Az Akamai friss kutatása szerint minden ötödik felhasználói fiók elleni támadás az API-n keresztül történik, míg korábban a felhasználói login oldalak voltak a népszerűségi lista élén. Úgy tűnik e trend csak fokozódik, s veszélybe sodorja ezzel a pénzügyi szektort, ahol az API használata nemcsak széleskörben elterjedt, de szabályzatilag is támogatott. (Az Európai Unió PSD2 szabályozásának a bankok leginkább az APIk fejlesztésével tudtak megfelelni.)
A pénzügyi szektor elleni támadások az elmúlt pár évben jelentősen megnövekedtek és kifinomultabbak lettek. Még mindig a pénzintézetek jelentik az elsődleges célpontot a bűnözők számára, és 2019 májusa és szeptembere között 75%-kal nőtt az API-t célzó támadások száma.
Számtalan adatszivárgás történt az elmúlt évtizedben, melyek során több milliárd felhasználónév, emailcím, ill. a hozzájuk tartozó jelszó került nyilvánosságra, vagy vált megvásárolhatóvá a dark weben. Mivel a felhasználók gyakran ugyanazt a nevet és jelszót alkalmazzák különféle online felületeken a belépéshez, a felhasználói azonosítókat a kiberbűnözők kiválóan fel tudják használni. Botnetekbe vagy egyéb automatizált eszközökbe betöltik a felhasználónév és jelszó listákat és elárasztják velük a kiválasztott weboldalakat, melyekbe szeretnének bejutni (credential stuffing). A rendszeren belül pedig az APIkon keresztül számos információhoz hozzáférnek, a személyes adatoktól kezdve a bankszámla aktuális helyzetéig.
A kiberbűnözők számára a pénzügyi adatok mindig is a legértékesebbek közé tartoztak: a bankkártya vagy bankszámla adatait, azonosítóit pillanatokon belül lehet továbbadni-venni, készpénzre cserélni. Szakértők szerint a nulla bizalom (Zero Trust) modelljének elterjedése – mely jelentősen megnehezíti a passzív támadások kivitelezését –, segíthet megállítani az eddigi trendet.
Photo by Bernard Hermant on Unsplash