當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

瑞數(shù)信息:警惕支付接口被挪用,API安全防護(hù)勢(shì)在必行

 2022-05-23 17:52  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

最近,國(guó)內(nèi)一家大型保險(xiǎn)公司的安全運(yùn)維人員發(fā)現(xiàn)了一個(gè)異常現(xiàn)象:自家APP中的用戶話費(fèi)充值頁(yè)面,出現(xiàn)了大量的支付下單服務(wù)請(qǐng)求,卻沒(méi)有出現(xiàn)對(duì)應(yīng)的話費(fèi)充值支付行為。更奇怪的是,面對(duì)這些批量出現(xiàn)的異常支付下單請(qǐng)求,內(nèi)部的風(fēng)控系統(tǒng)卻毫無(wú)反應(yīng)。

為了弄清楚背后的原因,這家保險(xiǎn)公司向?qū)I(yè)網(wǎng)絡(luò)安全廠商瑞數(shù)信息尋求了幫助,結(jié)果讓保險(xiǎn)公司大吃一驚:原來(lái)APP的支付接口被一家**網(wǎng)站惡意挪用,變相對(duì)賭資進(jìn)行充值。

經(jīng)系統(tǒng)分析顯示,這家**網(wǎng)站將該保險(xiǎn)APP話費(fèi)充值頁(yè)面的前端邏輯,嵌入到了自己的**充值頁(yè)面中。當(dāng)用戶在**網(wǎng)站上點(diǎn)擊投注時(shí),充值信息被發(fā)送至保險(xiǎn)APP的支付處理中轉(zhuǎn)服務(wù),從而獲取有效的微信支付跳轉(zhuǎn)鏈接。但微信支付鏈接并沒(méi)有按照正常路徑返回,而是返回到了**網(wǎng)站的前端頁(yè)面,這樣用戶就可以直接在**頁(yè)面中完成賭資支付。

事實(shí)上,這是一起典型的支付接口被挪用的案件。所謂的支付接口挪用,就是指未按照事前約定使用支付機(jī)構(gòu)提供的支付結(jié)算能力,最常見(jiàn)的是被用于對(duì)接一些非法的交易,如對(duì)接黃賭毒、套現(xiàn)、非法期貨、非法大宗商品等交易。

在我國(guó)相關(guān)監(jiān)管文件中,非常明確地指出禁止支付交易接口挪用,以遏制違法行為、嚴(yán)厲打擊行業(yè)亂象。但不可否認(rèn)的是,大量支付交易接口挪用現(xiàn)象層出不窮,逍遙在監(jiān)管之外。

為何支付接口挪用屢禁不止?

支付接口挪用創(chuàng)下高額利益,黑產(chǎn)趨于自動(dòng)化、專(zhuān)業(yè)化攻擊

如今,網(wǎng)絡(luò)支付正逐漸取代現(xiàn)金支付,隨著網(wǎng)絡(luò)支付的增加,網(wǎng)絡(luò)支付接口挪用現(xiàn)象也呈現(xiàn)愈演愈烈的趨勢(shì)。

目前,最常見(jiàn)的網(wǎng)絡(luò)支付接口挪用有以下幾種:

●套碼、降低接入費(fèi)用:通過(guò)套用較低費(fèi)率的接口,可以降低接入成本,提高利潤(rùn)水平。

●四方轉(zhuǎn)售接口:開(kāi)展非法四方業(yè)務(wù)的機(jī)構(gòu)通過(guò)殼公司接入銀行和支付機(jī)構(gòu),獲取網(wǎng)絡(luò)支付接口,并通過(guò)轉(zhuǎn)售這些接口獲利。

●開(kāi)展非法業(yè)務(wù):黃賭毒、套現(xiàn)、原油、期貨、大宗商品等非法業(yè)務(wù)通過(guò)包裝進(jìn)合法的殼公司,對(duì)接支付機(jī)構(gòu)。

●支付機(jī)構(gòu)之間接口互接:根據(jù)監(jiān)管要求,銀行、支付機(jī)構(gòu)涉及跨行清算業(yè)務(wù)時(shí),必須通過(guò)央行或具備合法資質(zhì)的清算機(jī)構(gòu)處理。但為了繞開(kāi)監(jiān)管,部分支付機(jī)構(gòu)通過(guò)關(guān)聯(lián)公司等手段變相對(duì)接其他支付機(jī)構(gòu)的通道。

不難發(fā)現(xiàn),支付接口被非法挪用的背后都涉及到利益。根據(jù)網(wǎng)絡(luò)數(shù)據(jù)顯示,某大型**公司在旺季一個(gè)晚上流水可達(dá)上億元,為其提供支付接口的黑產(chǎn)可以從中提成1.3-3%的服務(wù)費(fèi)。換句話說(shuō),光是負(fù)責(zé)支付這一環(huán)節(jié),黑產(chǎn)一晚上就至少能賺130萬(wàn),而且?guī)缀跏翘少崱?/p>

如此豐厚的利益,自然吸引了大量黑產(chǎn)投身其中。為了應(yīng)對(duì)微信、支付寶、京東錢(qián)包等支付平臺(tái)的嚴(yán)格審核,黑產(chǎn)不斷地提升攻擊技術(shù),尋找可突破的系統(tǒng)漏洞和業(yè)務(wù)邏輯,想方設(shè)法地利用各種合法支付接口。

瑞數(shù)信息技術(shù)專(zhuān)家黃志敏介紹:“所有行業(yè)的線上業(yè)務(wù)支付接口都可能被黑產(chǎn)利用,特別是電商、保險(xiǎn)金融等機(jī)構(gòu)和運(yùn)營(yíng)商合作推出的話費(fèi)充值等虛擬充值商品相關(guān)業(yè)務(wù),很容易被黑產(chǎn)惡意利用支付接口用作非法用途。”

但從企業(yè)角度看,面對(duì)如此猖獗的黑產(chǎn)攻擊卻毫無(wú)招架之力,甚至很長(zhǎng)時(shí)間都無(wú)法察覺(jué)黑產(chǎn)惡意行為的存在。在瑞數(shù)信息技術(shù)專(zhuān)家黃志敏看來(lái),其原因主要有兩點(diǎn):

一是黑產(chǎn)攻擊手段的不斷升級(jí)。如今黑產(chǎn)已形成了高度專(zhuān)業(yè)化的上下游獨(dú)立的、有序協(xié)作的作案團(tuán)伙,為了進(jìn)一步提高攻擊效率,大多數(shù)黑產(chǎn)在整個(gè)欺詐流程中涉及到需要大量重復(fù)執(zhí)行的環(huán)節(jié)中,采用Bots自動(dòng)化工具攻擊,甚至?xí)槍?duì)特定平臺(tái)、特定API業(yè)務(wù)邏輯編寫(xiě)定制化的腳本,不斷在嘗試?yán)酶鞣N各樣的手段來(lái)繞過(guò)現(xiàn)有的安全檢測(cè)措施。

二是傳統(tǒng)安全和風(fēng)控產(chǎn)品無(wú)力應(yīng)對(duì)新型API攻擊。面對(duì)隱秘高效的Bots自動(dòng)化攻擊,企業(yè)普遍采用的傳統(tǒng)WAF、IDS、API安全網(wǎng)關(guān)等安全設(shè)備,基于固定的規(guī)則和簽名已無(wú)法有效識(shí)別異常行為;而傳統(tǒng)風(fēng)控產(chǎn)品在業(yè)務(wù)和安全數(shù)據(jù)關(guān)聯(lián)上較為脫節(jié),且缺少對(duì)自動(dòng)化攻擊的識(shí)別能力,單從賬號(hào)行為分析也無(wú)法識(shí)別出模仿正常用戶行為的惡意行為。

瑞數(shù)動(dòng)態(tài)+API安全,體系化保護(hù)支付接口安全

支付接口挪用案件頻發(fā),給社會(huì)和行業(yè)帶來(lái)了一系列不良影響。一方面,支付接口挪用帶來(lái)的洗錢(qián)、套利、黃賭毒等非法交易的發(fā)生,導(dǎo)致犯罪率的增高甚至引起金融市場(chǎng)動(dòng)蕩,給社會(huì)的繁榮穩(wěn)定、治安等問(wèn)題造成了巨大的危害性。另一方面,支付接口挪用造成大量的客戶投訴及舉報(bào)等問(wèn)題,給企業(yè)聲譽(yù)以及市場(chǎng)穩(wěn)定發(fā)展造成了不利影響。

基于這種嚴(yán)峻的現(xiàn)狀,全行業(yè)亟需一種能夠?qū)χЦ督涌谶M(jìn)行實(shí)時(shí)監(jiān)測(cè)和防護(hù)的系統(tǒng),有效地在日常監(jiān)控中識(shí)別支付交易接口挪用現(xiàn)象,快速識(shí)別違法犯罪行為,以提升支付風(fēng)險(xiǎn)的整體防控水平。

為了解決企業(yè)合法支付接口面臨的風(fēng)險(xiǎn),瑞數(shù)信息作為中國(guó)動(dòng)態(tài)安全技術(shù)的創(chuàng)新者,和Bots自動(dòng)化攻擊防護(hù)領(lǐng)域的專(zhuān)業(yè)廠商,創(chuàng)新推出了API安全管控平臺(tái)(API BotDefender),從API接口的資產(chǎn)管理、敏感數(shù)據(jù)管控、訪問(wèn)行為管控、API風(fēng)險(xiǎn)識(shí)別與管控等維度,體系化保障API接口安全,彌補(bǔ)了傳統(tǒng)安全和風(fēng)控產(chǎn)品的不足。

針對(duì)支付接口被挪用問(wèn)題,瑞數(shù)API安全管控平臺(tái)會(huì)對(duì)保險(xiǎn)APP的API資產(chǎn)進(jìn)行梳理,如:包括哪些API接口?通過(guò)API接口的業(yè)務(wù)邏輯是怎樣的?從哪些渠道可以訪問(wèn)支付API接口等,從API接口路徑入手去查看異常行為。

其次,基于API防護(hù)技術(shù)建立了API安全基線,對(duì)API接口濫用、API接口異常訪問(wèn)、惡意掃描、注入攻擊等進(jìn)行監(jiān)控分析;同時(shí),基于動(dòng)態(tài)安全、業(yè)務(wù)威脅感知、Bots自動(dòng)化攻擊識(shí)別等技術(shù)模塊,能夠透視API接口常見(jiàn)的業(yè)務(wù)威脅,高效準(zhǔn)確進(jìn)行人機(jī)識(shí)別,從而發(fā)現(xiàn)了大量的異常信息請(qǐng)求,并識(shí)別出其攻擊手段包括Cookie信息篡改、自動(dòng)化工具、URL信息篡改,符合業(yè)務(wù)欺詐的邏輯。

最后,經(jīng)過(guò)對(duì)異常行為日志進(jìn)行進(jìn)一步深入分析和確認(rèn),聯(lián)動(dòng)企業(yè)現(xiàn)有風(fēng)控產(chǎn)品對(duì)異常行為背后的賬號(hào)進(jìn)行打分,將識(shí)別出的異常賬號(hào)批量提供給企業(yè),并配合企業(yè)調(diào)整風(fēng)控系統(tǒng)策略,將API接口防護(hù)的安全能力賦能給企業(yè)。

事實(shí)上,瑞數(shù)信息不僅能實(shí)現(xiàn)高效準(zhǔn)確的人機(jī)識(shí)別,也能夠?qū)PI接口實(shí)現(xiàn)精細(xì)化的訪問(wèn)控制,支持多維度限頻、攔截、延時(shí)等,實(shí)現(xiàn)企業(yè)實(shí)時(shí)安全響應(yīng)和業(yè)務(wù)發(fā)展的平衡。

隨著B(niǎo)ots自動(dòng)化攻擊瞄準(zhǔn)支付API接口,瑞數(shù)信息也率先將所有線上業(yè)務(wù)接入渠道納入防護(hù),包括Web、H5、APP、API、微信、小程序等,通過(guò)用戶賬號(hào)等唯一標(biāo)識(shí)和全訪問(wèn)記錄,將各業(yè)務(wù)接入渠道的數(shù)據(jù)進(jìn)行融合,實(shí)現(xiàn)應(yīng)用全渠道的安全防護(hù)。

正是基于在業(yè)務(wù)反欺詐領(lǐng)域的出色表現(xiàn),瑞數(shù)信息日前成功入選了2022年IDC《中國(guó)金融行業(yè)反欺詐市場(chǎng)研究報(bào)告》代表廠商,并在2021年被Gartner列為《在線反欺詐市場(chǎng)指南》報(bào)告代表廠商。

結(jié)語(yǔ)

支付API接口被挪用是一個(gè)非常嚴(yán)重的問(wèn)題,給社會(huì)經(jīng)濟(jì)運(yùn)行和企業(yè)自身帶來(lái)了巨大的風(fēng)險(xiǎn)。隨著行業(yè)監(jiān)管從嚴(yán),API攻擊威脅環(huán)境愈加復(fù)雜,黑產(chǎn)攻擊手段進(jìn)一步提升,企業(yè)也必須更加重視支付API濫用的問(wèn)題,借助專(zhuān)業(yè)安全廠商的力量保護(hù)API安全已勢(shì)在必行。瑞數(shù)信息基于獨(dú)有的“動(dòng)態(tài)安全+AI”核心技術(shù),能夠有效保護(hù)企業(yè)的API安全,為業(yè)務(wù)和數(shù)據(jù)保駕護(hù)航。----廣告預(yù)覽結(jié)束 THE END-

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱(chēng),多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開(kāi)始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評(píng)選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評(píng)優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專(zhuān)業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評(píng)選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 從“畢業(yè)生盜取學(xué)生信息”事件,看高校數(shù)據(jù)安全的六個(gè)問(wèn)題、三個(gè)關(guān)鍵

    這兩天,一則#盜學(xué)生信息人大畢業(yè)生被刑拘#新聞沖上熱搜,引發(fā)熱議。中國(guó)人民大學(xué)畢業(yè)生馬某,在讀碩士研究生期間通過(guò)非法技術(shù)手段,盜取了近幾屆學(xué)生的個(gè)人信息,并制作成網(wǎng)頁(yè)供任何人隨意瀏覽,甚至能夠給該校女學(xué)生的顏值打分。*據(jù)網(wǎng)上爆料,這個(gè)名叫“RUCIRFACE”的顏值打分網(wǎng)站疑似包含了該校從2014級(jí)

    標(biāo)簽:
    數(shù)據(jù)安全
  • Check Point:攻擊者通過(guò)合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對(duì)電子郵件安全展開(kāi)調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對(duì)我國(guó)電子郵件安全的第三方報(bào)告顯示,與證書(shū)/憑據(jù)釣魚(yú)相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長(zhǎng)13%,增幅超過(guò)過(guò)去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營(yíng)商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門(mén)排行

信息推薦