Thales : API 成為網路犯罪首要攻擊目標:2025 年上半年發生超過 4萬起 API 事件

台灣產經新聞網/JlinkPR
199 天前
新聞圖片

最新 API 威脅報告揭示:攻擊數量創新高,其中金融服務、電信與旅遊業

風險最高

Thales 公布 2025 年上半年最新 API 威脅報告警告 API (些支撐應用程式、支付與登入的幕後連接器) ,已成為網路犯罪分子的首要攻擊目標。

在超過 4,000 個受監測的環境中,Thales 僅在 2025 年上半年監控記錄超過 40,000 API 事件。儘管 API 只佔整體攻擊面 14%,卻吸引 44% 的進階機器人流量,顯示攻擊者正將最複雜的自動化攻擊重點,集中於支撐關鍵業務營運的工作流程上。

金融服務業遭遇最大規模 DDoS 攻擊

報告中最引人注目的發現之一,是針對某金融服務 API ,發動史上最大規模應用層 DDoS 攻擊,高達 每秒 1,500 萬次請求(RPS

不同於傳統攻擊目標是癱瘓網路頻寬的流量型 DDoS 攻擊,這次攻擊專門鎖定應用層,直接利用 API 消耗資源並中斷營運。 2025 年上半年,所有API 為目標的 DDoS 攻擊流量中,有 27% 針對金融服務業,這反映出該業嚴重依賴API進行即時交易,例如餘額查詢、轉帳和支付授權。

這起事件顯示攻擊者已開始將大規模與隱蔽性相結合:利用龐大的殭屍網路與無頭瀏覽器模擬合法 API 請求,使防禦者更難區分惡意流量與真實用戶。

報告的關鍵發現:                                  

·      2025 年上半年 API 安全事件超過 40,000 ,平均每日超過 220 起;若此趨勢持續,全年數量將突破 80,000

·      以目標端點劃分的攻擊分佈37% 為資料存取 API32% 為結帳/支付,16% 為身分驗證,5% 為禮品卡/促銷驗證,以及 3% 為影子端點或設定錯誤的端點。

·      未部署自適應 MFA API帳號填充(credential stuffing)與帳號接管攻擊嘗試次數上升 40%

·      資料擷取(data scraping API 機器人活動的 31%,經常鎖定高價值資訊,如電子郵件地址與支付細節。

·      優惠券和支付詐欺佔攻擊的 26%,利用促銷循環和薄弱的結帳驗證機制做攻擊。

·      遠端程式碼執行(RCE)探測 13%,主要針對 Log4jOracle WebLogic Joomla 等高風險 CVE

·      以產業別來看,金融服務業(27%)居冠,其次是電信和網路服務供應商(10%)、旅遊(14%)以及娛樂和藝術(13%)。

·      影子PIShadow APIs 依然是重大盲點:企業通常實際使用的 API 比預期多出 10–20%

 Thales 應用安全產品副總裁 Tim Chang 表示:API 是數位經濟的連結樞紐,但同時也成為最具吸引力的攻擊面,我們所看到的,不僅是攻擊規模的擴大,更是網路犯罪手法的根本轉變:他們不需要植入惡意程式碼,只要竄改你的業務邏輯即可。這些請求表面上看似合法,但影響可能極具破壞性。」

Tim接著指出,未來六個月,API 攻擊的數量與複雜度只會持續升高。採取行動刻不容緩,錯過了昨,行動的最佳時機是現在。企業必須全面掌握所有正在運行的端點,理解其業務價值,並以具備情境感知與自適應能力的防禦措施加以保護,才能真正保障營收、信任與合規。」

研究方法:

Thales 2025 年上半年API 威脅報告是基於 Imperva 全球 4,000 多個客戶環境中的真實攻擊遙測資料。資料收集於 2025 1 月至 7 月期間,內容包括:

·       涵蓋金融服務、電信、旅遊、醫療保健和電子商務等行業的 40,000 多起 API 攻擊事件

·       機器人遙測和指紋識別,分析攻擊者如何在 Web 和行動 API 中使用進階自動化技術。

·       終端行為分析,包括流量、異常情況以及顯示存在濫用行為的隱密模式。

·       CVE 漏洞追踪,重點在於 Log4jOracle WebLogic Joomla 等持續性漏洞

·       DDoS 攻擊鑑識,重點在於針對金融服務 API 的史無前例的每秒 1500 萬次請求洪流。

 

Thales 威脅研究團隊採用行為分析、機器學習與鑑識分析,對攻擊進行分類、映射至目標端點,並辨識跨產業的攻擊趨勢。雖然資料集主要反映 Imperva 的客戶基礎,但仍提供了一個強而有力且具代表性的觀察發現,顯示 API 如何在全球範圍內被武器化。


編輯者附註:詞彙表

1.  應用程式介面(API, Application Programming Interface): 一段程式碼,用來連結兩個或多個應用程式,使其能夠彼此共享資料。例如行動應用程式透過 API 與社群媒體平台連結,讓使用者能以社群帳號登入。

2.    優惠券(Coupon): 結帳時為顧客提供折扣、促銷或特別優惠的數字或實體代碼。

3.    憑證填充攻擊(Credential stuffing): 網路犯罪分子在暗網購買大量帳號/密碼組合,並利用機器人程式在其他網站或服務的登入頁面不斷嘗試登入,以確認哪些帳密仍可使用。

4.    資料擷取(Data Scraping): 從網站或網頁應用程式中提取資料的行為,常被用於惡意目的,例如操縱價格。

5.    分散式阻斷服務攻擊(DDoS, Distributed Denial of Service): 透過大量流量癱瘓網站,使服務無法使用。通常是利用機器人網路,也稱作殭屍網路它們接管並控制自動化程式或可存取網路的實體運算設備。

6.    終端Endpoint):連接網路系統的實體設備,例如智慧型手機、筆記型電腦、嵌入式設備、感測器或伺服器。

7.    無標頭瀏覽器Headless browser):沒有圖形介面的 Web 瀏覽器,通常被攻擊者用來自動執行操作並模仿合法使用者行為。

8.    遠端程式碼執行(Remote Code Execution, RCE): 一種安全漏洞,允許攻擊者在遠端電腦上執行自己的程式碼,無論是透過公有網路或私有網路。一旦成功,攻擊者即可存取敏感資料與應用程式、重導流量或發動其他攻擊。

9.    影子 APIShadow APIs): 又稱「未 API」,是指在組織內部官方監控管道之外存在並執行的 API