Thales公布2025年上半年最新API威脅報告,警告API(這些支撐應用程式、支付與登入的幕後連接器),已成為網路犯罪分子的首要攻擊目標。
在超過4,000個受監測的環境中,Thales僅在2025年上半年已監控記錄超過40,000起API事件。儘管API只佔整體攻擊面14%,卻吸引44%的進階機器人流量,顯示攻擊者正將最複雜的自動化攻擊重點,集中於支撐關鍵業務營運的工作流程上。
報告中最引人注目的發現之一,是針對某金融服務的API,發動史上最大規模應用層DDoS攻擊,高達 每秒1,500萬次請求(RPS)。
不同於傳統攻擊目標是癱瘓網路頻寬的流量型DDoS攻擊,這次攻擊專門鎖定應用層,直接利用API消耗資源並中斷營運。2025年上半年,所有以API為目標的DDoS攻擊流量中,有27%針對金融服務業,這反映出該產業嚴重依賴API進行即時交易,例如餘額查詢、轉帳和支付授權。
這起事件顯示攻擊者已開始將大規模與隱蔽性相結合:利用龐大的殭屍網路與無標頭瀏覽器,模擬合法API請求,使防禦者更難區分惡意流量與真實用戶。
- 2025年上半年API安全事件超過40,000起,平均每日超過220起;若此趨勢持續,全年數量將突破80,000起。
- 以目標端點劃分的攻擊分佈:37%為資料存取API,32%為結帳/支付,16%為身分驗證,5%為禮品卡/促銷驗證,以及3%為影子端點或設定錯誤的端點。
- 未部署自適應MFA的API,帳號填充(credential stuffing)與帳號接管攻擊嘗試次數上升40%。
- 資料擷取(data scraping)佔API機器人活動的31%,經常鎖定高價值資訊,如電子郵件地址與支付細節。
- 優惠券和支付詐欺佔攻擊的26%,利用促銷循環和薄弱的結帳驗證機制做攻擊。
- 遠端程式碼執行(RCE)探測佔13%,主要針對Log4j、Oracle WebLogic與Joomla等高風險CVE。
- 以產業別來看,金融服務業(27%)居冠,其次是電信和網路服務供應商(10%)、旅遊(14%)以及娛樂和藝術(13%)。
- 影子PI(Shadow APIs) 依然是重大盲點:企業通常實際使用的API比預期多出10–20%。
Thales應用安全產品副總裁Tim Chang表示,API是數位經濟的連結樞紐,但同時也成為最具吸引力的攻擊面,我們所看到的,不僅是攻擊規模的擴大,更是網路犯罪手法的根本轉變:他們不需要植入惡意程式碼,只要竄改你的業務邏輯即可。這些請求表面上看似合法,但影響可能極具破壞性。
Tim接著指出,未來六個月,API攻擊的數量與複雜度只會持續升高。採取行動刻不容緩,錯過了昨天,行動的最佳時機就是現在。企業必須全面掌握所有正在運行的端點,理解其業務價值,並以具備情境感知與自適應能力的防禦措施加以保護,才能真正保障營收、信任與合規。
研究方法:
Thales 2025年上半年API威脅報告是基於Imperva全球4,000多個客戶環境中的真實攻擊遙測資料。資料收集於2025年1月至7月期間,內容包括:
- 涵蓋金融服務、電信、旅遊、醫療保健和電子商務等行業的40,000多起API攻擊事件。
- 機器人遙測和指紋識別,分析攻擊者如何在Web和行動API中使用進階自動化技術。
- 終端行為分析,包括流量、異常情況以及顯示存在濫用行為的隱密模式。
- CVE漏洞追踪,重點在於Log4j、Oracle WebLogic和Joomla等持續性漏洞
- DDoS攻擊鑑識,重點在於針對金融服務API的史無前例的每秒1500萬次請求洪流。
Thales 威脅研究團隊採用行為分析、機器學習與鑑識分析,對攻擊進行分類、映射至目標端點,並辨識跨產業的攻擊趨勢。雖然資料集主要反映Imperva的客戶基礎,但仍提供了一個強而有力且具代表性的觀察發現,顯示API如何在全球範圍內被武器化。