점점 더 인터넷에 연결되는 세상에서 컴퓨터 프로그램이 서로 통신할 수 있게 해주는 소프트웨어인 API(애플리케이션 프로그래밍 인터페이스)가 점점 더 널리 보급되고 있습니다. API를 사용하면 장치와 애플리케이션이 정보를 교환할 수 있으며 개발자가 더 좋고 효과적인 사용자 경험을 더 쉽고 효율적으로 만들 수 있습니다. 사실은, 개발자의 70 % ~에 기대되는 증가하다 2023년에는 API 사용량이 증가하므로 API의 보급률은 계속 증가할 것입니다.

그러나 API 사용량이 증가하고 장치가 더 많이 통신하고 개발자가 점점 더 우수하고 사용자 친화적인 소프트웨어를 제공할 수 있게 되면서 보안에 미치는 영향은 무엇입니까? API 사용은 비즈니스나 기업에 어떤 영향을 미치나요? 특히 연휴 시즌을 앞두고 가장 위험에 처한 산업이 있습니까?

결제 API 보호 필요성 파악

연구에 따르면 공격자는 전술이 더욱 정교해지고 API에 특화되고 있으며 기존 보호 기술은 효과적인 방어 메커니즘이 아닌 것으로 나타났습니다. 2022년 상반기 미국인들은 패했다 사상 최대 $ 3.56 billion 연방거래위원회(Federal Trade Commission)는 800,000건의 사기 관련 불만 사항을 접수했으며 그 중 27%가 금전적 손실을 입었습니다. 공격자는 액션을 원하며 결제 API는 쉬운 목표처럼 보입니다.

전자상거래 세계에서 API는 판매자를 고객의 거래를 완료하는 결제 서비스 제공업체(PSP)에 연결합니다. 그러나 안전하지 않은 API는 민감한 정보를 노출할 수 있습니다. 사기꾼이 고객 카드 정보를 빼내 PSP 및 전자상거래 웹사이트에서 돈을 훔칠 수 있는 것은 사기와 관련된 유일한 비용이 아닙니다. 따라서 악성 봇이 더욱 정교해지고 저지하기가 어려워짐에 따라 이러한 봇보다 앞서 나가는 것이 중요합니다.

이번 연휴 시즌에 API 나쁜 목록에 있는 사기꾼은 어떻게 되나요?

Adobe Analytics에 따르면 소비자는 지출할 가능성이 높습니다. 온라인 쇼핑을 통한 221.8억 달러 1월 30일부터 연말까지. 즉, 블랙 프라이데이, 사이버 먼데이와 같은 반짝 세일 이벤트 기간 동안 전자상거래 플랫폼은 일반적으로 최소 XNUMX배, 때로는 최대 XNUMX배의 위기에 처하게 됩니다. 더 많은 봇 공격 평소보다. 따라서 소비자가 온라인 쇼핑을 통해 자신의 위시리스트를 지우기 시작하면 사기꾼들은 돈을 벌기 위해 어둠 속에 숨어 있을 것입니다.

주로 정교한 보호 기능이 부족하기 때문에 API는 이제 고도로 범용화된(따라서 접근성이 더 높은) 도구를 사용하는 사이버 범죄자의 대규모 표적이 되고 있습니다. 한 가지 전략은 특히 고급 악성 봇으로부터 보호되지 않은 프런트 엔드 API에 대해 누구나 쉽게 신용 카드 사기를 수행할 수 있도록 하는 카드 사기 도구 및 서비스를 상품화하는 것입니다.

예를 들어, 공격자는 사기 거래에 사용하기 위해 유효한 신용 카드 번호(카드 발급, 카드 크래킹 또는 다크 웹 구매를 통해)를 훔칩니다. 봇은 카드 번호 및 관련 카드 소지자 정보를 추론("테스트" 또는 "크랙")하기 위해 대량으로 사용되는 경우가 많습니다. 결제 처리자나 판매자가 사용하는 API와 같이 보안 수준이 낮은 엔드포인트 뒤에서 결제 세부 정보를 더 쉽게 찾을 수 있습니다.

이제 가장 경험이 부족한 사기꾼이라도 정교한 기술을 사용하여 대규모 공격을 수행할 수 있으므로 기업에 대한 잠재적 피해가 증가합니다.

API 결제 사기는 무서운 일이지만 이러한 모범 사례는 매우 즐겁습니다.

An 정확하고 확장 가능한 API 보호 솔루션 고객 여정 전반에 걸쳐 API 공격으로부터 기업을 보호할 수 있습니다. 공격이 성공하면 수익에 부정적인 영향을 미치고 회사의 평판에 반박할 수 없는 손상을 입힐 수 있습니다. 기업이 사기 및 계정 탈취로부터 결제 API를 보호하는 데 도움이 되는 다양한 전략과 도구를 사용할 수 있습니다.

• 강력한 인증 메커니즘: 2FA(XNUMX단계 인증) 및 MFA(다단계 인증)는 일반적으로 사용자 신원을 확인하는 데 사용됩니다.
• 데이터 암호화 및 보안 전송: SSL과 TLS를 모두 사용하는 데이터 암호화는 인터넷 연결을 보호하고 전송 중인 데이터를 보호하는 데 중요합니다.
• 모니터링 및 이상 탐지: 사기를 예방하려면 변화하는 위협을 식별하고 이에 적응하며 인간 전문가가 지속적으로 모니터링하는 엣지에서의 머신러닝 탐지가 필요합니다.
• 사기 탐지 및 예방: 결제 시점에 주소 확인 서비스(AVS)를 사용하여 청구 주소를 확인할 수 있지만 사기꾼이 올바른 주소를 알고 있는 경우 사기 결제를 막을 수는 없습니다.

이러한 API 보안 위험을 이해하는 것은 단지 좋은 생각이 아니라 비즈니스 필수 사항입니다. 단일 API 위반으로 인해 다음이 발생할 수 있습니다. 평판 손상, 재정적 손실, 법적 결과 및 더 나쁜 결과. 기업에서는 웹 또는 모바일 앱 보안을 위해 API 보안을 무시하는 경우가 많기 때문에 해커는 점점 더 API를 표적으로 삼아 데이터를 추출하거나 비즈니스 로직을 방해하거나 애플리케이션을 중단시킵니다. 위험이 그 어느 때보다 높았던 적이 없습니다.

저자에 관하여

Benjamin Fabre는 2015년에 공동 설립한 회사인 DataDome의 CEO입니다. 사이버 보안의 선구자인 Benjamin은 봇 중심 사기의 증가를 예견했습니다. 그는 자동화된 온라인 위협을 차단하려면 엣지에서 즉각적인 대응이 필요하다는 점을 일찍부터 이해했습니다. 정적 규칙은 아무리 빨리 업데이트되더라도 항상 한 단계 뒤쳐져 있습니다. Benjamin은 기술자로서의 심층적인 전문 지식을 활용하여 IT 보안 팀의 진정한 힘을 배가시키는 투명하고 배포하기 쉬운 안티 봇 솔루션을 구축하기 시작했습니다. DataDome을 입력하십시오.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/vulnerabilities-threats/keep-your-organizations-apis-protected-this-holiday-season