阿里云優(yōu)惠券 先領券再下單

最近，國內一家大型保險公司的安全運維人員發(fā)現(xiàn)了一個異?，F(xiàn)象：自家APP中的用戶話費充值頁面，出現(xiàn)了大量的支付下單服務請求，卻沒有出現(xiàn)對應的話費充值支付行為。更奇怪的是，面對這些批量出現(xiàn)的異常支付下單請求，內部的風控系統(tǒng)卻毫無反應。

為了弄清楚背后的原因，這家保險公司向專業(yè)網絡安全廠商瑞數(shù)信息尋求了幫助，結果讓保險公司大吃一驚：原來APP的支付接口被一家**網站惡意挪用，變相對賭資進行充值。

經系統(tǒng)分析顯示，這家**網站將該保險APP話費充值頁面的前端邏輯，嵌入到了自己的**充值頁面中。當用戶在**網站上點擊投注時，充值信息被發(fā)送至保險APP的支付處理中轉服務，從而獲取有效的微信支付跳轉鏈接。但微信支付鏈接并沒有按照正常路徑返回，而是返回到了**網站的前端頁面，這樣用戶就可以直接在**頁面中完成賭資支付。

事實上，這是一起典型的支付接口被挪用的案件。所謂的支付接口挪用，就是指未按照事前約定使用支付機構提供的支付結算能力，最常見的是被用于對接一些非法的交易，如對接黃賭毒、套現(xiàn)、非法期貨、非法大宗商品等交易。

在我國相關監(jiān)管文件中，非常明確地指出禁止支付交易接口挪用，以遏制違法行為、嚴厲打擊行業(yè)亂象。但不可否認的是，大量支付交易接口挪用現(xiàn)象層出不窮，逍遙在監(jiān)管之外。

為何支付接口挪用屢禁不止?

支付接口挪用創(chuàng)下高額利益，黑產趨于自動化、專業(yè)化攻擊

如今，網絡支付正逐漸取代現(xiàn)金支付，隨著網絡支付的增加，網絡支付接口挪用現(xiàn)象也呈現(xiàn)愈演愈烈的趨勢。

目前，最常見的網絡支付接口挪用有以下幾種：

●套碼、降低接入費用：通過套用較低費率的接口，可以降低接入成本，提高利潤水平。

●四方轉售接口：開展非法四方業(yè)務的機構通過殼公司接入銀行和支付機構，獲取網絡支付接口，并通過轉售這些接口獲利。

●開展非法業(yè)務：黃賭毒、套現(xiàn)、原油、期貨、大宗商品等非法業(yè)務通過包裝進合法的殼公司，對接支付機構。

●支付機構之間接口互接：根據(jù)監(jiān)管要求，銀行、支付機構涉及跨行清算業(yè)務時，必須通過央行或具備合法資質的清算機構處理。但為了繞開監(jiān)管，部分支付機構通過關聯(lián)公司等手段變相對接其他支付機構的通道。

不難發(fā)現(xiàn)，支付接口被非法挪用的背后都涉及到利益。根據(jù)網絡數(shù)據(jù)顯示，某大型**公司在旺季一個晚上流水可達上億元，為其提供支付接口的黑產可以從中提成1.3-3%的服務費。換句話說，光是負責支付這一環(huán)節(jié)，黑產一晚上就至少能賺130萬，而且?guī)缀跏翘少崱?/p>

如此豐厚的利益，自然吸引了大量黑產投身其中。為了應對微信、支付寶、京東錢包等支付平臺的嚴格審核，黑產不斷地提升攻擊技術，尋找可突破的系統(tǒng)漏洞和業(yè)務邏輯，想方設法地利用各種合法支付接口。

瑞數(shù)信息技術專家黃志敏介紹：“所有行業(yè)的線上業(yè)務支付接口都可能被黑產利用，特別是電商、保險金融等機構和運營商合作推出的話費充值等虛擬充值商品相關業(yè)務，很容易被黑產惡意利用支付接口用作非法用途。”

但從企業(yè)角度看，面對如此猖獗的黑產攻擊卻毫無招架之力，甚至很長時間都無法察覺黑產惡意行為的存在。在瑞數(shù)信息技術專家黃志敏看來，其原因主要有兩點：

一是黑產攻擊手段的不斷升級。如今黑產已形成了高度專業(yè)化的上下游獨立的、有序協(xié)作的作案團伙，為了進一步提高攻擊效率，大多數(shù)黑產在整個欺詐流程中涉及到需要大量重復執(zhí)行的環(huán)節(jié)中，采用Bots自動化工具攻擊，甚至會針對特定平臺、特定API業(yè)務邏輯編寫定制化的腳本，不斷在嘗試利用各種各樣的手段來繞過現(xiàn)有的安全檢測措施。

二是傳統(tǒng)安全和風控產品無力應對新型API攻擊。面對隱秘高效的Bots自動化攻擊，企業(yè)普遍采用的傳統(tǒng)WAF、IDS、API安全網關等安全設備，基于固定的規(guī)則和簽名已無法有效識別異常行為;而傳統(tǒng)風控產品在業(yè)務和安全數(shù)據(jù)關聯(lián)上較為脫節(jié)，且缺少對自動化攻擊的識別能力，單從賬號行為分析也無法識別出模仿正常用戶行為的惡意行為。

瑞數(shù)動態(tài)+API安全，體系化保護支付接口安全

支付接口挪用案件頻發(fā)，給社會和行業(yè)帶來了一系列不良影響。一方面，支付接口挪用帶來的洗錢、套利、黃賭毒等非法交易的發(fā)生，導致犯罪率的增高甚至引起金融市場動蕩，給社會的繁榮穩(wěn)定、治安等問題造成了巨大的危害性。另一方面，支付接口挪用造成大量的客戶投訴及舉報等問題，給企業(yè)聲譽以及市場穩(wěn)定發(fā)展造成了不利影響。

基于這種嚴峻的現(xiàn)狀，全行業(yè)亟需一種能夠對支付接口進行實時監(jiān)測和防護的系統(tǒng)，有效地在日常監(jiān)控中識別支付交易接口挪用現(xiàn)象，快速識別違法犯罪行為，以提升支付風險的整體防控水平。

為了解決企業(yè)合法支付接口面臨的風險，瑞數(shù)信息作為中國動態(tài)安全技術的創(chuàng)新者，和Bots自動化攻擊防護領域的專業(yè)廠商，創(chuàng)新推出了API安全管控平臺(API BotDefender)，從API接口的資產管理、敏感數(shù)據(jù)管控、訪問行為管控、API風險識別與管控等維度，體系化保障API接口安全，彌補了傳統(tǒng)安全和風控產品的不足。

針對支付接口被挪用問題，瑞數(shù)API安全管控平臺會對保險APP的API資產進行梳理，如：包括哪些API接口?通過API接口的業(yè)務邏輯是怎樣的?從哪些渠道可以訪問支付API接口等，從API接口路徑入手去查看異常行為。

其次，基于API防護技術建立了API安全基線，對API接口濫用、API接口異常訪問、惡意掃描、注入攻擊等進行監(jiān)控分析;同時，基于動態(tài)安全、業(yè)務威脅感知、Bots自動化攻擊識別等技術模塊，能夠透視API接口常見的業(yè)務威脅，高效準確進行人機識別，從而發(fā)現(xiàn)了大量的異常信息請求，并識別出其攻擊手段包括Cookie信息篡改、自動化工具、URL信息篡改，符合業(yè)務欺詐的邏輯。

最后，經過對異常行為日志進行進一步深入分析和確認，聯(lián)動企業(yè)現(xiàn)有風控產品對異常行為背后的賬號進行打分，將識別出的異常賬號批量提供給企業(yè)，并配合企業(yè)調整風控系統(tǒng)策略，將API接口防護的安全能力賦能給企業(yè)。

事實上，瑞數(shù)信息不僅能實現(xiàn)高效準確的人機識別，也能夠對API接口實現(xiàn)精細化的訪問控制，支持多維度限頻、攔截、延時等，實現(xiàn)企業(yè)實時安全響應和業(yè)務發(fā)展的平衡。

隨著Bots自動化攻擊瞄準支付API接口，瑞數(shù)信息也率先將所有線上業(yè)務接入渠道納入防護，包括Web、H5、APP、API、微信、小程序等，通過用戶賬號等唯一標識和全訪問記錄，將各業(yè)務接入渠道的數(shù)據(jù)進行融合，實現(xiàn)應用全渠道的安全防護。

正是基于在業(yè)務反欺詐領域的出色表現(xiàn)，瑞數(shù)信息日前成功入選了2022年IDC《中國金融行業(yè)反欺詐市場研究報告》代表廠商，并在2021年被Gartner列為《在線反欺詐市場指南》報告代表廠商。

結語

支付API接口被挪用是一個非常嚴重的問題，給社會經濟運行和企業(yè)自身帶來了巨大的風險。隨著行業(yè)監(jiān)管從嚴，API攻擊威脅環(huán)境愈加復雜，黑產攻擊手段進一步提升，企業(yè)也必須更加重視支付API濫用的問題，借助專業(yè)安全廠商的力量保護API安全已勢在必行。瑞數(shù)信息基于獨有的“動態(tài)安全+AI”核心技術，能夠有效保護企業(yè)的API安全，為業(yè)務和數(shù)據(jù)保駕護航。----廣告預覽結束 THE END-

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！