摘    要

近期,永安在线情报平台捕获到多起针对金融借贷平台API接口的攻击,涉及多家平台,黑产团伙通过批量攻击平台API接口以获取平台注册用户的手机号

API作为平台与用户之间信息传递的桥梁,承载着企业核心业务逻辑和大量敏感数据,逐渐成为黑产的主要攻击对象之一。伴随着金融行业数字化发展的深入,API开放数量剧增,逻辑也更加复杂,给API安全管理带来极大的难度,从而也带来巨大的数据安全隐患。因此,API资产可和API风险可控将成为金融行业数字化过程中数据安全治理的必要措施。

备注:本文不会披露任何一家平台遭受攻击的细节,如果您是金融借贷平台的安全从业人员,想知道您的平台是否遭受攻击及攻击细节,可以通过公众号后台留言与我们联系。

事件背景

API攻击已成黑产窃取平台用户信息的重要途径

金融借贷平台的用户数据,一直都是黑产眼中的香馍馍。黑产将获取到的用户信息在暗网或地下黑市出售给中介或其它竞争平台,甚至是犯罪分子,以获取高额收益。

过往,黑产窃取平台用户信息主要有以下几种方式:

通过黑客手段入侵后台,拖取后台数据

勾结内鬼,暗地下载或导出用户数据

第三方App或SDK,违规收集用户信息

随着安全治理和监管力度的加强,黑产想要通过这些方式窃取数据的难度越来越高。但“道高一尺,魔高一丈”,在巨大的利益驱使下,黑产不断找寻其他突破口,通过攻击平台API接口获取用户信息,已经成为了黑产的重要途径。

API作为平台与用户之间信息传递的桥梁,随着金融行业数字化发展,其数量急剧增加,开放程度也越来越高。而现阶段很多金融平台在API安全建设方面相对薄弱,这就给了黑产可乘之机。

近年来黑产通过攻击API窃取用户信息的案例也越来越多,永安在线情报平台之前有捕获到多家银行信用卡业务API接口被攻击(如:38家银行API存在安全缺陷,“开放银行”信息安全建设任重道远),近期永安在线再次发现了多家金融借贷平台的API接口遭受黑产团伙的攻击,导致平台大量用户手机号泄露。

下文将对此次捕获到的攻击流量及事件危害进行分析,并提供相应的安全建议。

事件分析

1. 三类易遭受攻击的API接口分析

通过对金融借贷平台API接口的攻击流量分析发现,攻击者主要针对三种API接口进行攻击:注册接口、登录接口和密码找回接口

黑产借助IP资源池大量的秒拨或代理IP,伪装成正常用户请求对API接口进行攻击利用接口本身的业务逻辑(根据传入参数不同返回不同的信息或数值)就可以批量筛选出该平台注册用户的手机号。

1)攻击注册接口

部分金融借贷平台在用户发起借贷申请的时候,会引导用户先填入手机号进行注册。

下图是某金融借贷平台注册页面:

以该平台为例,前端会根据接口返回的值,给到用户不同的提示:

如果注册接口返回true,提示“该手机已注册,输入验证码直接登录”;

如果注册接口返回false,提示“该手机未注册,输入验证码并设置密码,以完成注册”。

按照这个逻辑,黑产通过批量攻击注册接口,在接口参数中传入不同的手机号,再根据接口的返回值进行筛选,就可以筛选出已在该平台注册过的用户手机号(即接口返回true的手机号)。

2)攻击登录接口

部分金融借贷平台的登录接口,存在错误提示不合理的缺陷:

输入错误的手机号,接口返回“用户不存在”;

输入错误的密码,接口返回“密码输入错误”。

黑产通过批量攻击登录接口,在登录接口的请求参数中传入不同的手机号和随意构造的密码,再根据接口的返回值进行筛选,可以获取到大量平台注册用户的手机号(即提示“密码输入错误”的手机号)。

下图是永安在线情报平台捕获到的针对某金融借贷平台API接口的部分攻击流量,可以看到黑产每次发起请求,传入的密码就是固定的“1”:

3)攻击密码找回接口

部分金融借贷平台的找回密码功能,第一步需要用户填入手机号。

下图是某金融借贷平台的密码找回页面:

以该平台为例:

如果手机号未注册,接口返回0,前端提示“该用户尚未注册,请先注册”,然后跳转到注册页面;

如果手机号已注册,接口返回1,前端则跳转到下一步(一般来说是发送手机短信验证码)。

黑产通过批量攻击该接口,在参数中传入不同的手机号,通过接口的返回值进行筛选,可以获取到大量平台注册用户的手机号(即接口返回1的手机号)。

2. API攻击案例分析

以近期比较活跃的一个黑产团伙为例,对攻击过程进行分析。

该团伙先是在国内某IDC机房租用服务器,将攻击代码部署在服务器上,然后对多个金融借贷平台的API接口发起大规模的自动化攻击:

该团伙通过黑产资源平台获取到大量的秒拨和动态代理IP,绝大多数IP发起的攻击次数不超过10次,超过35%的IP甚至只发起一次攻击:

这种利用秒拨或代理IP发起的攻击,模拟正常请求流量,可以绕过平台安全防护软件的IP限频策略,也能最大限度地避免被平台察觉。

实际攻击效果也非常“可观”,所有遭受到攻击的平台当中,没有1个平台能识别或阻断攻击,攻击成功率达到了100%。

事件危害

前文提到,黑产将获取到的用户信息在暗网或地下黑市出售给中介或其它竞争平台,甚至是犯罪分子,以获取高额收益。永安在线风险情报感知系统通过对TG群、暗网等渠道进行监测,发现了黑产在大量出售金融借贷平台用户信息,涉及姓名、手机号等。

对于受害者来说,其信息被泄漏的后果,轻则遭受频繁的电话骚扰,重则会被实施精准的电话诈骗,造成巨大的财产损失。最典型的套路就是知道受害人在哪个平台有借贷,冒充平台客服诱导受害人以“保证金”、“服务费”、“手续费”或“影响征信”等名义往犯罪分子控制的银行账户打钱。

对于金融平台来说,因为泄漏客户数据会招致大量的用户投诉法律处分或监管惩罚经济和品牌声誉均会受损。近年来国家《数据安全法》、《个人信息保护法》等法律的相继出台,为各行业数据安全保护工作提出了严格要求,金融行业因其业务和数据的特殊性将面临更严格的监管和标准要求。

安全建议

从整体防护角度来讲:

API安全应基于API的整个生命周期,围绕设计、开发、测试、上线运行、迭代到下线的每一个环节加强安全监测和风险识别。(关于API全生命周期安全防护更多详情,可点击阅读:永安在线发布「API安全建设白皮书」,提出API全生命周期安全防护模型)

从高效防御层面来看:

永安在线安全研究专家建议从API的上线运行阶段入手,基于风险情报对API的流量分析,持续实现API和数据资产的梳理、漏洞的检测、攻击威胁感知,在摸底清楚资产基础上,及时预警风险并止损,从而给到安全人员有更多的战略时空资源和经验总结来进行安全左移建设,逐渐实现API全生命周期的防护

1)全面、动态梳理API和数据资产

API安全可控的前提需要对API资产的全面可视,通过对面向员工、合作企业、内部员工、开源组件和中间件的多种应用场景的API进行自动化梳理,全面了解API开放的数量、API的活跃状况、有多少僵尸API或影子API、API是否涉敏或存在安全缺陷等信息,从不可知到全面可视,是企业API安全管理的基础。

同时,还需对API中流动的敏感数据资产进行动态检测和分级分类,明确有哪些类型的敏感数据分布在哪些API上,确保企业流动数据清晰可见。

2)持续、高效检测API安全缺陷

在API资产和数据资产可见的基础之上,企业还需要对API在设计和开发方面存在的缺陷进行评估,检测API在认证、授权、数据暴露、输入检查、安全配置方面是否存在漏洞可供攻击者来利用。

永安在线基于代理蜜罐情报可以持续跟踪攻击者如何利用新型API漏洞来进行攻击,通过对新型攻击面和攻击特征的分析,持续迭代优化API漏洞检测引擎,覆盖业务API的逻辑漏洞以及开源系统API的未授权漏洞。

3)及时、精准感知API攻击和数据泄露

从前文来看,攻击者利用大量秒拨或动态代理IP,伪装成正常的请求流量,对金融借贷平台API进行攻击,这种攻击方式可直接绕过传统安全产品的限频策略,企业很难及时感知并阻断风险。

基于攻击者使用的攻击资源如攻击IP、工具、账号、行为等情报资源来构建API访问的行为基线,利用机器学习检测API访问序列中的异常行为,可以及时告警撞库、扫号、数据爬取、账号爆破、漏洞扫描等攻击风险,帮助企业及时识别风险并进行预警​