短短几年内,开放银行(使用开放 API 允许第三方在银行、保险公司和其他金融机构的产品基础上构建产品和服务)改变了金融服务格局。
利用现有金融服务产品在贷款、支付和保险等领域构建新产品的能力,使消费者能够大大简化交易、管理财务生活和控制个人数据的过程。 与此同时,开放 API 协议正在推动金融服务的创新,并为金融机构创造可观的收入来源。 随着FDX API 5.0的新版本的发布,该版本对 API 安全性、互操作性和性能标准进行了编纂,以及欧盟即将到来的 PSD2强客户认证 (SCA) 截止日期,必将带来更多的创新和新的收入机会。
但有回报的地方就必然有风险。 从本质上讲,开放 API 会将内部和客户数据暴露给第三方——这使得这些数据更容易被不良行为者访问。 这对于账户聚合商来说尤其令人担忧,因为像 Mint 和 Plaid 这样的账户聚合商为消费者提供了现代金融服务。 继续阅读,了解不良行为者如何使用聚合器攻击和欺骗银行、保险公司和其他金融机构。
金融账户聚合器可以为消费者增加真正的价值,让他们可以通过一屏查看自己的财务生活。 它们还可以减少交易摩擦并创造新的收入来源,从而使金融机构受益。 这就是为什么许多金融机构在与聚合器连接时放松其安全程序的原因。 但由于它们可以存储数亿个账户的数据,因此聚合器对不法分子来说就成了有吸引力的目标——尤其是规模较小的聚合器,它们可能缺乏更成熟的同行的资金和安全水平。
与此同时,不法分子可获取的被盗账户数据不断增长,这也助长了自动撞库攻击攻击,不法分子会尝试使用僵尸网络和被盗凭证来访问账户。 这些攻击已经成为金融机构面临的巨大问题,造成了大量数据泄露和巨额财务损失,以至于美国联邦调查局最近向美国金融业发出了有关撞库攻击填充威胁的正式警告。
撞库攻击现象增多最令人担忧的结果是账户接管 (ATO) 增多,攻击者控制他们获得访问权限的账户,然后通过欺诈手段窃取这些账户中的资金。 根据 Javelin Strategy and Research 在其2021 年身份欺诈研究中指出,ATO 欺诈在 2020 年造成的总损失超过 60 亿美元。
调查还计算了撞库攻击攻击的平均成本,令人震惊的是,其成本可能达到月活跃用户所产生收入的六倍以上。
风险不止于此,不幸的是,它比一些人想象的还要严重。 不良行为者知道聚合器流量被阻止的可能性较小,因此他们喜欢将其用作进入金融机构的后门。 例如,2019 年,当金融服务巨头NCR Corp. 发现某些聚合器发起一波自动账户接管活动时,它认为有必要暂时阻止这些聚合器访问其数字银行平台。
通过向聚合器开放 API,金融机构还会造成或加剧流量激增,从而增加系统性能风险。 部分原因是,聚合器是开放银行 API 的最大用户之一,产生了典型银行 20% 的流量。 联邦调查局表示,另一个因素是,撞库攻击攻击可能会对金融机构的身份验证系统造成巨大压力,以至于这些机构确信他们正面临拒绝服务攻击。
底线是,开放银行业务使金融机构面临重大且普遍的风险。 这就是为什么 F5 采取战略方法来帮助金融机构管理和保护开放银行 API。
F5 已经成为提供 API 管理、高性能 API 网关和高级安全控制的一体化解决方案的领导者,可以减少工具蔓延并限制架构复杂性。
F5 实时监控金融机构账户的登录尝试,使金融机构能够区分真实用户、机器人和自动化以及手动(人为)欺诈尝试。 我们认为这是美国前 15 家商业银行全部使用F5 解决方案的原因之一。 现在,我们正在进行创新以扩展我们的解决方案并为开放银行提供更加全面的支持。
在接下来的几个月里,您将看到 F5 在开放银行领域推出的更多内容,重点关注包括更好地管理来自聚合器的流量和防范 API 攻击等主题。
其中一个例子就是我们的聚合器管理产品,它为开放银行社区的 F5 客户提供了更强大的 API 流量可见性、撞库攻击的自动检测、异常流量检测以及限制聚合器内容访问权限的能力。 对于金融机构来说,这意味着对聚合器进行更细粒度的控制,更好地保护消费者账户免受欺诈,提高应用程序可用性,并降低风险。
敬请关注! 与此同时,了解更多有关开放银行的风险及其防范方法: