За периметром и до авторизации: где начинается защита от ботов в 2025 году

Точка входа в цифровую систему давно перестала быть границей безопасности. Боты работают до логина: тестируют формы, атакуют API, эмулируют пользовательское поведение. Эти действия не фиксируются транзакционными антифрод-системами и не попадают в отчёты.

Трафик до авторизации остаётся вне контроля, хотя именно он закладывает основу успешной атаки. Если архитектура защиты не охватывает эту зону, организация теряет видимость и время.

Уязвимые участки до логина

F6 в рамках проектов с клиентами выделяет три группы уязвимостей:

• публичные точки доступа, включая формы входа и регистрации;
• авторизационные и коммуникационные API, особенно связанные с генерацией SMS и одноразовых кодов;
• клиентская логика веб- и мобильных приложений, в том числе поведенческие шаблоны, которые легко воспроизводятся ботами.

Автоматизация здесь незаметна, но критична. Она создаёт инфраструктуру атаки, подменяет реального пользователя и перехватывает управление до того, как сессия попадёт в backend.

Типология атак

Preventive Proxy фиксирует следующие категории активности:

• credential stuffing и brute force с использованием антидетект-браузеров и ротацией IP;
• автоматизированный обход форм, в том числе с целью анализа бизнес-логики;
• массовые обращения к API, включая генерацию одноразовых кодов и запуск вспомогательных сценариев;
• подбор и переиспользование cookie, обход трекинга и капч;
• использование скриптов на Selenium, PhantomJS, Puppeteer и аналогах.

Брутфорс-атаки: как мошенники взламывают аккаунты

Почему стандартная защита не распознаёт угрозу

Традиционные инструменты (WAF, антифрод, капчи) запускаются на поздних стадиях. Они предполагают, что пользователь уже вошёл в систему или начал транзакционное взаимодействие. В реальности:

• автоматизация не вызывает срабатывания сигнатур;
• распределённые атаки не идентифицируются как аномальные;
• cookie и поведение, скопированные с легитимного пользователя, не вызывают подозрений.

Сценарии обхода WAF и обмана антифрода стали частью публичных методичек. Средства автоматизации адаптируются под логику приложений и делают трафик неотличимым от реального.

Что делает Preventive Proxy

Preventive Proxy от F6 анализирует поведение на клиентской стороне до момента авторизации. Его задачи:

• выделение аномалий по таймингу, частоте действий, отклонениям в пользовательских паттернах;
• профилирование сессии по устройству, окружению, цифровому отпечатку;
• идентификация автоматизации без опоры на сигнатуры или API-вызовы;
• вынесение вердикта в реальном времени — разрешение, блокировка, маршрутизация.

Решение действует до попадания запроса в backend. Это позволяет отсекать нерелевантный трафик, разгружать инфраструктуру и обеспечивать аналитическую чистоту.

Связная аналитика

На следующем уровне используется графовый анализ. Он агрегирует сигналы и устанавливает связи между сессиями:

• множественные входы с одного устройства под разными аккаунтами;
• повторяющиеся поведенческие паттерны при различии идентификаторов;
• активность из одной подсети с разными агентами и отпечатками.

Такая модель выявляет скрытую структуру атак, помогает распознавать мультиаккаунтинг и выстраивать превентивные сценарии.

Что получает ИБ-команда

• контроль до логина: фильтрация неавторизованных сессий;
• снижение нагрузки на backend и антифрод;
• повышение точности аналитики за счёт удаления автоматизированных сессий;
• упрощение реагирования: меньше инцидентов, больше предсказуемости;
• готовые механизмы для подключения графового анализа и поведенческой фильтрации.

Заключение

Контроль начинается не с логина, а с первого запроса. Если трафик проходит в систему без оценки, инфраструктура остаётся уязвимой. Preventive Proxy закрывает этот разрыв: он позволяет видеть, как зарождается атака, и останавливать её до того, как она перерастёт в инцидент.