Giderek İnternet’e bağlanan bir dünyada, bilgisayar programlarının birbirleriyle iletişim kurmasını sağlayan yazılım olan uygulama programlama arayüzleri (API’ler) giderek yaygınlaşıyor. API’ler, cihazların ve uygulamaların bilgi alışverişinde bulunmasına olanak tanır ve geliştiricilerin daha iyi ve daha etkili kullanıcı deneyimlerini daha kolay ve verimli bir şekilde oluşturmasına yardımcı olur. Aslında geliştiricilerin %70’i şunu bekliyordu: arttırmak 2023’te API kullanımı, dolayısıyla API’lerin yaygınlığı artmaya devam edecek.
Ancak API kullanımı arttıkça ve cihazlar daha fazla iletişim kurdukça, geliştiriciler giderek daha iyi, daha kullanıcı dostu yazılım sunma olanağına sahip olurken, bunun güvenlik açısından sonuçları nelerdir? API’leri kullanmak bir işletmeyi veya kuruluşu nasıl etkiler? Özellikle tatil sezonuna girerken en fazla risk altında olan sektörler var mı?
Ödeme API’lerini Koruma İhtiyacını Ortaya Çıkarıyoruz
Araştırmalar, saldırganların taktiklerinin daha sofistike ve API’ye özgü hale geldiğini ve geleneksel koruma tekniklerinin etkisiz savunma mekanizmaları olduğunu ortaya koyuyor. 2022’nin ilk yarısında Amerikalılar çevrimiçi dolandırıcılık nedeniyle rekor düzeyde 3,56 milyar dolar kaybetti ve Federal Ticaret Komisyonu 800.000 dolandırıcılık şikayeti aldı ve vakaların %27’si mali kayba yol açtı. Saldırganlar eylemden pay almak istiyor ve ödeme API’leri kolay bir hedef gibi görünüyor.
E-ticaret dünyasında API’ler, satıcıları müşterinin işlemini tamamlayan ödeme hizmeti sağlayıcılarına (PSP’ler) bağlar. Ancak güvenli olmayan API’ler hassas bilgilerin açığa çıkmasına neden olabilir. Dolandırıcıların müşteri kartı bilgilerini alarak PSP’lerden ve e-ticaret sitelerinden çalabilecekleri para, dolandırıcılığın tek maliyeti değildir. Bu nedenle, kötü robotlar daha karmaşık hale geldikçe ve engellenmeleri zorlaştıkça, onların önünde durmak zorunludur.
Dolandırıcılar Bu Tatil Sezonunda API Yaramazlar Listesinde Nasıl Yer Alıyor?
Adobe Analytics’e göre tüketiciler, 1 Kasım ile yıl sonu arasında çevrimiçi alışveriş yoluyla muhtemelen 221,8 milyar dolar harcayacak. Bununla birlikte, Kara Cuma ve Siber Pazartesi gibi flaş satış etkinlikleri sırasında, e-ticaret platformları genellikle ortalama günlere kıyasla en az beş kat, bazen de 30 kata kadar daha fazla bot saldırısıyla karşı karşıya kalıyor. Tüketiciler çevrimiçi alışveriş yoluyla istek listelerinin üzerini çizmeye başladıkça, bu dolandırıcılar para kazanmak için gölgelerde gizlenecekler.
Büyük ölçüde gelişmiş koruma eksikliğinden dolayı, API’ler artık oldukça ticarileştirilmiş (ve dolayısıyla daha erişilebilir) araçlar kullanan siber suçlular tarafından giderek daha fazla ölçekte hedefleniyor. Taktiklerden biri, özellikle gelişmiş kötü botlara karşı korumasız bırakılan ön uç API’lere karşı, herkesin kredi kartı dolandırıcılığı yapmasını kolaylaştıran kart dolandırıcılığı araçlarının ve hizmetlerinin metalaştırılmasıdır.
Örneğin, saldırganlar dolandırıcılık işlemlerinde kullanmak üzere geçerli kredi kartı numaralarını (kartlama, kart kırma veya Dark Web’den satın alma yoluyla) çalacaktır. Botlar genellikle kart numaralarını ve ilgili kart sahibi bilgilerini çıkarmak (“test etmek” veya “kırmak”) için toplu olarak kullanılır. Ödeme işlemcisi veya satıcı tarafından kullanılan API gibi daha az korunan uç noktaların arkasında ödeme ayrıntılarını bulmak daha kolay olabilir.
Artık en deneyimsiz dolandırıcılar bile karmaşık teknikler kullanarak büyük ölçekli saldırılar gerçekleştirebiliyor ve bu da işletmelere gelebilecek potansiyel zararları artırıyor.
API Ödeme Sahtekarlığı Korkutucu Ama Bu En İyi Uygulamalar Çok Keyifli
Doğru ve ölçeklenebilir bir API koruma çözümü, şirketleri müşteri yolculuğu boyunca API saldırılarına karşı koruyabilir. Başarılı bir saldırı, geliri olumsuz etkileyebilir ve şirketin itibarına inkar edilemez zararlar verebilir. Şirketlerin ödeme API’lerini sahtekarlığa ve hesap ele geçirmeye karşı korumalarına yardımcı olacak çeşitli stratejiler ve araçlar mevcuttur:
- Güçlü kimlik doğrulama mekanizmaları: Kullanıcı kimliğini doğrulamak için genellikle iki faktörlü kimlik doğrulama (2FA) ve çok faktörlü kimlik doğrulama (MFA) kullanılır.
- Veri şifreleme ve güvenli iletim: Hem SSL hem de TLS kullanan veri şifreleme, İnternet bağlantılarını güvenli hale getirmek ve aktarılan verileri korumak için kritik öneme sahiptir.
- İzleme ve anormallik tespiti: Dolandırıcılığın önlenmesi, değişen tehditleri tanımlayan ve bunlara uyum sağlayan ve uzmanlar tarafından sürekli olarak izlenen uçta makine öğrenimi tespitini gerektirir.
- Dolandırıcılık tespiti ve önlenmesi: Ödeme noktasında adres doğrulama hizmetleri (AVS), fatura adreslerini doğrulamak için kullanılabilir ancak dolandırıcı doğru adresi biliyorsa sahte ödemeyi durdurmayacaktır.
Bu API güvenlik risklerini anlamak yalnızca iyi bir fikir değil, aynı zamanda bir iş zorunluluğudur. Tek bir API ihlali itibar kaybına, mali kayıplara, yasal sonuçlara ve daha kötü sonuçlara yol açabilir. Şirketler genellikle Web veya mobil uygulama güvenliği adına API güvenliğini ihmal ettiğinden, bilgisayar korsanları veri çıkarmak, iş mantığını bozmak veya bir uygulamayı devre dışı bırakmak için giderek daha fazla API’leri hedef alıyor. Bahisler hiç bu kadar yüksek olmamıştı.
yazar hakkında
Benjamin Fabre, 2015 yılında kurucu ortağı olduğu DataDome şirketinin CEO’sudur. Bir siber güvenlik vizyoneri olan Benjamin, bot kaynaklı dolandırıcılığın yükselişini öngördü. Otomatik çevrimiçi tehditleri engelleme yarışının uçta anında yanıt verilmesini gerektirdiğini erkenden anladı; Statik kurallar ne kadar hızlı güncellenirse güncellensin her zaman bir adım geride kalacaktır. Bir teknoloji uzmanı olarak derin uzmanlığından yararlanan Benjamin, BT güvenlik ekipleri için gerçek bir güç çarpanı olan şeffaf ve kurulumu kolay bir anti-bot çözümü oluşturmaya koyuldu. DataDome’a girin.