موسسات مالی بیش از هر صنعت دیگری داده های مشتریان خود را در اختیار دارند. این دادههای حساس که اطلاعات قابل شناسایی شخصی (PII) نامیده میشود، به این معنی است که سرویسهای مالی باید حتی بیشتر از خطر نقض دادهها محتاط باشند و آنها در معرض جریمههای سازمان رفتار مالی (FCA) و آسیب قابل توجهی به اعتبارشان هستند.
حسابهای بانکی، چه شخصی و چه تجاری، مدتهاست که هدف اصلی مجرمان سایبری بوده است، APIها یکی از الزامات قوانین بانکداری باز اخیر و PSD2 هستند و هدف جدیدی را برای هکرها ایجاد می کنند. 97 درصد از مشاغل خدمات مالی حملات را به یک API در سال 2020 گزارش می دهند و پیش بینی می شود که حملات API به متداول ترین نوع حمله در سال 2022 تبدیل خواهد شد. API های باز تبادل داده ها را بین بانک ها و سازمان های شخص ثالث تسهیل می کنند. هر کسی که موجودی کارت اعتباری خود را به برنامه بانکداری شخصی خود اضافه کرده است، از آن استفاده کرده است. اما کاربردها فراتر از این است – آنها می توانند پیشنهادات رقابتی و تجربه مشتری را بهبود بخشند و داده ها را برای جمع آوری کنندگان و کارگزاران شخص ثالث در دسترس قرار دهند. بسیاری از ارائه دهندگان API و توسعه برنامه تلفن همراه خود را برون سپاری می کنند، به این معنی که یک کد توسط چندین مشتری استفاده می شود. هر گونه آسیبپذیری احتمالاً برای بیش از یک ارائهدهنده مشترک است، بنابراین APIها به سرعت به هدفی عالی برای رباتها تبدیل میشوند.
مهاجمان همیشه به دنبال ساده ترین نقطه دسترسی هستند. API های مورد استفاده برای به اشتراک گذاری داده ها بین بانک ها و اشخاص ثالث در معرض خطر ویژه تهدیدات جدید هستند. مهاجمان تلاش خواهند کرد تا از طریق سه نقطه دسترسی به لایه API آسیب پذیر وارد شوند: مرورگر، برنامه های کاربردی تلفن همراه و سرور API. یکی از بزرگترین خطرات استفاده از API توسط ربات های جستجوگر حساب است. اینها لیستهایی از جفتهای نام کاربری و رمز عبور فاش شده (معروف به لیستهای ترکیبی) را میگیرند و آنها را آزمایش میکنند تا ببینند آیا کسی در حال استفاده مجدد از رمز عبور برای بانکداری آنلاین خود است یا خیر – این به عنوان credential stuffing attacks نیز شناخته میشود.
رباتهای خودکار برای «برچسب گذاری» نامهای کاربری و گذرواژههای دزدیده شده در صفحات ورود به سیستم با سرعت بالا استفاده میشوند تا دسترسی جعلی به حسابها داشته باشند. پس از ورود، مهاجمان دسترسی نامحدودی به جزئیات حساب و تراکنش دارند که می تواند برای درخواست وام های تقلبی، کارت های اعتباری، نقل و انتقالات بانکی یا برای بهره برداری از سازمان های مالی استفاده شود. هفتاد و یک درصد از خدمات مالی حملاتی را از رباتهای جستجوگر حساب در سال 2020 گزارش کردند.
برای درک خطر حمله، سازمان های مالی باید به موارد زیر توجه کنند:
مقیاس حملات: تعداد زیادی تلاش برای حمله در یک بازه زمانی کوتاه.
حملات چقدر پیچیده هستند: آیا حمله جهانی است یا محلی، آیا در چندین نقطه دسترسی است؟
حملات پایدار: تعداد بسیار زیاد و غیرعادی تلاش برای ورود به سیستم یا اعتبارسنجی جزئیات در مدت زمان طولانی.
مهاجمان همیشه به دنبال ساده ترین نقطه دسترسی هستند. API های مورد استفاده برای به اشتراک گذاری داده ها بین بانک ها و اشخاص ثالث در معرض خطر ویژه تهدیدات جدید هستند. مهاجمان تلاش خواهند کرد تا از طریق سه نقطه دسترسی به لایه API آسیب پذیر وارد شوند: مرورگر، برنامه های کاربردی تلفن همراه و سرور API. یکی از بزرگترین خطرات استفاده از API توسط ربات های جستجوگر حساب است. اینها لیستهایی از جفتهای نام کاربری و رمز عبور فاش شده (معروف به لیستهای ترکیبی) را میگیرند و آنها را آزمایش میکنند تا ببینند آیا کسی در حال استفاده مجدد از رمز عبور برای بانکداری آنلاین خود است یا خیر – این به عنوان credential stuffing attacks نیز شناخته میشود.
رباتهای خودکار برای «برچسب گذاری» نامهای کاربری و گذرواژههای دزدیده شده در صفحات ورود به سیستم با سرعت بالا استفاده میشوند تا دسترسی جعلی به حسابها داشته باشند. پس از ورود، مهاجمان دسترسی نامحدودی به جزئیات حساب و تراکنش دارند که می تواند برای درخواست وام های تقلبی، کارت های اعتباری، نقل و انتقالات بانکی یا برای بهره برداری از سازمان های مالی استفاده شود. هفتاد و یک درصد از خدمات مالی حملاتی را از رباتهای جستجوگر حساب در سال 2020 گزارش کردند.
برای درک خطر حمله، سازمان های مالی باید به موارد زیر توجه کنند:
مقیاس حملات: تعداد زیادی تلاش برای حمله در یک بازه زمانی کوتاه.
حملات چقدر پیچیده هستند: آیا حمله جهانی است یا محلی، آیا در چندین نقطه دسترسی است؟
حملات پایدار: تعداد بسیار زیاد و غیرعادی تلاش برای ورود به سیستم یا اعتبارسنجی جزئیات در مدت زمان طولانی.
رباتهای خودکاری که توسط بازیگران مخرب اداره میشوند به طور متوسط 3.6 درصد از درآمد سالانه کسبوکارها را هزینه میکنند. برای بزرگترین کسبوکارها، این میتواند به معنای از دست دادن یک چهارم میلیارد دلار باشد که هر ساله توسط حملات ربات ها از دست می رود. ارائه دهندگان خدمات مالی در حال حاضر تحت حمله انواع کلاهبرداری و هک هستند. سالانه 650 میلیون پوند در بریتانیا برای مبارزه با کلاهبرداری در امور مالی خرج می شود، با این حال در هر دقیقه چهار مورد کلاهبرداری گزارش می شود و کلاهبرداری از حساب های بانکی به بالاترین سطح خود برای بیش از سه سال در سال 2021 رسیده است. بر اساس تحقیقات، تنها چهار درصد از سازمانهای مالی API خود را خطر شماره یک تهدید خود میدانستند، با این حال 97 درصد حملات به API خود را در سال 2020 گزارش کردند. مخصوصاً برای فینتکها، عملکرد اصلی آنها به شدت به APIها وابسته است، بنابراین دسترسی به آن باید محدود به اشخاص ثالث تنظیمشده باشد. ایجاد یک محیط API انعطافپذیر برای حفظ یک اکوسیستم واقعاً ایمن و بسیار کارآمد که در آن هم فینتک و هم شخص ثالث محافظت میشوند، بسیار مهم است.