第三媒體軟件中心軟件網絡資訊互聯網資訊 → 小心!你的支付接口被黑產盯上了 TTL

小心!你的支付接口被黑產盯上了

上傳:weChester     來源:信息存儲服務     日期:2022-05-23

[摘要]  
   最近,國內一家大型保險公司的安全運維人員發現了一個異,F象:自家APP中的用戶話費充值頁面,出現了大量的支付下單服務請求,卻沒有出現對應的話費充值支付行為。更奇怪的是,面對這些批量出現的異常支付下單請求,內部的風控系統卻毫無反應
 
[正文]    

   最近,國內一家大型保險公司的安全運維人員發現了一個異,F象:自家APP中的用戶話費充值頁面,出現了大量的支付下單服務請求,卻沒有出現對應的話費充值支付行為。更奇怪的是,面對這些批量出現的異常支付下單請求,內部的風控系統卻毫無反應。

   為了弄清楚背后的原因,這家保險公司向專業網絡安全廠商瑞數信息尋求了幫助,結果讓保險公司大吃一驚:原來APP的支付接口被一家網站惡意挪用,變相對賭資進行充值。

   經系統分析顯示,這家網站將該保險APP話費充值頁面的前端邏輯,嵌入到了自己的充值頁面中。當用戶在網站上點擊投注時,充值信息被發送至保險APP的支付處理中轉服務,從而獲取有效的微信支付跳轉鏈接。但微信支付鏈接并沒有按照正常路徑返回,而是返回到了網站的前端頁面,這樣用戶就可以直接在頁面中完成賭資支付。

   事實上,這是一起典型的支付接口被挪用的案件。所謂的支付接口挪用,就是指未按照事前約定使用支付機構提供的支付結算能力,最常見的是被用于對接一些非法的交易,如對接黃賭毒、套現、非法期貨、非法大宗商品等交易。

   在我國相關監管文件中,非常明確地指出禁止支付交易接口挪用,以遏制違法行為、嚴厲打擊行業亂象。但不可否認的是,大量支付交易接口挪用現象層出不窮,逍遙在監管之外。

   為何支付接口挪用屢禁不止?

支付接口挪用創下高額利益,黑產趨于自動化、專業化攻擊

   如今,網絡支付正逐漸取代現金支付,隨著網絡支付的增加,網絡支付接口挪用現象也呈現愈演愈烈的趨勢。

目前,最常見的網絡支付接口挪用有以下幾種:

   套碼、降低接入費用:通過套用較低費率的接口,可以降低接入成本,提高利潤水平。

   四方轉售接口:開展非法四方業務的機構通過殼公司接入銀行和支付機構,獲取網絡支付接口,并通過轉售這些接口獲利。

   開展非法業務:黃賭毒、套現、原油、期貨、大宗商品等非法業務通過包裝進合法的殼公司,對接支付機構。

   支付機構之間接口互接:根據監管要求,銀行、支付機構涉及跨行清算業務時,必須通過央行或具備合法資質的清算機構處理。但為了繞開監管,部分支付機構通過關聯公司等手段變相對接其他支付機構的通道。

   不難發現,支付接口被非法挪用的背后都涉及到利益。根據網絡數據顯示,某大型公司在旺季一個晚上流水可達上億元,為其提供支付接口的黑產可以從中提成1.3-3%的服務費。換句話說,光是負責支付這一環節,黑產一晚上就至少能賺130萬,而且幾乎是躺賺。

   如此豐厚的利益,自然吸引了大量黑產投身其中。為了應對微信、支付寶、京東錢包等支付平臺的嚴格審核,黑產不斷地提升攻擊技術,尋找可突破的系統漏洞和業務邏輯,想方設法地利用各種合法支付接口。

   瑞數信息技術專家黃志敏介紹:“所有行業的線上業務支付接口都可能被黑產利用,特別是電商、保險金融等機構和運營商合作推出的話費充值等虛擬充值商品相關業務,很容易被黑產惡意利用支付接口用作非法用途!

   但從企業角度看,面對如此猖獗的黑產攻擊卻毫無招架之力,甚至很長時間都無法察覺黑產惡意行為的存在。在瑞數信息技術專家黃志敏看來,其原因主要有兩點:

   一是黑產攻擊手段的不斷升級。如今黑產已形成了高度專業化的上下游獨立的、有序協作的作案團伙,為了進一步提高攻擊效率,大多數黑產在整個欺詐流程中涉及到需要大量重復執行的環節中,采用Bots自動化工具攻擊,甚至會針對特定平臺、特定API業務邏輯編寫定制化的腳本,不斷在嘗試利用各種各樣的手段來繞過現有的安全檢測措施。

   二是傳統安全和風控產品無力應對新型API攻擊。面對隱秘高效的Bots自動化攻擊,企業普遍采用的傳統WAF、IDS、API安全網關等安全設備,基于固定的規則和簽名已無法有效識別異常行為;而傳統風控產品在業務和安全數據關聯上較為脫節,且缺少對自動化攻擊的識別能力,單從賬號行為分析也無法識別出模仿正常用戶行為的惡意行為。

瑞數動態+API安全,體系化保護支付接口安全

   支付接口挪用案件頻發,給社會和行業帶來了一系列不良影響。一方面,支付接口挪用帶來的洗錢、套利、黃賭毒等非法交易的發生,導致犯罪率的增高甚至引起金融市場動蕩,給社會的繁榮穩定、治安等問題造成了巨大的危害性。另一方面,支付接口挪用造成大量的客戶投訴及舉報等問題,給企業聲譽以及市場穩定發展造成了不利影響。

   基于這種嚴峻的現狀,全行業亟需一種能夠對支付接口進行實時監測和防護的系統,有效地在日常監控中識別支付交易接口挪用現象,快速識別違法犯罪行為,以提升支付風險的整體防控水平。

   為了解決企業合法支付接口面臨的風險,瑞數信息作為中國動態安全技術的創新者,和Bots自動化攻擊防護領域的專業廠商,創新推出了API安全管控平臺(API BotDefender),從API接口的資產管理、敏感數據管控、訪問行為管控、API風險識別與管控等維度,體系化保障API接口安全,彌補了傳統安全和風控產品的不足。

   針對支付接口被挪用問題,瑞數API安全管控平臺會對保險APP的API資產進行梳理,如:包括哪些API接口?通過API接口的業務邏輯是怎樣的?從哪些渠道可以訪問支付API接口等,從API接口路徑入手去查看異常行為。

   其次,基于API防護技術建立了API安全基線,對API接口濫用、API接口異常訪問、惡意掃描、注入攻擊等進行監控分析;同時,基于動態安全、業務威脅感知、Bots自動化攻擊識別等技術模塊,能夠透視API接口常見的業務威脅,高效準確進行人機識別,從而發現了大量的異常信息請求,并識別出其攻擊手段包括Cookie信息篡改、自動化工具、URL信息篡改,符合業務欺詐的邏輯。

   最后,經過對異常行為日志進行進一步深入分析和確認,聯動企業現有風控產品對異常行為背后的賬號進行打分,將識別出的異常賬號批量提供給企業,并配合企業調整風控系統策略,將API接口防護的安全能力賦能給企業。

   事實上,瑞數信息不僅能實現高效準確的人機識別,也能夠對API接口實現精細化的訪問控制,支持多維度限頻、攔截、延時等,實現企業實時安全響應和業務發展的平衡。

   隨著Bots自動化攻擊瞄準支付API接口,瑞數信息也率先將所有線上業務接入渠道納入防護,包括Web、H5、APP、API、微信、小程序等,通過用戶賬號等唯一標識和全訪問記錄,將各業務接入渠道的數據進行融合,實現應用全渠道的安全防護。

   正是基于在業務反欺詐領域的出色表現,瑞數信息日前成功入選了2022年IDC《中國金融行業反欺詐市場研究報告》代表廠商,并在2021年被Gartner列為《在線反欺詐市場指南》報告代表廠商。

結語

   支付API接口被挪用是一個非常嚴重的問題,給社會經濟運行和企業自身帶來了巨大的風險。隨著行業監管從嚴,API攻擊威脅環境愈加復雜,黑產攻擊手段進一步提升,企業也必須更加重視支付API濫用的問題,借助專業安全廠商的力量保護API安全已勢在必行。瑞數信息基于獨有的“動態安全+AI”核心技術,能夠有效保護企業的API安全,為業務和數據保駕護航。

   (新聞稿 2022-05-23)


頻道首頁 】【 評論 】 【 打印 】 【 字體:
   上一篇:神策全域用戶關聯服務發布,提升企業 CDP 數據質量
   下一篇:新品發布: 邊緣計算利器,綠盟邊緣計算智能網關重磅發布
導航:報價 | 大全 | 排行榜 | 產品大全 | 參量 | 訂閱 
 Advertisement
 十大最受關注的新聞
1  X80 Pro天璣9000版正式開售 vivo直播間揭秘天璣9000封神之路
2  自然美學加上輕薄機身,vivo S15e顏值超有料!
3  OPPO Reno8系列真機亮相,高顏值設計搭配六種配色,5月23日發布
4  惠普游戲家族新品重磅來襲 滿血升級助力玩家燃血出戰
5  五一休假要在家值班?全新雷蛇靈刃17助你秒開高效辦公模式
6  “勇敢的中國青年”收官,中興手機繪就當代青年新畫卷
7  第一代驍龍8+發布,能效、性能雙突破
8  榮耀70系列官宣天璣9000 GPU Turbo X加持 打造同級最強產品
9  更強更涼更省電的驍龍8+發布,買旗艦機請等下半年
10  原來“驍龍之夜”上并不只有驍龍8+“功耗降低30%”這樣的數字而已
 十大熱門驅動/軟件下載
1  [手機驅動]手機usb萬能
2  [熱門常用軟件]QQ2008正式版下載【騰訊QQ2008官方版Beta1】
3  [熱門常用軟件]E話通下載【E話通4.5 正式版】
4  [手機驅動]Samsung三星 手機USB驅動1.0版For Win98SE/ME/...
5  [手機驅動]Microsoft微軟 ActiveSync同步軟件4.5中文版Fo...
6  [攝像頭驅動]萬能攝像頭 FOR Windows
7  [熱門常用軟件]皮皮播放器下載【PPFilm皮皮播放器 2.1.0....
8  [手機驅動]諾基亞 PC套件下載
9  [熱門常用軟件]面對面游戲下載【面對面視頻游戲大廳】
10  [手機驅動]Microsoft微軟 Windows Mobile Device Center ...
 十大最受關注的品牌
1  三星手機(SAMSUNG)
2  諾基亞手機(NOKIA)
3  華碩筆記本(ASUS)
4  摩托羅拉手機(MOTOROLA)
5  英特爾CPU(Intel)
6  華碩主板(ASUS)
7  LG手機(LG)
8  索愛手機(Sony Ericsson)
9  聯想筆記本(lenovo)
10  宏碁筆記本(acer)
 十大熱門常用軟件下載
1  QQ2008正式版下載【騰訊QQ2008官方版Beta1】
2  E話通下載【E話通4.5 正式版】
3  皮皮播放器下載【PPFilm皮皮播放器 2.1.0.2版】
4  面對面游戲下載【面對面視頻游戲大廳】
5  DVD解碼器下載【NVIDIA DVD Decoder 1.02】
6  迅雷5下載【迅雷5.8.1.507官方版】
7  QQ2007 II正式版下載【騰訊QQ2007官方版本】
8  QQ2006正式版下載【騰訊QQ2006官方版本】
9  聯眾世界游戲大廳下載【聯眾世界2.7.0.8官方版】
10  MTV下載器【MTV下載精靈 8.31版】
11  pplive最新版下載【PPLive網絡電視V1.9.35版】
12  迅雷(Thunder)下載【迅雷v5.7.12.493官方版】
13  騰訊QQ2008下載【騰訊QQ官方版2008極速賀歲版KB1】
14  Total Video Converter下載【Total Video Converter v3.1...
15  QQ拼音輸入法下載【騰訊QQQQ拼音輸入法V1.4.1版】
16  皮皮高清影視播放器下載【PIPIPlayer 2.7.0.3版】
17  eMule下載【電驢eMule官方v0.49a正式版】
18  極點五筆輸入法下載【極點五筆6.1標準版】
19  QQ2009正式版下載【騰訊QQ2009 SP4官方版】
20  Vagaa哇嘎畫時代版下載【哇嘎 2.6.5.10】
   >> 查看評論   
 
   >> 查看更多評論   [共有0條評論]
發表評論
        
        
   點評:
   姓名:  
            字數: 0
     
新聞精選
·最高法發布《意見》 趣鏈科技區塊鏈應用于數
·安居客聯合有書APP陪你“宅家“抗疫
·神策數據文娛解決方案之留存篇 如何有效盤活
·智能穩壓 紅外人感保護!海爾生物核酸采樣艙
·核酸采樣要速度也要溫度 海爾生物科技“加速
·99.999%高效過濾,30pa正壓新風,海爾生物核
  ·為什么我建議你618買玻妞擦窗機器人?
·稅全免只是青銅,油加滿才是王者!北京現代超
·華領醫藥新藥獲批在即 可望更上一層樓
·推動人才培養新范式,第三屆“先導杯”火熱開
·99.999%高效過濾 智能消殺!海爾生物核酸采樣
·海爾生物核酸采樣工作站生物安全級防護,讓采
十八禁男男腐啪gv肉真人视频,深夜a级毛片免费无码,手机看片av免费看大片
<蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>