近日，国内一家大型保险公司的安全运维人员发现了一个异常现象：自家APP中的用户话费充值页面，出现了大量的支付下单服务请求，却没有出现对应的话费充值支付行为。更奇怪的是，面对这些批量出现的异常支付下单请求，内部的风控系统却毫无反应。

　　为了弄清楚背后的原因，这家保险公司向专业网络安全厂商瑞数信息寻求了帮助，结果让保险公司大吃一惊：原来APP的支付接口被一家网站恶意挪用，变相对赌 资进行充值。

　　经系统分析显示，这家网站将该保险APP话费充值页面的前端逻辑，嵌入到了自己的充值页面中。当用户在网站上点击投 注时，充值信息被发送至保险APP的支付处理中转服务，从而获取有效的微信支付跳转链接。但微信支付链接并没有按照正常路径返回，而是返回到了网站的前端页面，这样用户就可以直接在页面中完成赌 资支付。

　　事实上，这是一起典型的支付接口被挪用的案件。所谓的支付接口挪用，就是指未按照事前约定使用支付机构提供的支付结算能力，最常见的是被用于对接一些非法的交易，如对接黄赌毒、套现、非法期货、非法大宗商品等交易。

　　在我国相关监管文件中，非常明确地指出禁止支付交易接口挪用，以遏制违法行为、严厉打击行业乱象。但不可否认的是，大量支付交易接口挪用现象层出不穷，逍遥在监管之外。

　　为何支付接口挪用屡禁不止?

　　支付接口挪用创下高额利益，黑产趋于自动化、专业化攻击

　　如今，网络支付正逐渐取代现金支付，随着网络支付的增加，网络支付接口挪用现象也呈现愈演愈烈的趋势。

　　目前，最常见的网络支付接口挪用有以下几种：

　　套码、降低接入费用：通过套用较低费率的接口，可以降低接入成本，提高利润水平。

　　四方转售接口：开展非法四方业务的机构通过壳公司接入银行和支付机构，获取网络支付接口，并通过转售这些接口获利。

　　开展非法业务：黄赌毒、套现、原油、期货、大宗商品等非法业务通过包装进合法的壳公司，对接支付机构。

　　支付机构之间接口互接：根据监管要求，银行、支付机构涉及跨行清算业务时，必须通过央行或具备合法资质的清算机构处理。但为了绕开监管，部分支付机构通过关联公司等手段变相对接其他支付机构的通道。

　　不难发现，支付接口被非法挪用的背后都涉及到利益。根据网络数据显示，在旺季一个晚上流水可达上亿元，为其提供支付接口的黑产可以从中提成1.3-3%的服务费。换句话说，光是负责支付这一环节，黑产一晚上就至少能赚130万，而且几乎是躺赚。

　　如此丰厚的利益，自然吸引了大量黑产投身其中。为了应对微信、支付宝、京东钱包等支付平台的严格审核，黑产不断地提升攻击技术，寻找可突破的系统漏洞和业务逻辑，想方设法地利用各种合法支付接口。

　　瑞数信息技术专家黄志敏介绍：“所有行业的线上业务支付接口都可能被黑产利用，特别是电商、保险金融等机构和运营商合作推出的话费充值等虚拟充值商品相关业务，很容易被黑产恶意利用支付接口用作非法用途。”

　　但从企业角度看，面对如此猖獗的黑产攻击却毫无招架之力，甚至很长时间都无法察觉黑产恶意行为的存在。在瑞数信息技术专家黄志敏看来，其原因主要有两点：

　　一是黑产攻击手段的不断升级。如今黑产已形成了高度专业化的上下游独立的、有序协作的作案团伙，为了进一步提高攻击效率，大多数黑产在整个欺诈流程中涉及到需要大量重复执行的环节中，采用Bots自动化工具攻击，甚至会针对特定平台、特定API业务逻辑编写定制化的脚本，不断在尝试利用各种各样的手段来绕过现有的安全检测措施。

　　二是传统安全和风控产品无力应对新型API攻击。面对隐秘高效的Bots自动化攻击，企业普遍采用的传统WAF、IDS、API安全网关等安全设备，基于固定的规则和签名已无法有效识别异常行为;而传统风控产品在业务和安全数据关联上较为脱节，且缺少对自动化攻击的识别能力，单从账号行为分析也无法识别出模仿正常用户行为的恶意行为。

　　瑞数动态+API安全，体系化保护支付接口安全

　　支付接口挪用案件频发，给社会和行业带来了一系列不良影响。一方面，支付接口挪用带来的洗钱、套利、黄赌毒等非法交易的发生，导致犯罪率的增高甚至引起金融市场动荡，给社会的繁荣稳定、治安等问题造成了巨大的危害性。另一方面，支付接口挪用造成大量的客户投诉及举报等问题，给企业声誉以及市场稳定发展造成了不利影响。

　　基于这种严峻的现状，全行业亟需一种能够对支付接口进行实时监测和防护的系统，有效地在日常监控中识别支付交易接口挪用现象，快速识别违法犯罪行为，以提升支付风险的整体防控水平。

　　为了解决企业合法支付接口面临的风险，瑞数信息作为动态安全技术的创新者，和Bots自动化攻击防护领域的专业厂商，创新推出了API安全管控平台(API BotDefender)，从API接口的资产管理、敏感数据管控、访问行为管控、API风险识别与管控等维度，体系化保障API接口安全，弥补了传统安全和风控产品的不足。

　　针对支付接口被挪用问题，瑞数API安全管控平台会对保险APP的API资产进行梳理，如：包括哪些API接口?通过API接口的业务逻辑是怎样的?从哪些渠道可以访问支付API接口等，从API接口路径入手去查看异常行为。

　　其次，基于API防护技术建立了API安全基线，对API接口滥用、API接口异常访问、恶意扫描、注入攻击等进行监控分析;同时，基于动态安全、业务威胁感知、Bots自动化攻击识别等技术模块，能够透视API接口常见的业务威胁，高效准确进行人机识别，从而发现了大量的异常信息请求，并识别出其攻击手段包括Cookie信息篡改、自动化工具、URL信息篡改，符合业务欺诈的逻辑。

　　最后，经过对异常行为日志进行进一步深入分析和确认，联动企业现有风控产品对异常行为背后的账号进行打分，将识别出的异常账号批量提供给企业，并配合企业调整风控系统策略，将API接口防护的安全能力赋能给企业。

　　事实上，瑞数信息不仅能实现高效准确的人机识别，也能够对API接口实现精细化的访问控制，支持多维度限频、拦截、延时等，实现企业实时安全响应和业务发展的平衡。

　　随着Bots自动化攻击瞄准支付API接口，瑞数信息也率先将所有线上业务接入渠道纳入防护，包括Web、H5、APP、API、微信、小程序等，通过用户账号等唯一标识和全访问记录，将各业务接入渠道的数据进行融合，实现应用全渠道的安全防护。

　　正是基于在业务反欺诈领域的出色表现，瑞数信息日前成功入选了2022年IDC《中国金融行业反欺诈市场研究报告》代表厂商，并在2021年被Gartner列为《在线反欺诈市场指南》报告代表厂商。

　　结语

　　支付API接口被挪用是一个非常严重的问题，给社会经济运行和企业自身带来了巨大的风险。随着行业监管从严，API攻击威胁环境愈加复杂，黑产攻击手段进一步提升，企业也必须更加重视支付API滥用的问题，借助专业安全厂商的力量保护API安全已势在必行。瑞数信息基于独有的“动态安全+AI”核心技术，能够有效保护企业的API安全，为业务和数据保驾护航。