传统上,欺诈检测和网络安全是两个不同的领域。然而,越来越复杂的攻击,尤其是针对恶意机器人API的攻击,需要更集成的防御。

最近的一项研究强调了这种紧迫性,该研究显示57%的组织无法可靠地检测API级欺诈。由于云原生应用严重依赖API,它们已成为主要目标。网络犯罪和欺诈之间的界限正在消失,需要一种既强大又能适应机器人利用业务逻辑漏洞的独特方式的策略。优先保护免受此类滥用对于API安全至关重要,因为欺诈是这些攻击的主要动机。

超越孤岛:为什么欺诈检测和API安全必须融合

机器人:以API为中心的欺诈的推动者

机器人已经改变了欺诈格局,API现在是它们最喜欢的游乐场。机器人能够自动执行任务、模仿真实用户行为并成倍地扩展操作,这对传统安全工具提出了独特的挑战,难以应对。

机器人实施的关键策略包括:


账户接管(ATO):机器人以惊人的速度针对API端点测试被盗凭证,试图暴力破解登录或系统性地重置密码。成功的ATO会暴露敏感数据并破坏客户信任。

凭证填充:与ATO类似,但规模更大。机器人利用泄露的凭证数据库,大量使用api来查找后续利用的有效登录。

虚假账户创建:机器人有一个简单的机制来针对为创建账户而设计的API,允许欺诈者歪曲指标、抓取数据或大规模发起垃圾邮件活动。

转向API威胁检测和业务应用保护的综合框架强调主动、响应式的安全性。该框架解决了一系列风险,尤其是自动攻击带来的风险。将机器人检测与应用保护相结合至关重要。此外,由于API通常使用OAuth和OIDC等协议共享身份层,因此这一级别的强大安全控制可以增强对欺诈和网络攻击的防御。

真实案例:当机器人与以API为中心的欺诈发生冲突时

为了说明以API为中心的欺诈的严重性,让我们考虑以下示例:

库存操纵和倒卖:欺诈者瞄准新品或限量版产品,部署机器人轰炸“添加到购物车”API,速度远快于任何人类买家。他们还可能利用API逻辑漏洞来操纵购物车数量。这会囤积库存,阻止合法销售,并经常导致商品以极高的价格转售。电子商务、音乐会门票和运动鞋或游戏机等高需求商品是主要目标,因为批量购买为欺诈者创造了有利可图的二级市场机会。

忠诚度和奖励计划API:忠诚度计划严重依赖API进行积分管理、奖励和转换,因此特别容易受到攻击。攻击者可以利用泄露的客户凭证访问兑换API,从而耗尽积分或将其用于未经授权的购买。他们还可能利用API漏洞(如弱身份验证或授权)直接操纵积分余额。目标是:随后将非法获得的积分兑换为商品或现金等价物。

礼品卡余额滥用:零售商经常成为礼品卡欺诈的受害者。如果检查礼品卡余额的API缺乏强大的安全性(例如速率限制或需要身份验证),欺诈者可以部署机器人系统地测试数千个可能的卡号。每次成功命中都会显示一张有效的卡,然后可以通过其他为合法购买而设计的API盗取该卡。受害者在尝试使用已经耗尽的礼品卡之前不会意识到被盗。

走向融合防御之路

转向API威胁检测和重要业务应用程序保护的综合框架,标志着向主动和响应式安全迈进。这些措施旨在应对各种风险,包括来自自动化威胁的风险。

融合方法的具体内容如下:


共享数据和见解:通过共享威胁情报,安全和反欺诈团队可以更全面地了解风险。登录失败率激增可能表明只是机器人攻击,但反欺诈见解可能会揭示账户接管(ATO)才是真正的目的。强大的身份验证和授权控制使获取高价值API的初始访问权限变得更加困难,从而有效地在攻击链的早期过滤掉机器人。

行为机器人检测:复杂的系统超越了基本的流量模式,分析API交互和设备指纹识别,以揭露密切模仿合法用户的机器人。当这些数据与已知的僵尸网络基础设施相关联时,可以提供更强大的保护。由于API驱动帐户创建、推荐和忠诚度积分交易等任务的业务逻辑,因此关注API排序、间隔、调用量和源属性(如IP地址、潜在代理/VPN)中的异常可以产生高度准确的机器人检测。

了解“正常”API行为:学习典型API使用模式的平台可以精确地发现细微的偏差。用户将1000件商品添加到购物车或单个IP地址大量发送密码重置请求等异常情况可能表明存在恶意活动。通过基于设备和行为指纹进行细粒度控制,企业可以有效地阻止那些试图利用业务逻辑漏洞的人。

采用整体策略可以增强对应用滥用模式的理解,包括关键业务功能中的机器人行为,从而更有效地识别和消除威胁。

总结

企业不能低估机器人对其API驱动的应用程序和基础设施构成的威胁。欺诈和安全团队之间的传统孤岛造成了危险的盲点。欺诈检测通常缺乏对API级攻击的可见性,而API安全工具可能会忽略伪装成合法流量的欺诈行为。这种脱节使企业容易受到攻击。

通过集成欺诈检测、API安全性和高级机器人保护,组织可以创建更具适应性的防御。这种主动方法具有关键优势:快速响应威胁、预测和缓解机器人和其他恶意技术利用的漏洞的能力,以及对应用滥用模式的深入了解。这些优势可以更有效地识别和消除威胁,抵御低速和慢速攻击以及来自机器人的突然容量攻击。

打击基于API的欺诈行为的斗争仍在继续。如果企业仍然掉以轻心,则可能面临严重后果。积极协作和持续关注不断演变的威胁并非可有可无,在当今以API为中心的世界中,它们对于保护数据、客户和声誉至关重要。