API’s worden primair doelwit voor cybercriminelen: meer dan 40.000 API-incidenten in de eerste helft van 2025

Het nieuwste API Threat Report van Thales laat een record aantal aanvallen zien, waarbij vooral de financiële sector, telecom en de reisbranche het meest risico lopen.

Thales deelt de resultaten van het meest recente API Threat Report (H1 2025). Er komt een duidelijke waarschuwing in naar voren: API’s, de onzichtbare verbindingen die apps, betalingen en inlogsystemen aandrijven, zijn het belangrijkste doelwit geworden voor cybercriminelen.

In meer dan 4.000 gemonitorde omgevingen registreerde Thales in de eerste helft van 2025 alleen al meer dan 40.000 API-incidenten. Hoewel API’s slechts 14% van het totale aanvalsvlak vormen, trekken ze inmiddels 44% van het geavanceerde botverkeer aan. Dit toont aan dat aanvallers hun meest geavanceerde automatisering inzetten op de workflows die de kern van kritieke bedrijfsprocessen vormen.

Recordbrekende DDoS-aanval op financiële dienstverlener
Een van de meest opvallende bevindingen uit het rapport is de schaal van een recordbrekende applicatielaag-DDoS-aanval van 15 miljoen requests per seconde (RPS) tegen een API van een financiële dienstverlener.

In tegenstelling tot traditionele DDoS-campagnes, die bandbreedte proberen te overbelasten, richtte deze aanval zich specifiek op de applicatielaag. Door de API zelf uit te putten en operaties te verstoren. In H1 2025 was 27% van al het API-gerichte DDoS-verkeer gericht op financiële diensten, een weerspiegeling van de grote afhankelijkheid van de sector van API’s voor realtime transacties zoals saldo-checks, overschrijvingen en betaalautorisaties.

Dit incident laat zien hoe aanvallers tegenwoordig schaal combineren met kracht: enorme botnets en headless browsers worden ingezet om legitieme API-requests na te bootsen, waardoor het voor de beveiliging veel moeilijker wordt om kwaadwillend verkeer te onderscheiden van echte gebruikers.

Belangrijkste bevindingen uit het rapport
– 40.000+ API-incidenten geregistreerd in H1 2025, gemiddeld meer dan 220 per dag. Naar verwachting stijgt dit tot boven de 80.000 tegen het einde van het jaar als de trend doorzet.
– Aanvalsverdeling per endpoint: 37% data-access API’s, 32% checkout/betaling, 16% authenticatie, 5% giftcard/promo-validatie, en 3% shadow- of verkeerd geconfigureerde endpoints.
– Credential stuffing en pogingen tot accountovernames namen met 40% toe bij API’s zonder adaptieve MFA.
– Data scraping is verantwoordelijk voor 31% van alle API-botactiviteiten, vaak gericht op waardevolle velden zoals e-mailadressen en betaalgegevens.
– Coupon- en betaalfraude vormen 26% van de aanvallen, waarbij promotielussen en zwakke checkout-validatie worden misbruikt.
– Remote code execution (RCE)-probes maken 13% van de aanvallen uit, waarbij Log4j, Oracle WebLogic en Joomla de meest geviseerde CVE’s zijn.
– Per sector: financiële diensten (27%) leiden, gevolgd door telecom & ISP’s (10%), reizen (14%), en entertainment & kunst (13%).
– Shadow API’s blijven een kritiek blinde vlek: organisaties hebben doorgaans 10–20% meer actieve API’s dan waar ze zich van bewust zijn.

“API’s zijn het bindweefsel van de digitale economie, maar dat maakt ze ook het aantrekkelijkste aanvalsvlak,” zegt Tim Chang, Vice President Application Security Products bij Thales. “Wat we zien is niet alleen dat de schaal van aanvallen groeit, maar ook een fundamentele verschuiving in de werkwijze van criminelen: ze hoeven geen malware meer te installeren, ze kunnen simpelweg je business logic tegen je gebruiken. De requests lijken legitiem, maar de impact kan verwoestend zijn. De komende zes maanden zullen zowel het volume als de verfijning van API-aanvallen alleen maar toenemen. Bedrijven hadden zich hier al op aan moeten passen, maar als dat nog niet het geval is, is nu het moment. Organisaties moeten elk actief endpoint ontdekken, de bedrijfswaarde ervan begrijpen en het beschermen met contextbewuste, adaptieve verdedigingsmaatregelen als ze hun omzet, vertrouwen en compliance willen waarborgen.”

Over het onderzoek
Het Thales API Threat Report (H1 2025) is gebaseerd op real-world attack telemetry uit meer dan 4.000 Imperva-klantomgevingen wereldwijd. Data werd verzameld tussen januari en juli 2025 en omvat:
– 40.000+ API-incidenten in sectoren zoals financiële diensten, telecom, reizen, gezondheidszorg en e-commerce.
– Bot-telemetrie en fingerprinting, met analyse van hoe aanvallers geavanceerde automatisering inzetten op zowel web- als mobiele API’s.
– Analyse van endpoint-gedrag, inclusief verkeersvolumes, anomalieën en stealth-patronen die misbruik signaleren.
– CVE-exploittracking, gericht op hardnekkige kwetsbaarheden zoals Log4j, Oracle WebLogic en Joomla.
– DDoS-forensisch onderzoek, met als hoogtepunt een ongekende flood van 15 miljoen requests per seconde tegen een financiële API.

Het Threat Research-team van Thales gebruikte gedragsanalyses, machine learning en forensische methoden om aanvallen te categoriseren, ze te koppelen aan doelwitten en trends in kaart te brengen. Hoewel de dataset de klantenbasis van Imperva weerspiegelt, biedt het een robuust en representatief beeld van hoe API’s wereldwijd worden bewapend.