnen sich bösartige Bots als beliebte Web- oder Mobilbrowser, die normalerweise von Menschen verwendet werden. Dies wird durch Browser-Automatisierungstools erreicht. Galt dies früher als ausgeklügelte Umgehungsmethode, ist es heute für viele Angreifer zum Standard geworden.

Im Laufe der Jahre veränderten sich die von Bots bevorzugten Browser entsprechend den sich ändernden Präferenzen der menschlichen Nutzer und den sich entwickelnden Strategien, um unter dem Radar zu bleiben. So ist beispielsweise der Internet Explorer, der früher sowohl von legitimen Nutzern als auch von bösartigen Bots häufig verwendet wurde, in den letzten Jahren weitgehend in Ungnade gefallen.

Chrome ist nach wie vor der meistgenutzte Browser, den Angreifer seit zehn Jahren imitieren. Im Jahr 2024 wird er 46 % aller böswilligen Angriffe ausmachen.  Der Anteil der Angriffe, bei denen sich Bots als Chrome ausgeben, steigt von 40 % auf 46 % im Jahr 2024. Angreifer geben sich oft aus mehreren Gründen als Chrome aus:

Weit verbreitete Nutzung

Chrome ist der weltweit beliebteste Browser und wird von einer großen Mehrheit der Internetnutzer verwendet. Indem sie Chrome imitieren, erhöhen Angreifer die Wahrscheinlichkeit, dass sich ihr Bot-Traffic mit legitimen Benutzeraktivitäten vermischt, wodurch die Wahrscheinlichkeit einer Entdeckung durch Sicherheitssysteme sinkt.

Whitelisting

Viele Websites und Sicherheitssysteme setzen den Datenverkehr von bekannten Browsern wie Chrome auf eine weiße Liste, da sie davon ausgehen, dass er legitim ist. Da Chrome weithin als vertrauenswürdig gilt, können bösartige Bots grundlegende Anti-Bot-Systeme umgehen, die Anfragen von anerkannten Browsern möglicherweise nicht überprüfen.

Erweiterte Funktionen

Chrome unterstützt eine Vielzahl moderner Webtechnologien (z. B. JavaScript und HTML5), auf die viele Websites angewiesen sind. Indem sie sich als Chrome ausgeben, können Angreifer diese Funktionen ausnutzen, um auf komplexeren Websites zu navigieren, mit dynamischen Inhalten zu interagieren und ausgefeilte Angriffe wie Credential Stuffing oder Scraping auszuführen, ohne Verdacht zu erregen.

Safari ist mit 17 % der Angriffe der am zweithäufigsten gefälschte mobile Browser. Da Safari der Standardbrowser auf Apple-Geräten wie iPhones und iPads ist, die weltweit eine beträchtliche Nutzerbasis haben, können Angreifer durch Nachahmung von Mobile Safari einen großen Teil des mobilen Internetverkehrs ins Visier nehmen.

Aus vielen der gleichen Gründe ist Mobile Chrome die drittbeliebteste Wahl für Angreifer und bleibt mit einem konstanten Anteil von 14 % im Vergleich zum Vorjahr knapp hinter Mobile Safari.

ATO-Angriffe

Bei ATO-Angriffen (Account Takeover) werden bösartige Bots eingesetzt, um sich durch Credential Stuffing und Credential Cracking unberechtigten Zugang zu Online-Benutzerkonten zu verschaffen und diese zu übernehmen.  Diese Angriffe führen zu digitalem Identitätsdiebstahl und finanziellen Verlusten für die betroffenen Unternehmen.

ATO-Angriffe gehören zu den größten Herausforderungen für die Cybersicherheit, mit denen digitale Unternehmen heute konfrontiert sind. Ein erfolgreicher Angriff kann zu finanziellen Verlusten, dem Diebstahl sensibler Kundendaten, dem Missbrauch persönlicher Informationen und einer Rufschädigung führen.

Ein erfolgreicher Account-Takeover-Angriff, der zu einer Datenschutzverletzung führt, kann behördliche Sanktionen, Rechtskosten, Schadensersatzforderungen, Rufschädigung und langfristige finanzielle Verluste nach sich ziehen.

Das Ausmaß hängt von der Art der Verletzung, dem rechtlichen Umfeld und der Reaktionszeit des Unternehmens ab. Nachfolgend finden Sie einige Beispiele für behördliche Sanktionen:

GDPR (General Data Protection Regulation) in Deutschland Datenschutzgrundverordnung (DSGVO)

Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes für das Versäumnis, personenbezogene Daten zu schützen, plus zusätzliche Bußgelder für das Versäumnis, die Behörden innerhalb von 72 Stunden zu benachrichtigen

CCPA (California Consumer Privacy Act)

Bußgelder von bis zu 2 US-Dollar, 500 US-Dollar pro Verstoß oder 7.000 US-Dollar bei vorsätzlichen Verstößen und Klagen von Verbrauchern wegen der Offenlegung personenbezogener Daten, einschließlich Sammelklagen

HIPAA (Health Insurance Portability and Accountability Act)

Bußgelder von 100 bis 50.000 US-Dollar pro Verstoß.500 US-Dollar bei vorsätzlichen Verstößen und Klagen von Verbrauchern wegen der Offenlegung personenbezogener Daten, einschließlich Sammelklagen

Top-Branchen im Visier von Bot-Attacken

Die Reisebranche hat 2024 den Einzelhandel überholt und ist mit 27 Prozent für mehr als ein Viertel aller Bad-Bot-Attacken verantwortlich.  Die Zahl der Bot-Angriffe auf den Einzelhandel ist von 24 Prozent im Jahr 2023 auf 15 Prozent im Jahr 2024 deutlich zurückgegangen.

Sowohl die Reise- als auch die Einzelhandelsbranche haben ein  Bot-Problem: 41 % bzw. 59 % ihres Datenverkehrs sind auf Bad Bots zurückzuführen.  Der Bildungssektor hat den Finanzsektor als drittstärkste Branche abgelöst: 11 % des Bot-Traffics sind auf Bildungsseiten gerichtet.

Der Bildungssektor weist mit 92 % den höchsten Anteil an einfachen Bot-Angriffen auf, wird aber 2024 die am dritthäufigsten angegriffene Branche sein. Dies könnte darauf hindeuten, dass die Angriffe von weniger versierten Angreifern mit geringeren Fähigkeiten durchgeführt werden, möglicherweise von Schülern und Studierenden mit Zugang zu GPT-Tools.

As generative AI simplifies the development of bots, automated threats are rapidly evolving – becoming more sophisticated, evasive and widespread, driving the growth of both basic and sophisticated malware.

Attackers are using AI not only to create bots, but also to analyze failed attempts and refine their techniques to evade detection even more efficiently. The resulting emergence of increasingly sophisticated bots poses a greater risk to organizations than ever before.

As the volume of automated traffic increases, security teams must adapt their approach to application security and are under increasing pressure from a changing threat landscape in which bots are gaining the upper hand.

As automated traffic volumes increase, security Teams must adapt their approach to application security, facing increasing pressure to counter an evolving threat landscape in which bots are gaining the upper hand.

Automated Traffic Surpasses Human Traffic

For the first time in a decade, automated traffic surpassed human activity, Accounting for 51% of all web traffic in 2024.  This was largely driven by the rapid adoption of AI and large language models (LLMs), which have made bot creation more accessible and scalable.

At the same time, bad bot activity has risen for the sixth consecutive year, with malicious bots now making up 37% of all Internet traffic, a sharp increase from 32% in 2023.

OWASP Automated Threats Account for Almost a Third of All Attacks

In the past year, 31% of all attacks recorded and mitigated by Imperva were automated threats, as defined by the OWASP Foundation. The OWASP 21 Automated Threats are a set of automated cyberattacks that leverage bots and scripts to exploit web application vulnerabilities at scale, bypass security controls, and disrupt businesses across various industries, and represent some of the most common and critical vulnerabilities facing web applications.

Their widespread nature and the ease with which attackers exploit them make them a primary concern for any organization’s security strategy. A deeper look into the attack types reveals that 25% of mitigated attacks were sophisticated bad bots specifically targeting and abusing business logic.

Modern APIs Must Defend Against Bad Bots

In 2024, the Imperva Threat Research team observed a significant surge in API-directed attacks, with 44% of advanced bot traffic targeting APIs. Bad bots targeting API business logic are a major threat to businesses and how protecting APIs is not just a security measure but safeguarding the foundation of your digital ecosystems.

Residential Proxies Remain a Preferred Evasion Tactic

By leveraging residential proxies, bad bots can mimic legitimate traffic from a residential address, making detection more challenging.  In fact, 21% of all bot attacks using internet service providers (ISPs), were conducted through residential proxies – a key evasive tactic commonly employed by advanced attackers.

Account Takeover Attacks

The number of Account Takeover (ATO) attacks has increased significantly, rising by 40% since last year and by 54% since 2022.  This surge is likely driven by cybercriminals using AI and machine learning to automate credential stuffing and brute-force attacks, making them more sophisticated and harder to detect. In 2024, researchers witnessed the growing use of AIenabled tools in cyber attacks. Imperva blocked an average of 2 million AI-powered cyber-attacks every day.

AI tools such as ChatGPT, ByteSpider Bot, ClaudeBot, Google Gemini, Perplexity AI, Cohere AI, Apple Bot and more are revolutionizing how users interact with their favorite brands, how students learn and how employees perform Tasks and create content more quickly than ever before. However, these tools are also being used as a new attack vector.

In an analysis of AI tools, the Imperva Threat Research team found that most of the widely used AI-powered tools currently in circulation are being used for cyber-attacks. The Distribution of bot attacks across the AI tools analyzed varied significantly.

ByteSpider Bot was responsible for 54% of all AI-enabled attacks followed by AppleBot at 26%. ClaudeBot accounted for 13%, while ChatGPT User Bot contributed 6% of the attacks. ByteSpider’s dominance in AI-enabled attacks can largely be attributed to its widespread recognition as a legitimate web crawler, making it an ideal candidate for spoofing.

Cybercriminals frequently disguise their malicious bots as web crawlers to evade detection and bypass security measures that whitelist known web crawlers. In contrast, AppleBot (26%) and ClaudeBot (13%) are used less frequently, likely due to stricter security controls or less favorable spoofing potential.

As bots become more sophisticated and mimic human behavior, security teams face increasing challenges in differentiating between automated threats and real users. Additionally, with growing concerns around data privacy, bot operators increasingly use VPNs and obfuscation techniques to blend into legitimate human traffic and avoid being flagged as automated threats.

Based on insights from Imperva’s dedicated bot-focused Security Analysts and the Imperva Threat Research team, the following list highlights the latest evasion tactics and techniques employed by bot attackers in 2024:

Fake browser identity and Attributes

Many simple bad bots fake their browser identity to appear as a legitimate browser (e.g., Chrome, Firefox). This is a simple but effective way to evade basic security measures. More advanced bots will also fake other browser attributes, such as headers and JavaScript execution to avoid detection by more advanced bot mitigation tools.

Residential Proxies

Attackers use residential IP add resses to evade detection and blend in with normal traffic. Residential proxies allow attackers to route malicious traffic through real user devices, making it harder to detect and block them based on IP reputation alone.

While the use of residential ISPs for bot attacks decreased slightly from 26% of all bot attacks where traffic was routed via an ISP in 2023 to 21% in 2024, it remains a favored tactic due to its effectiveness in mimicking legitimate users.

Privacy Tools

Services like iCloud Private Relay mask user identities, increasing the challenge of distinguishing between legitimate human traffic and automated bot activity.

API Abuse

Attackers exploit exposed or unprotected APIs to extract data, automate attacks, and bypass front-end security controls.

In their quest to continue undetected, bad bots disguise themselves as popular web or mobile browsers typically used by humans. This is accomplished through browser automation tools. While this was once considered an advanced method of evasion, it has since become a standard approach for many bad bots.

Over the years, the browsers favored by these bots have shifted in line with changing human user preferences and evolving strategies to stay under the radar. For instance, Internet Explorer, once widely used by both legitimate users and bad bots, has largely fallen out of favor in recent years.

Chrome remains the top browser that attackers impersonate, as it has done for the last ten years, accounting for 46% of all bad bot attacks in 2024.  The percentage of attacks where bots declare themselves as Chrome increased from 40% to 46% in 2024.

Attackers often choose to impersonate Chrome for several legitimate reasons:

Widespread Usage

Chrome is the most popular browser globally, used by a significant majority of internet users. By mimicking Chrome, attackers increase the likelihood that their bot traffic will blend in with legitimate user activity, reducing the chances of detection by security systems.

Common Whitelisting Many websites and security systems whitelist traffic from well-known browsers like Chrome, assuming it is legitimate. Since Chrome is widely trusted, bad bots can bypass basic bot mitigation systems that may not scrutinize requests from recognized browsers.

Advanced Capabilities

Chrome supports a wide range of modern web technologies (such as JavaScript and HTML5), which many websites rely on. By impersonating Chrome, attackers can exploit these features to navigate more complex sites, interact with dynamic content, and carry out more sophisticated attacks, like credential stuffing or scraping, without raising suspicion.

Mobile Safari is the second most mimicked browser, accounting for 17% of attacks. Being the default browser on Apple devices, including iPhones and iPads, which have a significant global user base, by mimicking Mobile Safari, attackers can target a large segment of mobile web traffic.

For many of the same reasons Mobile Chrome is the third most popular choice for attackers, remaining close to Mobile Safari at a Steady 14% year-over-year.

ATO attacks

Account Takeover (ATO) attacks use malicious bots to gain unauthorized access and take over online user accounts through credential stuffing and credential cracking.  These attacks lead to digital identity theft and financial losses for targeted organizations.

ATO attacks are among the most significant cybersecurity challenges facing digital businesses today. A successful attack can result in financial loss, theft of sensitive customer data, misuse of personal information, and reputational damage.

A successful account takeover attack that results in a data breach can lead to regulatory penalties, legal costs, compensation claims, reputational damage and long-term financial losses.

The severity depends on the nature of the breach, the regulatory environment, and the company’s response time. Here are some examples of regulatory penalties:

REGULATION PENALTIES ADDITIONAL CONSEQUENCES

GDPR (General Data Protection Regulation)

Fines up to €20 million or 4% of global annual turnover for failure to protect personal data plus additional penalties for failure to notify authorities within 72 Hours

CCPA (California Consumer Privacy Act)

Fines up to $2,500 per Violation or $7,500 for intentional violations plus consumer lawsuits for personal data exposure, including class action lawsuits

HIPAA

(Health Insurance Portability and Accountability Act)

Fines ranging from $100 to $50,000 per violation, with a maximum annual penalty of $1.5 million and severe penalties for exposing Protected Health Information (PHI)

Top Industries Targeted by Bot Attacks

Travel has bypassed Retail in 2024, accounting for more than a quarter of all bad bot attacks, 27%, to become the most targeted industry for bad bots.  Bad bots targeting the Retail sector have dropped significantly from 24% in 2023 to 15% in 2024.

Both the Travel and the Retail sectors face an advanced bot problem with bad bots making up 41% and 59% of their traffic, respectively.  Education has replaced Financial Services as the third most targeted industry with 11% of bad bot traffic targeting Education sites.  The Education sector has the highest percentage of simple bot attacks, 92% yet is the third most targeted industry in 2024. This could indicate that the attacks are being launched by less sophisticated attackers with a lower skillset, possibly students with access to GPT tools.