インターネットへの接続がますます進む世界では、コンピュータ プログラムが相互に通信できるようにするソフトウェアであるアプリケーション プログラミング インターフェイス (API) がますます普及しています。 API を使用すると、デバイスとアプリケーションが情報を交換できるようになり、開発者がより優れた効果的なユーザー エクスペリエンスをより簡単かつ効率的に作成できるようになります。 実際には、 70％の開発者 期待する 増加する 2023 年には API の使用量が増加するため、API の普及はさらに増加すると考えられます。

しかし、API の使用量が増加し、デバイスの通信量が増加する一方で、開発者はより優れた、よりユーザーフレンドリーなソフトウェアを提供できるようになっているため、セキュリティへの影響はどうなるのでしょうか? API の使用はビジネスや企業にどのような影響を与えますか? そして、特にホリデーシーズンに向けて、最もリスクにさらされている業界はあるのでしょうか?

決済 API を保護する必要性を解き明かす

調査によると、攻撃者の戦術はますます洗練され、API に特化したものになってきており、従来の保護技術は効果のない防御メカニズムであることが判明しています。 2022年上半期、アメリカ人は負けた 過去最高の3.56億ドル 連邦取引委員会には 800,000 万件の詐欺苦情が寄せられ、そのうち 27% で経済的損失が発生しました。 攻撃者はアクションの一部を望んでおり、決済 API は簡単な標的であるように見えます。

電子商取引の世界では、API は販売者を顧客の取引を完了する決済サービス プロバイダー (PSP) に接続します。 ただし、安全でない API では機密情報が漏洩する可能性があります。 金銭詐欺師が顧客のカード情報を取得して PSP や電子商取引 Web サイトから盗む可能性があるのは、詐欺に関連するコストだけではありません。 したがって、悪質なボットがより洗練され、阻止することが難しくなっているため、それらのボットの先を行くことが不可欠です。

今年のホリデー シーズン、API いたずらリストに載っている詐欺師はどうなっていますか?

Adobe Analytics によると、消費者はおそらく支出するでしょう オンラインショッピングで221.8億ドル 1月30日から年末まで。 そうは言っても、ブラック フライデーやサイバー マンデーなどのフラッシュ セール イベント中、電子商取引プラットフォームは通常、少なくとも XNUMX 回、場合によっては最大 XNUMX 回のセールに直面します。 さらなるボット攻撃 平均的な日よりも。 そのため、消費者がオンライン ショッピングで欲しいものリストを消し始めると、こうした詐欺師は影に潜んで現金化を待っていることになります。

高度な保護が欠如していることが主な原因で、API は現在、高度にコモディティ化された (したがってよりアクセスしやすい) ツールを使用するサイバー犯罪者によってますます大規模な標的にされています。 戦術の XNUMX つは、カード詐欺ツールとサービスのコモディティ化で、特に高度な悪質なボットから保護されていないフロントエンド API に対して、誰でも簡単にクレジット カード詐欺を行うことができます。

たとえば、攻撃者は有効なクレジット カード番号を (カード決済、カード クラッキング、またはダーク Web での購入を通じて) 盗み、不正取引に使用します。 カード番号および関連するカード所有者情報を推測 (「テスト」または「クラッキング」) するために、ボットが大量に使用されることがよくあります。 支払いの詳細は、支払い処理業者や販売者が使用する API など、保護が不十分なエンドポイントの背後にある方が簡単に見つけることができます。

最も経験の浅い詐欺師でも、高度な技術を使用して大規模な攻撃を実行できるようになり、企業への潜在的な損害が増大します。

API 支払い詐欺は恐ろしいですが、これらのベスト プラクティスはとても楽しいものです

An 正確でスケーラブルな API 保護ソリューション カスタマー ジャーニー全体にわたって API 攻撃から企業を保護できます。 攻撃が成功すると、収益に悪影響を及ぼし、企業の評判に反論の余地のない損害を与える可能性があります。 企業が決済 API を詐欺やアカウント乗っ取りから保護するために、いくつかの戦略とツールが利用可能です。

• 強力な認証メカニズム: ユーザー ID を確認するために、2 要素認証 (XNUMXFA) と多要素認証 (MFA) が一般的に使用されます。
• データの暗号化と安全な送信: SSL と TLS の両方を使用したデータ暗号化は、インターネット接続を保護し、転送中のデータを保護するために重要です。
• 監視と異常検出: 不正行為を防止するには、変化する脅威を特定してそれに適応し、人間の専門家によって常に監視されるエッジでの機械学習検出が必要です。
• 不正の検出と防止: 支払いの時点で、住所確認サービス (AVS) を使用して請求先住所を確認できますが、詐欺師が正しい住所を知っている場合、不正な支払いを阻止することはできません。

これらの API セキュリティ リスクを理解することは、単なる良い考えではなく、ビジネス上の必須事項です。 単一の API 違反により、次のような問題が発生する可能性があります。 風評被害, 財政的損失、法的結果、さらに悪いことに。 企業は Web やモバイル アプリのセキュリティを優先して API セキュリティを無視することが多いため、ハッカーはデータを抽出したり、ビジネス ロジックを中断したり、アプリケーションをダウンさせたりするために API を標的にすることが増えています。 賭け金はかつてないほど高くなりました。

著者について

ベンジャミン ファーブルは、2015 年に共同設立した会社 DataDome の CEO です。サイバーセキュリティの先見の明があるベンジャミンは、ボットによる詐欺の増加を予見していました。 彼は、自動化されたオンラインの脅威をブロックする競争には、エッジでの即時の対応が必要であることを早い段階から理解していました。 静的ルールは、どれほど迅速に更新されたとしても、常に後れを取ります。 ベンジャミンは、技術者としての深い専門知識を活用して、IT セキュリティ チームにとって真の威力を発揮する、透明性が高く導入が簡単なボット対策ソリューションの構築に着手しました。 データドームに入ります。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/vulnerabilities-threats/keep-your-organizations-apis-protected-this-holiday-season