您现在的位置:主页 > api >

api

瑞数信息:警惕支付接口被挪用API安全防护势在必行

  赛迪顾问发布《2021-2022年中国政务云市场研究年度报告》,中国政务云将迈入千亿级市场

  M2处理器号称比Intel酷睿i5快26倍,实际对比的是五年前的酷睿i5 8210Y

  赛迪顾问发布《2021-2022年中国政务云市场研究年度报告》,中国政务云将迈入千亿级市场

  M2处理器号称比Intel酷睿i5快26倍,实际对比的是五年前的酷睿i5 8210Y

  最近,国内一家大型保险公司的安全运维人员发现了一个异常现象:自家APP中的用户话费充值页面,出现了大量的支付下单服务请求,却没有出现对应的话费充值支付行为。更奇怪的是,面对这些批量出现的异常支付下单请求,内部的风控系统却毫无反应。

  为了弄清楚背后的原因,这家保险公司向专业网络安全厂商瑞数信息寻求了帮助,结果让保险公司大吃一惊:原来APP的支付接口被一家博彩网站恶意挪用,变相对赌资进行充值。

  经系统分析显示,这家博彩网站将该保险APP话费充值页面的前端逻辑,嵌入到了自己的博彩充值页面中。当用户在博彩网站上点击投注时,充值信息被发送至保险APP的支付处理中转服务,从而获取有效的微信支付跳转链接。但微信支付链接并没有按照正常路径返回,而是返回到了博彩网站的前端页面,这样用户就可以直接在博彩页面中完成赌资支付。

  事实上,这是一起典型的支付接口被挪用的案件。所谓的支付接口挪用,就是指未按照事前约定使用支付机构提供的支付结算能力,最常见的是被用于对接一些非法的交易,如对接黄赌毒、套现、非法期货、非法大宗商品等交易。

  在我国相关监管文件中,非常明确地指出禁止支付交易接口挪用,以遏制违法行为、严厉打击行业乱象。但不可否认的是,大量支付交易接口挪用现象层出不穷,逍遥在监管之外。

  如今,网络支付正逐渐取代现金支付,随着网络支付的增加,网络支付接口挪用现象也呈现愈演愈烈的趋势。

  套码、降低接入费用:通过套用较低费率的接口,可以降低接入成本,提高利润水平。

  四方转售接口:开展非法四方业务的机构通过壳公司接入银行和支付机构,获取网络支付接口,并通过转售这些接口获利。

  开展非法业务:黄赌毒、套现、原油、期货、大宗商品等非法业务通过包装进合法的壳公司,对接支付机构。

  支付机构之间接口互接:根据监管要求,银行、支付机构涉及跨行清算业务时,必须通过央行或具备合法资质的清算机构处理。但为了绕开监管,部分支付机构通过关联公司等手段变相对接其他支付机构的通道。

  不难发现,支付接口被非法挪用的背后都涉及到利益。根据网络数据显示,某大型博彩公司在旺季一个晚上流水可达上亿元,为其提供支付接口的黑产可以从中提成1.3-3%的服务费。换句话说,光是负责支付这一环节,黑产一晚上就至少能赚130万,而且几乎是躺赚。

  如此丰厚的利益,自然吸引了大量黑产投身其中。为了应对微信、支付宝、京东钱包等支付平台的严格审核,黑产不断地提升攻击技术,寻找可突破的系统漏洞和业务逻辑,想方设法地利用各种合法支付接口。

  瑞数信息技术专家黄志敏介绍:“所有行业的线上业务支付接口都可能被黑产利用,特别是电商、保险金融等机构和运营商合作推出的话费充值等虚拟充值商品相关业务,很容易被黑产恶意利用支付接口用作非法用途。”

  但从企业角度看,面对如此猖獗的黑产攻击却毫无招架之力,甚至很长时间都无法察觉黑产恶意行为的存在。在瑞数信息技术专家黄志敏看来,其原因主要有两点:

  一是黑产攻击手段的不断升级。如今黑产已形成了高度专业化的上下游独立的、有序协作的作案团伙,为了进一步提高攻击效率,大多数黑产在整个欺诈流程中涉及到需要大量重复执行的环节中,采用Bots自动化工具攻击,甚至会针对特定平台、特定API业务逻辑编写定制化的脚本,不断在尝试利用各种各样的手段来绕过现有的安全检测措施。

  二是传统安全和风控产品无力应对新型API攻击。面对隐秘高效的Bots自动化攻击,企业普遍采用的传统WAF、IDS、API安全网关等安全设备,基于固定的规则和签名已无法有效识别异常行为;而传统风控产品在业务和安全数据关联上较为脱节,且缺少对自动化攻击的识别能力,单从账号行为分析也无法识别出模仿正常用户行为的恶意行为。

  支付接口挪用案件频发,给社会和行业带来了一系列不良影响。一方面,支付接口挪用带来的洗钱、套利、黄赌毒等非法交易的发生,导致犯罪率的增高甚至引起金融市场动荡,给社会的繁荣稳定、治安等问题造成了巨大的危害性。另一方面,支付接口挪用造成大量的客户投诉及举报等问题,给企业声誉以及市场稳定发展造成了不利影响。

  基于这种严峻的现状,全行业亟需一种能够对支付接口进行实时监测和防护的系统,有效地在日常监控中识别支付交易接口挪用现象,快速识别违法犯罪行为,以提升支付风险的整体防控水平。

  为了解决企业合法支付接口面临的风险,瑞数信息作为中国动态安全技术的创新者,和Bots自动化攻击防护领域的专业厂商,创新推出了API安全管控平台(API BotDefender),从API接口的资产管理、敏感数据管控、访问行为管控、API风险识别与管控等维度,体系化保障API接口安全,弥补了传统安全和风控产品的不足。

  针对支付接口被挪用问题,瑞数API安全管控平台会对保险APP的API资产进行梳理,如:包括哪些API接口?通过API接口的业务逻辑是怎样的?从哪些渠道可以访问支付API接口等,从API接口路径入手去查看异常行为。

  其次,基于API防护技术建立了API安全基线,对API接口滥用、API接口异常访问、恶意扫描、注入攻击等进行监控分析;同时,基于动态安全、业务威胁感知、Bots自动化攻击识别等技术模块,能够透视API接口常见的业务威胁,高效准确进行人机识别,从而发现了大量的异常信息请求,并识别出其攻击手段包括cookie信息篡改、自动化工具、URL信息篡改,符合业务欺诈的逻辑。

  最后,经过对异常行为日志进行进一步深入分析和确认,联动企业现有风控产品对异常行为背后的账号进行打分,将识别出的异常账号批量提供给企业,并配合企业调整风控系统策略,将API接口防护的安全能力赋能给企业。

  事实上,瑞数信息不仅能实现高效准确的人机识别,也能够对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等,实现企业实时安全响应和业务发展的平衡。

  随着Bots自动化攻击瞄准支付API接口,瑞数信息也率先将所有线上业务接入渠道纳入防护,包括Web、H5、APP、API、微信、小程序等,通过用户账号等唯一标识和全访问记录,将各业务接入渠道的数据进行融合,· 20日起澄迈将对金江城区货车及危,实现应用全渠道的安全防护。

  正是基于在业务反欺诈领域的出色表现,瑞数信息日前成功入选了2022年IDC《中国金融行业反欺诈市场研究报告》代表厂商,并在2021年被Gartner列为《在线反欺诈市场指南》报告代表厂商。

  支付API接口被挪用是一个非常严重的问题,给社会经济运行和企业自身带来了巨大的风险。随着行业监管从严,API攻击威胁环境愈加复杂,黑产攻击手段进一步提升,企业也必须更加重视支付API滥用的问题,借助专业安全厂商的力量保护API安全已势在必行。瑞数信息基于独有的“动态安全+AI”核心技术,能够有效保护企业的API安全,为业务和数据保驾护航。

  本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,强力混合机结构剖析森泰科混合造粒机。并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

  赛迪顾问发布《2021-2022年中国政务云市场研究年度报告》,中国政务云将迈入千亿级市场

  中国数字政府建设的持续推进和疫情防控常态化对政务云的建设需求不断增加,中国政务云投资规模持续发展。日前,中国电子信息产业发展研究院研究咨询机构赛迪顾问权威发布《2021-2022年中国政务云市场研究年度报

  M2处理器号称比Intel酷睿i5快26倍,实际对比的是五年前的酷睿i5 8210Y

  苹果刚刚发布了M2处理器,首发搭载于新款MacBook Air和13寸MBP上。这次M2依然是5nm工艺,CPU依然最高8核,说实话有点“挤牙膏”的意味。不过,苹果在营销方面倒是很鸡贼,摆出这种数据吊打x86竞品,比如号称剪视频

  市面上宣称具有护眼功能的学习机五花八门,参考的标准不一,有的单纯强调硬件层面例如屏幕材质对眼睛的影响,而有的只是单一的软件功能,各种宣传的背后,实际护眼效果难以考证,很多消费者更多是因为心理作用而去信赖

  近日,公安部向华云安发来感谢信,以表彰华云安在2021年公安部网络安全专项行动中支持网络安全保卫工作所做出的积极贡献。华云安对此次任务高度重视,紧密围绕公安部工作要求,集中精锐技术力量,以实际行动全力

  到了年中,很多朋友都有换新机的想法,而挑选准则自然是既想要性能拉满,又想要极致性价比。日前,随着各大电商平台618活动的陆续开展,三星旗下不少热门机型都迎来=促销活动,尤其是Galaxy A53 5G,性能强、颜

  近日,“中国500强”九州通正式签约蓝凌,将携手蓝凌共建知识管理平台,并首先在客服部门试点,实现知识全生命周期管理,提升客服响应效率,提升客户体验,赋能业务更好发展。九州通医药集团股份有限公司为

  导读:物易云通目前已成为国内产融供应链运营服务平台的领军企业之一,平台年交易额超过 200 亿元,随着公司业务的快速发展,对数据计算分析的时效要求也越来越高。经数据团队的调研对比,于 2021 年引入了 Apac

  为了积极推进数字化转型,2015年,杭州银行推出适应互联网业务快速发展的“数字银行”——杭州银行杭银直销APP,其业务涵盖三个板块:投资理财、贷款融资、开放平台。目前,杭银直销用户数已突破1200万户,年度

  6月10日,迅雷数字藏品平台非同数艺上新信阳博物馆典藏的国家一级文物——博山盖铜尊系列数字藏品。本期非同数艺上新的数字藏品,是将博山盖铜尊上的纹饰提取出来,用铜尊本身的纹饰和青龙、神兽、朱雀、羽人等

  近期,MAXHUB 360°全景摄像头凭借独特的美学设计与使用体验在众多评选产品中脱颖而出,斩获2022年德国红点设计奖。德国红点设计奖作为工业设计领域的全球性奖项,与德国IF奖、美国IDEA奖并称为世界三大设计奖,

  Google Maps 现在帮你呼吸到新鲜空气。在本次更新中,Google Maps 会向你提醒你附近的空气等级,这样在你出行的时候就可以做出更明智的决定,选择何时出行、在户外要待多久。你将看到的是AQI或空气质量指数

  近日,中国消费者协会在发布文章《2022年618家用智能投影选购》中特别点赞:以极米为代表的优秀厂商,始终以用户体验为导向,踏踏实实为消费者带来一台又一台极致的投影产品。早在2020年年底中国消费者协会发布

  对每一位糖友而言,自从解锁这个“身份”之后,就不可避免地需要自测血糖。不过,许多糖友,特别是“新晋”糖友,尽管很好地掌握了这项技能,但在血糖监测的时间点以及监测频率上,往往都不是很重视。一些人要么

  6月8日下午,中国·绍兴第七届海内外高层次人才创新创业大赛海外专场(视频)赛创新专场赛在数智港举行。柯桥区相关单位领导、知名投资机构、相关人才代表、创新项目对接企业代表、园区平台代表、项目路演选手以及

  蓝牙联盟(Bluetooth SIG)刚刚介绍了 Auracast 技术的最新细节,可知其支持音频分享、公共收听、辅以可访问性等方面的改进。可知作为低功耗蓝牙音频(Bluetooth LE Audio)技术的一部分,它在现有的点对点音频通

  2022年618活动什么时候开始,当贝X3激光投影仪多重优惠选好物值得看

  从焕新空气到更新城市呼吸,海信新风空调这个周末即将在青岛奏响新风最强音

  千千惠:成都本土国内领先互联网爆品抢购平台,已布局200余城市日GMV破千万

  本网站LOGO小熊标志受版权保护,版权登记号:鲁作登字-2015-F-025467,未经ITBEAR官方许可,严禁使用。