Как киберпреступники ломают бизнес-логику: кровавый разбор

Бизнес-логика — это та тонкая паутина, что связывает пользовательские приложения с базами данных. Именно она определяет, как информация отображается, хранится, изменяется и что будет разрешено или запрещено при клике по кнопке «Оформить заявку» или «Войти». Допустим, в банке существуют строгие правила: кто из клиентов может получить кредит, а кто — нет. Эти правила заключены в коде, который обязан исполнять их так же строго, как следователь — Уголовный кодекс. Но есть персонажи по ту сторону закона: киберпреступники. Их хлеб — лазейки в этих правилах, когда всё вроде работает… но совсем не так, как задумывали добрые программисты. Взломщик может, избегая явных багов, заставить систему поверить в абсурд: изменить значения в заявке, отправить абсурдные данные или совершить другие цифровые пакости. При этом защита почти бессильна: система реагирует на действия, для которых написана, вот только мотивация у пользователя вдруг оказывается, скажем так, нетрадиционной.

Особенно пикантно, когда разработчики сами толком не понимают, что творится внутри огромных сложнейших программных комплексов (и кто им это расскажет?). Там встречаются куски кода, собранные отовсюду, как Франкенштейн — и ни один не предполагает, что к пользователю пристанет злоумышленник с чувством юмора и желанием взломать логику. Итог смехотворно мрачен: преступник скручивает бизнес-логику в бараний рог, получает доступ к личным и финансовым данным, да ещё и совершает мошенничество. Например, атакуя систему, где происходит обработка платежей, он может выкрутить формулы так, чтобы деньги просто исчезали в бездну — то есть, в карман злоумышленника.

Научиться детектировать такие атаки очень сложно: они не привязаны к конкретной технологии, потому что эксплуатируется здравый смысл и предположения разработчиков о поведении пользователей. В 2025 году организация OWASP составила рейтинг из 10 распространённых злоупотреблений бизнес-логикой. Это каталог атак — от манипуляций с временными паролями и сессиями входа до истощения ресурсов системы через краш-атаки. Всё чаще злодеи пускают в ход чат-ботов с искусственным интеллектом (AI), чтобы быстрее находить и прокачивать лазейки. Так, по данным отчёта Thales Bad Bot, хитрые и средние по сложности атаки ботов уже составляют 55% от всех зафиксированных вредоносных взаимодействий с ботами в 2024 году. Причём почти половина такой активности направлена на уязвимости в API — интерфейсах, с помощью которых программы общаются друг с другом. Бизнес-логика страдает, деньги и репутация уходят в закат вместе с чувствительными данными.

Традиционные методы защиты почти бесполезны: фаерволлы и сигнатуры ловят только стандартный мусор, а злоумышленники действуют умнее — ломают именно правильную, но недальновидную логику. Сейчас главное оружие защиты — поведенческий анализ, мониторинг API и автоматизация. Именно так можно поймать цифрового мошенника с поличным. Но этого мало: директор по информационной безопасности (CISO) должен хорошо разбираться в том, как настоящие пользователи ведут себя, где проходят основные потоки данных и какие ворота для злоупотреблений всегда будут на виду (регистрация, оплата, вход в аккаунт).

Правильное проектирование и внутренняя культура — вот новые щиты. Обсуждайте бизнес-логику между безопасниками и разработчиками, ломайте изолированность команд. Добавляйте автоматизацию, регулярно проверяйте API, усваивайте концепцию secure-by-design («безопасность по умолчанию») — и тогда киберпреступники останутся не у дел. Всё остальное — риски, которые сегодня никому не хочется ощутить на себе.