Невидимі зловмисники: як сучасні боти імітують реальних користувачів
Невидимі зловмисники: як сучасні боти імітують реальних користувачів
Найнебезпечніші боти — не ті, що діють найшвидше, а ті, що залишаються найбільш послідовними. Це перша з двох статей від Radware, що присвячені сучасним методам обходу бот-захисту. У першій розглянемо, як зловмисники маскують автоматизацію на рівні інфраструктури, браузера, мережевих протоколів, API, мобільних застосунків і поведінки. У другій — як має змінюватися захист: від ізольованих механізмів виявлення до інтегрованої моделі, заснованої на кореляції сигналів та аналітиці загроз.
06.07.2026
За матеріалами Владислава Букіна, керівника Radware Threat Research Center
Масштаб проблеми продовжує зростати
За даними Radware 2026 Global Threat Analysis Report, кількість шкідливих транзакцій, спрямованих на вебзастосунки та API, у 2025 році зросла на 128% порівняно з попереднім роком. Лише за перші шість місяців 2025 року Radware Cloud Application Protection Service зафіксував обсяг шкідливих транзакцій, еквівалентний 87% від їхньої загальної кількості за весь 2024 рік. У другому півріччі 2025 року показник зріс ще на 63% порівняно з першим півріччям.
Активність шкідливих ботів також різко посилилася. У 2025 році кількість транзакцій, створених такими ботами, збільшилася на 91,8%. Для порівняння: роком раніше зростання становило 35,2%.
Тенденція продовжилася і у 2026 році. У першому кварталі кількість шкідливих транзакцій, спрямованих на вебзастосунки та API, була на 52% вищою, ніж у четвертому кварталі 2025 року та на 273% вищою, ніж у першому кварталі 2025 року. Усього за перший квартал 2026 року Radware заблокувала обсяг шкідливих веб- і API-транзакцій, що дорівнював 60% усіх транзакцій, заблокованих протягом 2025 року.
Ці показники демонструють, що відокремлення реального користувача від автоматизованої системи більше не може ґрунтуватися на простих детермінованих правилах. Традиційні механізми — блокування IP-адрес, CAPTCHA та статичне обмеження частоти запитів — не були розраховані на атаки, які адаптуються в режимі реального часу.
Ситуація змінилася після поширення повноцінних фреймворків браузерної автоматизації, зокрема Playwright і Puppeteer. Вони дають ботам змогу:
Сучасний цифровий шлях користувача більше не обмежується веббраузером. Він може охоплювати:
Ще один етап розвитку — використання штучного інтелекту для адаптації ботів. Такі системи можуть аналізувати відповідь застосунку та змінювати подальші дії. Зокрема, вони здатні:
Маскування інфраструктури
Першим рівнем часто стає приховування джерела трафіку. Для цього використовуються:
Імітація браузера та пристрою
Наступний рівень — підробка цифрового відбитка клієнтського середовища. Сучасні системи виявлення аналізують не лише User-Agent, а й десятки інших характеристик:
Імітація мережевих протоколів
Навіть за умови підміни User-Agent мережеві характеристики автоматизованого інструмента можуть відрізнятися від поведінки реального браузера. Тому зловмисники намагаються узгоджувати:
Обхід захисту через API
API створюють для ботів окрему поверхню атаки. Замість відтворення графічного інтерфейсу зловмисник може безпосередньо взаємодіяти з серверною функцією. Серед поширених сценаріїв:
Імітація поведінки людини
Щоб сесія виглядала переконливіше, боти імітують поведінкові особливості користувача:
1. Розвідка. Зловмисники вивчають:
3. Налаштування автоматизації. Бот навчається проходити потрібний сценарій: автентифікуватися, виконувати пошук, додавати товар до кошика, змінювати дані або здійснювати іншу цільову операцію.
4. Поведінкове маскування. Додаються затримки, рухи курсора, прокручування, варіативність маршрутів та інші ознаки, характерні для людини.
5. Масштабування. Після оптимізації сценарію атака запускається у великому масштабі — через тисячі IP-адрес, цифрових ідентичностей і користувацьких сесій.
Кожен етап підсилює наступний. Основна мета зловмисника — забезпечити узгодженість усіх ознак, які може спостерігати система захисту.

Чому традиційний бот-захист втрачає ефективність
Застарілі засоби контролю створювалися для передбачуваної автоматизації. Вони добре працювали, коли боти генерували повторюваний трафік, діяли з однієї IP-адреси та мали очевидні технічні ознаки. Сьогодні ці припущення більше не відповідають реальності.
Репутації IP-адреси недостатньо. Значення IP-репутації знижується, коли зловмисники використовують резидентські й мобільні мережі та постійно змінюють адреси. Заблокована адреса може більше не використовуватися вже за кілька секунд. Водночас надто агресивне блокування може зачепити легітимних користувачів.
Статичні сигнатури легко змінити. Сигнатурний аналіз менш ефективний, якщо бот:
Статичне обмеження швидкості не враховує розподілені атаки. Rate limiting може блокувати джерело, яке створює надто багато запитів. Але зловмисник може розподілити навантаження між великою кількістю IP-адрес. Замість сотень запитів з однієї адреси система отримуватиме по одному запиту з кожної адреси. Загальний масштаб атаки залишатиметься високим, але локальний поріг не буде перевищено. В одному з кейсів Radware зловмисники протягом кількох тижнів змінювали тактику:
Сучасні бот-кампанії координують:
Основні висновки
Сучасні боти перетворилися з простих скриптів на комплексні системи імітації користувачів. Резидентські проксі, повноцінна браузерна автоматизація, підміна мережевих параметрів, пряме зловживання API, емуляція мобільних застосунків та поведінкове моделювання дають зловмисникам змогу створювати сесії, які в межах окремого механізму перевірки можуть виглядати легітимними.
Основна перевага сучасного бота полягає не лише у швидкості або масштабі. Вона полягає в узгодженості. IP-адреса підтримує образ реального користувача. Цифровий відбиток відповідає заявленому пристрою. API-запити формують правдоподібну послідовність. Поведінка нагадує дії людини. Усі рівні підсилюють один одного. Саме тому ефективний захист має аналізувати не окремі сигнали, а їхні взаємозв’язки.
У другій статті від Radware про сучасні методи обходу бот-захисту ми розглянемо, як системи бот-захисту мають розвиватися завдяки міжрівневій кореляції, безперервному оцінюванню ризиків, інтеграції захисних продуктів, поведінковому аналізу, практичному використанню Threat Intelligence.
Нова реальність бот-атак
Автоматизовані загрози перетворилися на складні скоординовані системи. Сучасний бот — це вже не простий скрипт і не базовий інструмент автоматизації на кшталт Selenium. Зловмисники створюють повноцінні екосистеми, у яких поєднуються:- резидентські та мобільні проксі-мережі;
- автоматизовані браузери;
- прямі атаки на API;
- емуляція мобільних пристроїв;
- інструменти підміни цифрових відбитків;
- алгоритми ухвалення рішень на основі штучного інтелекту.
Масштаб проблеми продовжує зростати
За даними Radware 2026 Global Threat Analysis Report, кількість шкідливих транзакцій, спрямованих на вебзастосунки та API, у 2025 році зросла на 128% порівняно з попереднім роком. Лише за перші шість місяців 2025 року Radware Cloud Application Protection Service зафіксував обсяг шкідливих транзакцій, еквівалентний 87% від їхньої загальної кількості за весь 2024 рік. У другому півріччі 2025 року показник зріс ще на 63% порівняно з першим півріччям.
Активність шкідливих ботів також різко посилилася. У 2025 році кількість транзакцій, створених такими ботами, збільшилася на 91,8%. Для порівняння: роком раніше зростання становило 35,2%.
Тенденція продовжилася і у 2026 році. У першому кварталі кількість шкідливих транзакцій, спрямованих на вебзастосунки та API, була на 52% вищою, ніж у четвертому кварталі 2025 року та на 273% вищою, ніж у першому кварталі 2025 року. Усього за перший квартал 2026 року Radware заблокувала обсяг шкідливих веб- і API-транзакцій, що дорівнював 60% усіх транзакцій, заблокованих протягом 2025 року.
Ці показники демонструють, що відокремлення реального користувача від автоматизованої системи більше не може ґрунтуватися на простих детермінованих правилах. Традиційні механізми — блокування IP-адрес, CAPTCHA та статичне обмеження частоти запитів — не були розраховані на атаки, які адаптуються в режимі реального часу.
Як розвивалася бот-автоматизація
Можливості ботів змінювалися разом із розвитком вебзастосунків. Перші покоління ботів використовували:- статичні HTTP-запити;
- передбачувані часові інтервали;
- одну або обмежену кількість IP-адрес;
- незмінні заголовки запитів;
- спрощені послідовності дій.
Ситуація змінилася після поширення повноцінних фреймворків браузерної автоматизації, зокрема Playwright і Puppeteer. Вони дають ботам змогу:
- виконувати JavaScript;
- відображати сторінки у справжньому браузерному середовищі;
- працювати з cookie;
- підтримувати сесії;
- переходити за перенаправленнями;
- заповнювати форми;
- проходити багатокрокові сценарії;
- імітувати повний шлях користувача.
Перехід до API та мобільних застосунків
Сучасний цифровий шлях користувача більше не обмежується веббраузером. Він може охоплювати:
- мобільні застосунки;
- API автентифікації;
- пошукові сервіси;
- перевірку наявності товарів;
- кошики та платіжні операції;
- програми лояльності;
- особисті кабінети;
- системи відновлення доступу.
- входу в обліковий запис;
- перевірки балансу;
- пошуку товару;
- резервування;
- додавання товару до кошика;
- застосування промокоду;
- оформлення замовлення;
- зміни персональних даних.
Автоматизація з підтримкою ШІ
Ще один етап розвитку — використання штучного інтелекту для адаптації ботів. Такі системи можуть аналізувати відповідь застосунку та змінювати подальші дії. Зокрема, вони здатні:
- повторювати невдалі операції;
- знижувати швидкість при появі захисної перевірки;
- змінювати маршрут навігації;
- обирати інший API;
- коригувати цифровий відбиток;
- оптимізувати сценарій відповідно до результатів попередніх спроб.
Основні методи обходу бот-захисту
Складні бот-атаки використовують багаторівневе маскування. Однієї підробленої IP-адреси або зміненого заголовка User-Agent вже недостатньо. Зловмисники прагнуть створити узгоджену цифрову ідентичність, у якій інфраструктура, браузер, протокол, API-запити, мобільне середовище та поведінка розповідають одну й ту саму історію.Маскування інфраструктури
Першим рівнем часто стає приховування джерела трафіку. Для цього використовуються:
- резидентські проксі-мережі;
- проксі-пули інтернет-провайдерів;
- IP-адреси мобільних операторів;
- розподілені мережі заражених або орендованих пристроїв;
- часта ротація IP-адрес.
Імітація браузера та пристрою
Наступний рівень — підробка цифрового відбитка клієнтського середовища. Сучасні системи виявлення аналізують не лише User-Agent, а й десятки інших характеристик:
- Canvas fingerprint;
- WebGL;
- встановлені шрифти;
- роздільну здатність екрана;
- параметри операційної системи;
- часовий пояс;
- мову інтерфейсу;
- властивості об’єкта Navigator;
- підтримувані функції браузера;
- характеристики графічного адаптера;
- сенсорні можливості пристрою.
Імітація мережевих протоколів
Навіть за умови підміни User-Agent мережеві характеристики автоматизованого інструмента можуть відрізнятися від поведінки реального браузера. Тому зловмисники намагаються узгоджувати:
- TLS-відбитки;
- набір і порядок криптографічних параметрів;
- HTTP-заголовки;
- порядок передавання заголовків;
- версію HTTP;
- налаштування з’єднання;
- поведінку під час повторних запитів.
Обхід захисту через API
API створюють для ботів окрему поверхню атаки. Замість відтворення графічного інтерфейсу зловмисник може безпосередньо взаємодіяти з серверною функцією. Серед поширених сценаріїв:
- credential stuffing;
- підбір паролів;
- масова перевірка облікових записів;
- скрейпінг даних;
- перебір промокодів;
- автоматизоване резервування;
- маніпуляції з товарними запасами;
- створення фальшивих акаунтів;
- зловживання програмами лояльності;
- автоматизоване оформлення операцій.
- послідовність викликів API;
- характеристики клієнта;
- контекст запиту;
- автентифікаційний сценарій;
- цілісність токенів;
- повторне використання облікових даних;
- кількість невдалих входів;
- відповідність бізнес-логіці.
Імітація поведінки людини
Щоб сесія виглядала переконливіше, боти імітують поведінкові особливості користувача:
- нерівномірні затримки між діями;
- рухи миші;
- прокручування сторінки;
- переходи між розділами;
- повернення до попередніх сторінок;
- різну глибину перегляду;
- паузи перед натисканням;
- тривалі користувацькі сесії.
- понад 600 унікальних IP-адрес;
- понад 6000 унікальних User-Agent;
- 1028 різних User-Agent з однієї IP-адреси лише протягом двох годин.
Життєвий цикл бот-атаки
Типова сучасна бот-кампанія проходить кілька взаємопов’язаних етапів.1. Розвідка. Зловмисники вивчають:
- структуру застосунку;
- доступні API;
- механізми входу;
- послідовність бізнес-операцій;
- захисні перевірки;
- обмеження частоти запитів;
- реакцію системи на помилки.
3. Налаштування автоматизації. Бот навчається проходити потрібний сценарій: автентифікуватися, виконувати пошук, додавати товар до кошика, змінювати дані або здійснювати іншу цільову операцію.
4. Поведінкове маскування. Додаються затримки, рухи курсора, прокручування, варіативність маршрутів та інші ознаки, характерні для людини.
5. Масштабування. Після оптимізації сценарію атака запускається у великому масштабі — через тисячі IP-адрес, цифрових ідентичностей і користувацьких сесій.
Кожен етап підсилює наступний. Основна мета зловмисника — забезпечити узгодженість усіх ознак, які може спостерігати система захисту.

Чому традиційний бот-захист втрачає ефективність
Застарілі засоби контролю створювалися для передбачуваної автоматизації. Вони добре працювали, коли боти генерували повторюваний трафік, діяли з однієї IP-адреси та мали очевидні технічні ознаки. Сьогодні ці припущення більше не відповідають реальності.
Репутації IP-адреси недостатньо. Значення IP-репутації знижується, коли зловмисники використовують резидентські й мобільні мережі та постійно змінюють адреси. Заблокована адреса може більше не використовуватися вже за кілька секунд. Водночас надто агресивне блокування може зачепити легітимних користувачів.
Статичні сигнатури легко змінити. Сигнатурний аналіз менш ефективний, якщо бот:
- змінює User-Agent;
- підлаштовує заголовки;
- використовує справжній браузер;
- модифікує цифровий відбиток;
- коригує послідовність запитів;
- змінює сценарій після блокування.
- ферми розв’язування CAPTCHA;
- сервіси ручного вирішення;
- повторне використання пройдених перевірок;
- автоматизовані методи розпізнавання;
- обхід сторінки через прямий виклик API.
Статичне обмеження швидкості не враховує розподілені атаки. Rate limiting може блокувати джерело, яке створює надто багато запитів. Але зловмисник може розподілити навантаження між великою кількістю IP-адрес. Замість сотень запитів з однієї адреси система отримуватиме по одному запиту з кожної адреси. Загальний масштаб атаки залишатиметься високим, але локальний поріг не буде перевищено. В одному з кейсів Radware зловмисники протягом кількох тижнів змінювали тактику:
- спочатку надсилали сотні запитів з однієї IP-адреси;
- потім перейшли до одного запиту з кожної адреси;
- почали атакувати інші вебзастосунки;
- перенесли активність на форми та мобільні застосунки;
- зрештою запустили DDoS-атаку сьомого рівня потужністю 10 Гбіт/с.
Сучасні бот-кампанії координують:
- мережеву інфраструктуру;
- браузерне середовище;
- поведінку клієнта;
- логіку сесії;
- API-запити;
- мобільні сигнали;
- цифрову ідентичність.
Основні висновки
Сучасні боти перетворилися з простих скриптів на комплексні системи імітації користувачів. Резидентські проксі, повноцінна браузерна автоматизація, підміна мережевих параметрів, пряме зловживання API, емуляція мобільних застосунків та поведінкове моделювання дають зловмисникам змогу створювати сесії, які в межах окремого механізму перевірки можуть виглядати легітимними. Основна перевага сучасного бота полягає не лише у швидкості або масштабі. Вона полягає в узгодженості. IP-адреса підтримує образ реального користувача. Цифровий відбиток відповідає заявленому пристрою. API-запити формують правдоподібну послідовність. Поведінка нагадує дії людини. Усі рівні підсилюють один одного. Саме тому ефективний захист має аналізувати не окремі сигнали, а їхні взаємозв’язки.
У другій статті від Radware про сучасні методи обходу бот-захисту ми розглянемо, як системи бот-захисту мають розвиватися завдяки міжрівневій кореляції, безперервному оцінюванню ризиків, інтеграції захисних продуктів, поведінковому аналізу, практичному використанню Threat Intelligence.
Підбір, придбання чи консультації щодо рішень Radware: sales@megatrade.ua, (044) 538-00-06
Технічні консультації для партнерів Мегатрейд: radware@megatrade.ua
Докладніше про Radware — виробника рішень із запобігання DDos-атакам, для хмарної безпеки та балансування мережевого трафіку
Аналізатор шкідливих ботів від Radware
