APIs: Невидимый Костяк Онлайн-Розничной Торговли
Интерфейсы программирования приложений (API) давно служат невидимой основой для онлайн-розничной торговли. Они позволяют ритейлерам бесшовно интегрировать сложные системы электронной коммерции, выполняя задачи от обработки платежей до управления логистикой и запасами. Однако подобная взаимосвязанность сделала ритейл привлекательной целью для злоумышленников. В 2023 году розничные сети испытали на себе 19 миллиардов злонамеренных API-запросов, что привело к попыткам эксплуатации уязвимостей в API, потенциально приводя к утечке данных, нарушению работы и финансовому ущербу.
Угроза в Период Подготовки к Новому Учебному Году
Период подготовки к новому учебному году – излюбленное время для атак злоумышленников. Ритейлеры осознают эту угрозу и усиливают меры безопасности в периоды повышенного спроса. Однако такой подход уже не безупречен. Более продуманные атаки начинаются заранее, чтобы подготовиться к сезонным распродажам и обойти защиту.
Долгосрочные Атаки
Ранее злоумышленники предпочитали простые и быстровыполнимые схемы, но теперь их атаки стали более изощренными. Они вкладывают больше ресурсов и времени в скрытные атаки, которые растянуты во времени, чтобы нанести максимальный ущерб в периоды пикового спроса. Для этого они создают множество поддельных учетных записей через стандартные API, чтобы завоевать доверие и авторитет на рынке. Автоматизация и инструменты управления помогают им подделывать эту активность, имитируя взаимодействие с другими пользователями и подписки на услуги.
Захват Учетных Записей
Еще одной распространенной угрозой является захват учетных записей (ATO). Вместо создания поддельных учетных записей, злоумышленники стремятся получить контроль над уже существующими аккаунтами пользователей, что позволяет оперативно реализовать свои цели. Активность в этой области ощутимо возрастает в периоды распродаж.
Угроза Ботовых Атак
Ботовые атаки остаются значительной угрозой для цифровых платформ ритейлеров. Боты автоматизируют процессы, манипулируя системами под видом реальных пользователей, что создает мощную нагрузку и исключает легитимных покупателей. В 2023 году из 154 миллиардов API-запросов 22 миллиарда приходились на боты. Эти атаки часто приводят к захвату дефицитных товаров, которые затем перепродаются по завышенной цене, что усугубляет неудовольствие клиентов и продавцов.
Подготовка Ритейлеров
Старый метод усиления кибербезопасности перед крупными продажами больше не работает. Необходима комплексная и круглогодичная стратегия безопасности для эффективного противодействия угрозам, особенно в период пиковых продаж.
С учетом важности API для ритейлеров, компании должны полностью понимать их использование и внедрять всесторонние защитные меры. Важным аспектом является обеспечение видимости всех API, как внутренних, так и внешних, чтобы выявить уязвимости и соблюдать стандарты безопасности.
Знание обо всех API и их корректной работе дает возможность противостоять как быстрым атакам, так и длительным, детально спланированным атакам, защищая операции розничной торговли и укрепляя доверие клиентов.
Источник: TechRadar
