API-aanvallen hebben in de eerste helft van 2025 een recordhoogte bereikt met meer dan 40.000 geregistreerde incidenten. Cybercriminelen richten zich steeds vaker op deze onzichtbare verbindingen tussen apps en systemen, waarbij financiële dienstverleners het zwaarst getroffen worden.
De urgente noodzaak tot actie wordt benadrukt in het nieuwste API Threat Report van Thales. Vice President Application Security Products Tim Chang waarschuwt: “API’s zijn het bindweefsel van de digitale economie, maar dat maakt ze ook het aantrekkelijkste aanvalsvlak.” Volgens hem hoeven criminelen geen malware meer te installeren, maar kunnen ze simpelweg de bedrijfslogica tegen organisaties gebruiken.
Recordbrekende DDoS-aanval treft financiële sector
Een van de meest opvallende bevindingen uit het rapport betreft een recordbrekende applicatielaag-DDoS-aanval van 15 miljoen requests per seconde tegen een API van een financiële dienstverlener. Deze aanval richtte zich specifiek op de applicatielaag in plaats van het proberen overbelasten van bandbreedte.
De financiële sector blijkt bijzonder kwetsbaar. In de eerste helft van 2025 was 27 procent van al het API-gerichte DDoS-verkeer gericht op financiële diensten. Deze sector is sterk afhankelijk van API’s voor realtime transacties zoals saldo-checks, overschrijvingen en betaalautorisaties.
Tip: API’s zijn onmisbaar, maar ook een securityrisico
Diepgaande analyse van aanvalspatronen
In meer dan 4.000 gemonitorde omgevingen registreerde het securitybedrijf gemiddeld meer dan 220 API-incidenten per dag. Hoewel API’s slechts 14 procent van het totale aanvalsvlak vormen, trekken ze inmiddels 44 procent van het geavanceerde botverkeer aan.
Deze cijfers illustreren een fundamentele verschuiving in de werkwijze van cybercriminelen. Zij zetten hun meest geavanceerde automatisering in op de workflows die de kern vormen van kritieke bedrijfsprocessen. Als de huidige trend doorzet, verwacht Thales dat het aantal incidenten tegen het einde van het jaar boven de 80.000 uitkomt.
De verdeling van aanvallen toont een duidelijk patroon. Data-access API’s worden het meest geviseerd (37 procent), gevolgd door checkout- en betaal-API’s (32 procent). Authenticatie-endpoints maken 16 procent uit van de doelwitten, terwijl giftcard- en promotievalidatie 5 procent vertegenwoordigen.
Toenemende dreiging en blinde vlekken
Credential stuffing en pogingen tot accountovernames namen met 40 procent toe bij API’s zonder adaptieve multi-factor authenticatie. Data scraping is verantwoordelijk voor 31 procent van alle API-botactiviteiten, vaak gericht op waardevolle velden zoals e-mailadressen en betaalgegevens.
Een verontrustende bevinding betreft shadow API’s. Organisaties hebben doorgaans 10 tot 20 procent meer actieve API’s dan waar ze zich van bewust zijn. Deze onbekende endpoints vormen een kritiek blinde vlek in de beveiliging.
De aanvallen worden steeds geavanceerder doordat criminelen enorme botnets en headless browsers inzetten om legitieme API-requests na te bootsen. Dit maakt het voor beveiligingssystemen veel moeilijker om kwaadwillend verkeer te onderscheiden van echte gebruikers.
Remote code execution-aanvallen maken 13 procent van de totale API-aanvallen uit. Hierbij zijn Log4j, Oracle WebLogic en Joomla de meest geviseerde kwetsbaarheden. Chang waarschuwt dat bedrijven zich onmiddellijk moeten aanpassen aan deze dreiging. De komende zes maanden zullen zowel het volume als de verfijning van API-aanvallen alleen maar toenemen.