Ботофермы против бизнеса: что это такое, чем они опасны и как с ними бороться

Компании из самых разных сфер бизнеса все чаще сталкиваются с автоматизированными кибератаками. Cyber Media расскажет об угрозах, связанных с одним из незаметных, но разрушительных инструментов злоумышленников — о фермах ботов.

Ботоферма и имитация

Ботофермы следует отличать от ботнетов — классических сетей из зараженных устройств. Ботнеты используются для рассылки спама, кражи данных, распространения программ-вымогателей, DDoS-атак. В свою очередь ботофермы действуют не на уровне устройств, а на уровне аккаунтов. Они имитируют человеческую активность: регистрируются на сайтах, ставят лайки, публикуют комментарии.

Для бизнеса это означает:

• Репутационные риски: фальшивые отзывы, фишинговые атаки, дискредитация брендов.
• Финансовые потери: накрученные рекламные метрики, дутые показатели посещаемости и подписок в соцсетях.
• Угрозы инфраструктуре: использование облаков и сетей компании для запуска автоматических скриптов.

Дмитрий Овчинников

Архитектор информационной безопасности UserGate

За последние годы боты очень сильно усложнились, пройдя долгий путь от простых поведенческих скриптов, которые могли заполнять формы, до полноценного эмулирования поведения пользователя. Подобные боты распространены практически повсеместно, и тот, кто считает, что никогда с ними не сталкивался, вероятно, мог даже не заметить подвоха. Современная ботоферма – это сплав высоких технологий и живых людей, которые участвуют в подобных мероприятиях. Поэтому заметить бота невооруженным глазом удается далеко не всегда.

Эта угроза почти невидима и потому особенно опасна. Простой пример: IT-компания, предоставляющая облачные решения, замечает странный рост входящего трафика на одном из серверов. Сотрудники начинают разбираться и обнаруживают, что виртуальную инфраструктуру используют, чтобы круглосуточно запускать скрипты, взаимодействующие с популярной соцсетью. Такая активность может привести к серьезным проблемам, когда контролирующие органы начнут расследование и зададут провайдеру закономерный вопрос: почему через ваши сервера киберпреступники управляют фальшивыми профилями?

Мария Сергеева

Специалист группы социально-технического тестирования «Бастион»

Сегодня такие боты — часть повседневной среды. Они влияют на восприятие брендов, подрывают доверие пользователей и формируют искусственные рейтинги, а также могут представлять угрозу для физических лиц и их средств. Основным фактором угроз в подобного рода атаках является массовый характер, так как благодаря автоматизации процесса сценарий затрагивает большую аудиторию, чем ручная атака.

В прошлом году на фоне роста популярности проекта Hamster Combat массово начали появляться боты, «помогающие» вывести монеты из игры. Распространялись они «проливом трафика» в тематических каналах или чатах. Взаимодействие с подобными ботами несло за собой компрометацию TON-кошельков и Telegram-аккаунтов. 

Антон Чемякин

Руководитель аналитического отдела Servicepipe

Например, при смс-бомбинге ресурс может напрямую оплачивать из своего бюджета сотни тысяч и даже миллионы рублей на чужие смс-ки. Эти потери можно, посчитать. Парсинг конкурентов может увеличить требования к железу вдвое, и это рассчитывается, но как посчитать косвенные потери от того, что конкурент спарсил цены и поставил свой товар на 100 рублей дешевле?

Другой кейс: представим маркетинговое агентство, работающее с десятками клиентов в соцсетях. В определенный момент через мессенджер одного из менеджеров начинаются рассылки с «новыми рекламными материалами». Клиенты видят знакомое имя отправителя, кликают по ссылкам и попадают на фишинговые страницы. Снова у бизнеса возникают проблемы с законом, хотя прямой вины здесь нет. Просто злоумышленники узнали пароль сотрудника и подключили бота, который провел фишинговые атаки.

Дмитрий Овчинников

Архитектор информационной безопасности UserGate

С точки зрения экономики самую большую опасность представляют боты, которые генерируют трафик переходов. Подобные схемы заставляют рекламодателей платить лишние деньги за переходы, которых, по сути, не было. Также боты могут накручивать популярность товаров и продавцов на маркетплейсах. Это уже напрямую затрагивает немалую часть пользователей и фактически является недобросовестной конкуренцией. С точки зрения рядового пользователя, наибольшую опасность представляют боты, которые могут накручивать голосования в соцсетях и воздействовать на общественное мнение. Манипуляция общественным мнением, разгон паники в социальных сетях в случае какого-либо происшествия вполне могут угрожать жизням и здоровью граждан.

На первый взгляд эти угрозы связаны с вопросом кибергигиены. Однако компрометация пароля или аутентификационного токена в облачной среде — это лишь способ входа в инфраструктуру. На следующем этапе к атаке подключается ботоферма, которая и совершает нежелательные действия.

Как работают ботофермы

Современные ботофермы представляют собой целую инфраструктуру, которая выстроена как бизнес-сервис. Они масштабируемые, анонимные, устойчивые к блокировкам, работают на стыке автоматизации и социальной инженерии, имитируя поведение реальных пользователей с пугающей достоверностью.

Мария Сергеева

Специалист группы социально-технического тестирования «Бастион»

Ключевым направлением для развития может стать поведенческий анализ: ненатуральные движения мыши, нехарактерные тайминги ввода текста, странные последовательности переходов между страницами. Детали заметны, если смотреть не на один цикл, а на поведение в целом. На уровне сессий нужно отслеживать скорость, последовательность, глубину просмотра и маршруты взаимодействия. К примеру, если наблюдение показывает сверхчеловеческую скорость навигации, нереалистично стабильный путь, либо полное отсутствие движений мыши — это признаки автоматизации. Такие аномалии хорошо фиксируются при помощи нейросетевых или эвристических моделей.

В основе ботоферм — инструменты автоматизации:

• Скрипты на Python, фреймворки типа Selenium и Puppeteer позволяют управлять веб-интерфейсами так, как если бы это делал реальный пользователь. Боты кликают, вводят тексты, «читают» контент, участвуют в опросах.
• Браузерные движки с имитацией поведения могут открывать сайт с задержками, сдвигами мыши, ошибками в наборе текста — все, чтобы избежать антибот-защиты.
• Прокси и VPN-сервисы используются для подмены IP-адресов. Одна ферма может управлять десятками тысяч аккаунтов с разных геолокаций, создавая иллюзию массовой активности.

Чтобы создать, запустить и поддерживать такую ферму, необходимы аккаунты, каналы доступа, анонимность. Для этого используются взломанные корпоративные аккаунты электронной почты, CRM, мессенджеров, откуда выкачиваются данные для регистрации аккаунтов или рассылки спама. Такие аккаунты часто не распознаются как вредоносные, ведь на первый взгляд это легитимные учетные записи, давно присутствующие в системе.

Никита Новиков

Эксперт по кибербезопасности Angara Security

Пользователи интернета регулярно сталкиваются с ботами, которые публикуют недостоверные сведения, накручивают разного рода отзывы или размещают комментарии и фишинговые ссылки. Например, разного рода «консультанты» и «специалисты по оптимизму» размещают комментарии под постами в соцсетях и мессенджерах, заманивая читателей на свои каналы, где продвигаются не всегда законные услуги и предложения. Также известны случаи накрутки числа подписчиков и популярности ресурсов. Цель создания таких ботов — последующая продажа каналов, имеющих значительное число подписчиков и лайков.

Ботофермы специально арендуют доступ к корпоративным VPN, чтобы регистрировать ботов с «белых» адресов, не связанных с вредоносной активностью. Это повышает уровень доверия к действиям ботов с точки зрения автоматизированных защитных средств.

В даркнете можно арендовать тысячи готовых аккаунтов с привязкой к e-mail, мобильному телефону и истории активности. Некоторые платформы предлагают полный антидетект-пакет: браузер, отпечатки, cookie, геолокация.

В последнее время исследователи сталкиваются с использованием облачных IDE для запуска скриптов ботоферм. Эти среды часто игнорируются системами мониторинга, особенно если запускаются с доверенных адресов.

Как ботофермы используют корпоративные инфраструктуры

Угрозу представляет не только сам бот, имитирующий пользователя в TikTok или YouTube, но и то, на каких ресурсах он работает. Здесь в ход идут корпоративные облака, чужие IP-адреса и аккаунты.

Самый очевидный вектор — компрометация рабочих аккаунтов. Достаточно одной фишинговой рассылки, попавшей в корпоративный мессенджер или почту, чтобы получить доступ к системе. Далее начинается незаметная эксплуатация: от имени сотрудника рассылаются ссылки, собираются новые пароли, а на его аккаунте могут регистрироваться сторонние сервисы.

Екатерина Едемская

Киберэксперт и инженер-аналитик компании «Газинформсервис»

Боты могут перехватывать чувствительные данные пользователей, включая логины, пароли и банковские реквизиты, что может повлечь утечку информации и финансовые потери. Также не следует недооценивать угрозы, связанные с манипуляциями в рекламных системах. Боты могут искусственно увеличивать клики по рекламе, что приводит к перерасходу бюджета на маркетинг, искажают метрики эффективности рекламных кампаний.

Иногда фальшивые сообщения доходят и до клиентов. Потенциальный партнер получает вежливое, но вредоносное письмо от якобы корпоративного аккаунта с предложением пройти опрос. Один клик — и его система уже скомпрометирована.

Компании, использующие собственные прокси или VPN для удаленного доступа, зачастую недооценивают, как легко эти каналы могут быть использованы. Внутренний VPN, особенно если он не снабжен фильтрами для отслеживания аномалий, становится секретной дверью для регистрации и активности тысяч «белых» ботов. Все выглядит правдоподобно: чистый IP, стандартные DNS-запросы, активность разбавлена подлинным трафиком.

Облачные платформы — еще один опасный вектор. При неграмотно настроенных правах доступа злоумышленник может запускать свои скрипты прямо в инфраструктуре вашей компании. Часто для этого используются внутренние Kubernetes-кластера, скрипты на сервере аналитики, API-ключи с избыточными правами.

На практике это может означать, что с корпоративного аккаунта запускаются сотни процессов, которые, например, накручивают лайки на сторонних рекламных кампаниях или регистрируют аккаунты в Telegram. В логах эта активность есть, но невнимательный взгляд ничего подозрительного не заметит. Пока не приходит письмо от службы безопасности облачного провайдера или соцсеть не блокирует созданные аккаунты за подозрительную активность.

Основные угрозы для бизнеса

На первый взгляд, все это выглядит как чужая проблема. Кто-то где-то накручивает лайки, рассылает спам, строит фейковые профили. Но приходит день, и начинаются последствия.

Сначала — о репутационных рисках. Например, на поддельных страницах в соцсетях появляются якобы сотрудники компании с предложениями участия в акциях. Они отвечают грамотно, используют фирменный стиль, просят подтвердить номер телефона. У некоторых даже стоит галочка верификации (разумеется, купленная). А клиенты, особенно если они уже знают этот бренд, попадаются в эту ловушку. Далее в публичном поле может подняться волна: якобы компания участвует в накрутках, массово спамит пользователям, да и просто не следит за собственной безопасностью.

Никита Новиков

Эксперт по кибербезопасности Angara Security

Ботофермы создают иллюзию активности на ресурсах, вводя в заблуждение реальных пользователей. Они могут заполнять спамом формы обратной связи, размещая спам и фишинговые ссылки, перегружают серверы запросами, замедляя работу сервисов. В некоторых случаях активность ботов искажает показатели активности ресурсов и не даёт возможности увидеть реальную картину эффективности сайтов, искажает аналитику.

Ботофермы приводят и к прямым финансовым потерям. Риски включают штрафы за утечки данных, блокировки рекламных кабинетов, внутренние издержки на восстановление утраченных систем. Однако и это не полный список. Например, компания проводит рекламную кампанию, отслеживает метрики, которые говорят об успехе: цифры растут, пользователи проявляют вовлеченность, переходят из соцсетей на лендинги. А для отдела маркетинга это означает потраченный бюджет на рекламу, которая привела 10 000 фейков. Для аналитика — искривленную воронку продаж. Для менеджера — отчет, на который нельзя опираться в дальнейших решениях.

Мария Сергеева

Специалист группы социально-технического тестирования «Бастион»

Со стороны информационной безопасности боты выступают как пособники в SEO Poisoning-атаке, при которой злоумышленники намеренно оптимизируют вредоносные сайты, чтобы они попадали в верхние строчки поисковой выдачи по популярным запросам. Получается, что атакующий продвигает первую страницу и манипулирует не пользователем напрямую, а его доверием к среде, в которой он действует.

Но самое неприятное — подрыв доверия. И если раньше атаки выглядели как внешние угрозы, теперь они все чаще происходят изнутри, используя корпоративные ресурсы. Чтобы бороться с ботофермами, нужно использовать специализированные подходы.

Как обнаружить ботоферму

Распознать работу ботофермы непросто, потому что внешне действия ботов неотличимы от обычной пользовательской активности. Но если присмотреться, начинают проявляться повторяющиеся паттерны и цифровые артефакты, которые выдают искусственное происхождение этих действий.

Дмитрий Овчинников

Архитектор информационной безопасности UserGate

Первые и самые простые версии ботов легко отсекаются техническими средствами: их можно выявлять по цифровому отпечатку или некоторым специфическим параметрам. Например, самые простые варианты ботов не умеют использовать JavaScript. Более совершенных ботов также можно вычислить по цифровому отпечатку – совокупности свойств и параметров, которые передаются веб-сайту от посетителя. Обнаружение современного и высокотехнологичного бота – это уже непростая задача. Тут на помощь приходит ИИ, который может анализировать большой объем данных, в том числе скрытые параметры, и выявлять фейковые сообщения, – например, много однотипных комментариев от разных пользователей.

Один из ключевых признаков — аномальная активность, выходящая за рамки привычных бизнес-процессов. Например, всплески трафика на страницах компании в нерабочее время или внезапный поток лайков и комментариев из непривычных географий. Такая картина часто связана с массовыми бот-атаками, в том числе репутационного характера.

В корпоративной инфраструктуре аномалии могут проявляться в поведении облачных сервисов: скрипты запускаются ночью, серверы начинают отправлять большое количество запросов к внешним платформам, появляются неизвестные подключения к API. Иногда это результат размещения бот-кода на внутренних серверах или злоупотребления доступом к облаку со стороны скомпрометированных сотрудников.

Александр Демин

Руководитель отдела администрирования и DevOPS MD Audit (ГК Softline)

Борьба с автоматизированной активностью должна входить в процедуры обеспечения цифровой безопасности любой организации: сочетание фильтрации по поведению, геолокации, частоте запросов, антибот-платформы и тп. Кроме того, важно вовремя анализировать аномалии в статистике и мониторить активность в публичных каналах с помощью DLP и SOC-инструментов.

Дополнительную настороженность должны вызывать действия с устаревших или неиспользуемых учетных записей. Если, скажем, старый тестовый аккаунт вдруг начинает обращаться к соцсетям через прокси, это может быть следом ботофермы, которая использует внутреннюю инфраструктуру компании для маскировки под «чистый» трафик.

В социальных сетях тревожным звонком становятся однотипные комментарии. Аккаунты, которые их оставляют, зачастую только что зарегистрированы, не имеют заполненного профиля, а ведут себя механически: одинаковые формулировки, отсутствие реакции на ответы, странный подбор слов. Резкий рост подписчиков может не сопровождаться ни увеличением охватов, ни вовлеченностью: много «пустых» лайков, но живого диалога практически нет.

Практические меры для защиты от ботоферм

Сегодняшние боты умеют скрываться и действуют фрагментарно: сегодня атакуют соцсети, завтра пытаются встроиться в облачную инфраструктуру. Поэтому и защита от них не может быть узконаправленной.

Есть API соцсетей, месенджеров, веб-сервисов, позволяющие собирать и анализировать информацию о подозрительных взаимодействиях. Внутренняя SIEM также способна отслеживать необычные сценарии поведения: массовые подключения к одному ресурсу, обход стандартных маршрутов трафика, несанкционированные обращения к облачным сервисам. Мониторинг прокси и VPN-трафика помогает определить использование корпоративных сетей в несанкционированных целях.

Александр Демин

Руководитель отдела администрирования и DevOPS MD Audit (ГК Softline)

Борьба с автоматизированной активностью должна входить в процедуры обеспечения цифровой безопасности любой организации: сочетание фильтрации по поведению, геолокации, частоте запросов, антибот-платформы и тп. Кроме того, важно вовремя анализировать аномалии в статистике и мониторить активность в публичных каналах с помощью DLP и SOC-инструментов.

Рекомендуется обращать внимание на резкие скачки трафика, повторяющиеся действия с одними и теми же параметрами, частые обращения с одних IP-диапазонов. Эффективны многоуровневые CAPTCHA, ограничение частоты действий, анализ времени отклика и внедрение поведенческих фильтров. Не менее важно — регулярно проверять внешние площадки и интеграции, где может вестись поддельная активность без прямого доступа к основной системе.

Важно выстроить многоуровневую систему, которая перекрывает сразу несколько возможных сценариев эксплуатации. Первый уровень — это учетные записи. Здесь угроза связана с доступами, которые слишком долго остаются активными. Один сотрудник уволился, другой перешел в другой отдел, третий завел временную учетную запись для тестов и забыл о ней — так в корпоративной системе появляются слабые звенья. Поэтому регулярный аудит доступов — это главный способ, чтобы не оставить в инфраструктуре открытые двери. Обязательно нужно использовать двухфакторную аутентификацию везде, где это возможно, особенно в системах электронной почты и корпоративных соцсетях.

Никита Новиков

Эксперт по кибербезопасности Angara Security

Существуют различные решения, антиботы, средства защиты от любых массовых автоматизированных атак на ресурсы компаний: сайты, мобильные приложения, API. Например, WAF фильтрует входящий трафик и блокирует массовые подозрительные запросы, идущие со стороны ботов. Также возможна настройка блокировки IP-адресов, с которых идёт подозрительный трафик. Для выявления таких адресов необходимо проводить регулярный анализ логов сервера, который позволяет выделить массовые запросы с конкретных IP-адресов или отследить аномальное поведение пользователей.

Следующий слой — внутренняя инфраструктура. Здесь угроза менее заметна, потому что речь идет о техническом трафике. Например, скрипт на Python, запущенный внутри облачного аккаунта компании, может неделями работать в фоновом режиме, рассылать запросы в соцсети, собирать данные, обходить ограничения. Единственный способ это заметить — систематический мониторинг сетевых аномалий. Это касается как трафика через VPN, так и активности API: если вдруг корпоративная сеть начала регулярно обращаться к платформам, с которыми компания формально не работает, это повод провести проверку.

Третий контур — репутация и публичное присутствие. Здесь последствия видны сразу: появляются фальшивые аккаунты от имени компании, поднимаются волны странных комментариев, начинаются атаки через фейковые конкурсы. Важно выстроить регулярный мониторинг цифрового окружения: кто и как упоминает бренд, с каких устройств идут обращения к официальным страницам, какие действия совершаются от имени компании. У крупных платформ есть инструменты верификации, «белые» списки доверенных IP-адресов, возможность оспаривать подозрительную активность. Все эти механизмы нужно активировать заранее, до того как кризис выйдет из-под контроля.

Антон Чемякин

Руководитель аналитического отдела Servicepipe

В случае необходимости, если базовой защиты недостаточно, подключаются дополнительные поведенческие модули защиты совместно со специалистами защищаемых ресурсов и с учётом специфики и логики ресурса. Ну и, наконец, существуют внутренние мониторинги, направленные на выявление аномалий в пропускаемом трафике для дальнейшей ручной конфигурации. Под каждую группу эшелонов защиты, разумеется, есть готовые чек-листы, дашборды,  регламенты общения и методики донастройки сервисов.  

Нельзя защититься от ботофермы единственной настройкой или инструментом. Но можно усложнить жизнь ее владельцам настолько, что атака перестанет быть выгодной для них. И этого уже достаточно, чтобы перевести угрозу из активной фазы в пассивную.

Что в итоге

Ботофермы перестали быть лишь проблемой соцсетей или платформ для общения. Риски выходят за рамки репутационных потерь, приводя к реальным финансовым убыткам, компрометации данных и сбоям в бизнес-процессах.

Чтобы защититься, нужно смотреть на проблему целостно. Надежная аутентификация, регулярный аудит доступов, мониторинг активности сети и API, а также постоянный контроль за цифровой репутацией компании — все эти меры должны работать как единый механизм.

Екатерина Едемская

Киберэксперт и инженер-аналитик компании «Газинформсервис»

Необходимо внедрить системы CAPTCHA и reCAPTCHA, которые требуют от пользователей выполнения простых заданий, таких как ввод символов с изображений или решение простых задач, чтобы подтвердить, что они не являются ботами. Во-вторых, важно мониторить и анализировать поведение пользователей, например, отслеживать частоту действий, скорость навигации по страницам, время, проведенное на сайте, а также необычные паттерны поведения, которые могут указывать на автоматические действия.

Комплексный подход и систематическая работа по предотвращению подобных угроз помогут сделать бизнес более устойчивым к киберрискам и сохранить репутацию в условиях современного цифрового мира.