說(shuō)起黑產(chǎn)励翼,許多人可能比較陌生或者感覺(jué)神秘,但黑產(chǎn)就在我們每個(gè)人身邊辜荠,例如常見(jiàn)的“羊毛黨”汽抚。
黑產(chǎn)的全稱是網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈,是指通過(guò)網(wǎng)絡(luò)技術(shù)形成的分工明確伯病、銜接密切的利益團(tuán)體造烁,通過(guò)入侵計(jì)算機(jī)信息系統(tǒng)、非法竊取包括個(gè)人信息在內(nèi)的計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)等午笛,謀取非法利益的產(chǎn)業(yè)體系惭蟋。
據(jù)不完全統(tǒng)計(jì),2017年我國(guó)黑產(chǎn)的從業(yè)人員在百萬(wàn)級(jí)以上季研,每年造成的損失達(dá)千億元級(jí)規(guī)模敞葛。
針對(duì)黑產(chǎn)套利,企業(yè)不會(huì)坐以待斃与涡,因此黑產(chǎn)的存在也催生了專門的風(fēng)控團(tuán)隊(duì)與之對(duì)抗惹谐。攻防之間,套路不斷演變驼卖、戰(zhàn)場(chǎng)不斷擴(kuò)大氨肌、技術(shù)不斷升 級(jí),這個(gè)動(dòng)態(tài)進(jìn)化過(guò)程完美詮釋了什么叫“魔高一尺酌畜,道高一丈”怎囚。
下面,將為您詳細(xì)解說(shuō)黑產(chǎn)與風(fēng)控的攻守對(duì)抗桥胞。
生物特征比拼
在生物識(shí)別領(lǐng)域恳守,所有的技術(shù)手段都是為了驗(yàn)證操作者“就是你本人”,所以贩虾,黑產(chǎn)想要攻破防線催烘,就必須想方設(shè)法模擬用戶的生物特征,以便通過(guò)驗(yàn)證缎罢。下面一一做個(gè)介紹:
(1) 手機(jī)指紋識(shí)別
手機(jī)指紋識(shí)別已經(jīng)普及多年伊群,但真的絕對(duì)安全嗎考杉?不見(jiàn)得!黑產(chǎn)人員只要愿意舰始,可以通過(guò)采集用戶遺留在各種物體表面上的指紋印記崇棠,重構(gòu)出一片帶有紋理溝壑的指紋膜,套在任何一個(gè)人手上丸卷,就可以成功騙過(guò)一般的指紋識(shí)別枕稀。
因此,比較高級(jí)的手機(jī)谜嫉,都采用了分辨率更高的指紋識(shí)別模塊抽莱,除了使用真人手指倒模而成的指紋膜之外,不會(huì)輕易被前述的指紋痕跡構(gòu)造的指紋膜(少了很多指紋細(xì)節(jié))所欺騙骄恶。
(2) 人臉識(shí)別
在早期技術(shù)較為落后的年代,人臉識(shí)別系統(tǒng)還停留在五官特征識(shí)別的階段匕垫,黑產(chǎn)人員使用一段帶有用戶人臉的視頻僧鲁,或者3D打印的人臉面具(需要不同角度的人臉信息),就可以騙過(guò)認(rèn)證系統(tǒng)象泵。
因此寞秃,如今大家常見(jiàn)的人臉識(shí)別場(chǎng)景,都增加了活體識(shí)別功能偶惠,隨機(jī)要求用戶做出眨眼春寿、點(diǎn)頭、搖頭等表情/動(dòng)作忽孽,確保拍攝對(duì)象是真人绑改。
雖然這限制了一部分黑產(chǎn)的攻擊嘗試,但更高端的黑產(chǎn)已經(jīng)開(kāi)始使用3D軟件建模渲染出用戶的人臉兄一,并且可以模擬簡(jiǎn)單的動(dòng)作和表情厘线,騙過(guò)活體識(shí)別。
針對(duì)這種安全要求更高的場(chǎng)景出革,風(fēng)控團(tuán)隊(duì)為人臉識(shí)別集成了最新的眼紋識(shí)別技術(shù)造壮,以檢測(cè)人眼當(dāng)中獨(dú)特的血管分布,一般黑產(chǎn)是不太可能獲取如此高清晰度的用戶照片骂束,通過(guò)技術(shù)手段模擬的難度極高耳璧。
此外,風(fēng)控人員為了建立一個(gè)多層次的防御體系展箱,研究推出了多因子身份認(rèn)證解決方案旨枯,利用多重身份認(rèn)證(包括短信驗(yàn)證、手勢(shì)密碼析藕、安全掃碼召廷、生物識(shí)別等多種認(rèn)證方式)凳厢,可以彌補(bǔ)由單一身份認(rèn)證所引發(fā)的身份認(rèn)證風(fēng)險(xiǎn),最大程度保證了使用者的身份信息安全和網(wǎng)絡(luò)信息安全竞慢。
更高級(jí)的終端設(shè)備先紫,具備景深攝像頭和紅外攝像頭,能夠?yàn)V掉3D打印的臉模欺騙(臉模的熱分布和正常人臉不一樣)筹煮、識(shí)別任何類型的視頻欺騙(因?yàn)橐曨l播放設(shè)備是平面的屏幕遮精,不具備人臉的景深)。
另外败潦,在普通終端設(shè)備上本冲,風(fēng)控可以增加額外的聲紋識(shí)別步驟,要求用戶念出隨機(jī)的文字劫扒,以防止黑產(chǎn)繼續(xù)在圖像上做文章檬洞。
數(shù)據(jù)比拼
用戶隱私數(shù)據(jù)一直是黑產(chǎn)想啃的一塊肥肉,畢竟有了這些沟饥,許多系統(tǒng)和業(yè)務(wù)的大門就完全敞開(kāi)了添怔,手持大量隱私數(shù)據(jù)想要牟利真的是易如反掌。
黑產(chǎn)的技術(shù)人員(通常是上游的黑客)通過(guò)破解服務(wù)提供商的服務(wù)器贤旷,攫取大量敏感數(shù)據(jù)(如賬號(hào)广料、密碼等),這在業(yè)內(nèi)稱之為“拖庫(kù)”幼驶。
業(yè)務(wù)平臺(tái)面對(duì)黑客攻擊艾杏,必須及時(shí)為操作系統(tǒng)打補(bǔ)丁(修復(fù)安全漏洞),升級(jí)各類依賴庫(kù)盅藻,加強(qiáng)業(yè)務(wù)代碼的安全性购桑,降低被攻破的可能。
但世上沒(méi)有完美的系統(tǒng)氏淑,業(yè)務(wù)平臺(tái)的數(shù)據(jù)庫(kù)一旦被黑客攻破其兴,大量用戶數(shù)據(jù)泄露,對(duì)應(yīng)的平臺(tái)就不再安全(例如幾年前某大型電子郵件提供商的用戶名和明文密碼泄露)夸政,特別是電子郵件服務(wù)被攻破元旬,許多其他服務(wù)的賬戶以郵箱作為密碼恢復(fù)方式的,也會(huì)變得岌岌可危守问。
因此匀归,除了常規(guī)的系統(tǒng)加固,業(yè)務(wù)平臺(tái)也要對(duì)用戶敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)(如密碼)耗帕,對(duì)信令/日志中的敏感數(shù)據(jù)做脫敏處理(例如手機(jī)號(hào)156****4321)穆端,盡可能少地以明文方式記錄核心敏感信息。
值得注意的是仿便,黑產(chǎn)團(tuán)伙除了直接攻擊業(yè)務(wù)系統(tǒng)体啰,也不會(huì)放過(guò)普通用戶攒巍,他們使用木馬/病毒直接截獲用戶在客戶端設(shè)備上的數(shù)據(jù)或輸入,或者通過(guò)釣魚(yú)網(wǎng)站欺騙用戶交出自己的敏感信息荒勇。
但最容易得手的柒莉,還是通過(guò)非IT技術(shù)手段的欺詐,即通過(guò)交流來(lái)誘導(dǎo)受害人通過(guò)安全認(rèn)證從而侵入到敏感信息——類似這樣的坑蒙拐騙術(shù)沽翔,國(guó)內(nèi)通常稱為電信詐騙兢孝,英文叫法卻很中性甚至有點(diǎn)文藝——social engineering(社會(huì)工程學(xué))……由此衍生而來(lái)的就是社工庫(kù)(social engineering database),一個(gè)黑客們將獲取到的用戶數(shù)據(jù)進(jìn)行整理歸檔(也稱洗庫(kù))仅偎,以便集中查詢的數(shù)據(jù)庫(kù)跨蟹。
社工庫(kù)里除了典型的賬戶密碼,甚至還包括關(guān)聯(lián)的其他社交信息橘沥、銀行信息等等窗轩。需要說(shuō)明的是,有些社工庫(kù)可以提供免費(fèi)查詢座咆,還有一些需要付費(fèi)品姓。另外,在神秘的暗網(wǎng)里箫措,也可以查詢或購(gòu)買到相當(dāng)多的敏感用戶信息。
因?yàn)轱L(fēng)控?zé)o法保證所有平臺(tái)的安全衬潦,所以斤蔓,他們除了被動(dòng)的防御,也會(huì)主動(dòng)出擊镀岛,監(jiān)控黑產(chǎn)情報(bào)弦牡,包括對(duì)各大社工庫(kù)數(shù)據(jù)進(jìn)行分析,可以及時(shí)獲知哪些賬號(hào)已被攻破漂羊,針對(duì)此類高危賬戶產(chǎn)生的業(yè)務(wù)請(qǐng)求有效提高對(duì)應(yīng)的風(fēng)控級(jí)別驾锰。
賬戶/設(shè)備行為比拼
不過(guò),黑產(chǎn)為了擴(kuò)大獲利面走越,總會(huì)盡可能廣撒網(wǎng)椭豫,因此黑產(chǎn)行為越來(lái)越多的向批量化和自動(dòng)化演進(jìn),這就向風(fēng)控提出了新的挑戰(zhàn)旨指。
比如赏酥,一般業(yè)務(wù)平臺(tái)為了營(yíng)銷,經(jīng)常會(huì)開(kāi)展優(yōu)惠或者返現(xiàn)等活動(dòng)谆构,黑產(chǎn)聞風(fēng)而至裸扶,大規(guī)模套利,業(yè)內(nèi)稱之為“薅羊毛”搬素,最常見(jiàn)的手段就是大量注冊(cè)新用戶領(lǐng)取平臺(tái)的活動(dòng)獎(jiǎng)勵(lì)呵晨。
針對(duì)這種現(xiàn)象魏保,風(fēng)控介入后,最基本的要求就是——用戶必須使用手機(jī)號(hào)作為賬戶主體進(jìn)行注冊(cè)摸屠,待用戶注冊(cè)后谓罗,風(fēng)控會(huì)通過(guò)短信驗(yàn)證碼的方式確保手機(jī)號(hào)處于正常在網(wǎng)狀態(tài)。
但這難不倒黑產(chǎn)餐塘。他們會(huì)從卡商那里購(gòu)買即將廢棄但仍然可以接收短信的手機(jī)卡或者廉價(jià)的物聯(lián)網(wǎng)卡妥衣,再通過(guò)短信收碼平臺(tái)來(lái)獲取短信驗(yàn)證碼(每條僅需幾毛錢),然后回傳給腳本工具戒傻,快速完成大量新號(hào)注冊(cè)税手。
為了防止黑產(chǎn)的腳本登錄,風(fēng)控通常會(huì)強(qiáng)化登錄驗(yàn)證需纳,最常見(jiàn)的就是隨機(jī)圖片驗(yàn)證碼和拼圖驗(yàn)證芦倒,由于圖片本身不易被程序翻譯成文本,加上拼圖的隨機(jī)性不翩,阻擋了許多腳本的嘗試兵扬。
然而,隨機(jī)驗(yàn)證碼雖然擋住了腳本口蝠,卻依然還是要給人識(shí)別出來(lái)的器钟。黑產(chǎn)設(shè)立的打碼平臺(tái)(網(wǎng)賺平臺(tái)),利用低廉的傭金吸引閑暇時(shí)間比較多的人群來(lái)幫忙人肉翻譯驗(yàn)證碼妙蔗,然后把翻譯好的文本回傳給腳本傲霸,連同撞庫(kù)的用戶名、密碼再嘗試登錄眉反。有實(shí)力的黑產(chǎn)團(tuán)體昙啄,甚至可以使用圖像識(shí)別技術(shù),直接搞定驗(yàn)證碼圖片到文本的轉(zhuǎn)換寸五,而拼圖驗(yàn)證也可以通過(guò)圖像識(shí)別配合鼠標(biāo)軌跡腳本梳凛,完成拼圖,成功登錄梳杏。
既然驗(yàn)證碼無(wú)法阻止黑產(chǎn)韧拒,風(fēng)控系統(tǒng)就在客戶端部署鼠標(biāo)軌跡偵測(cè)代碼,配合機(jī)器深度學(xué)習(xí)十性,歸納真人操作鼠標(biāo)的移動(dòng)規(guī)律叭莫,讓黑產(chǎn)的自動(dòng)腳本無(wú)計(jì)可施。
但黑產(chǎn)不會(huì)就此無(wú)功而返烁试。他們從社工庫(kù)或者其他渠道獲取用戶的賬號(hào)密碼之后雇初,會(huì)嘗試去其他平臺(tái)使用上述賬號(hào)密碼組合碰碰運(yùn)氣(因?yàn)椴簧儆脩粼诙鄠€(gè)平臺(tái)上使用同一套密碼),也就是所謂的“撞庫(kù)”减响。一些比較老舊的服務(wù)平臺(tái)靖诗,登錄接口只需要提供用戶名和密碼即可郭怪,黑產(chǎn)人員使用簡(jiǎn)單腳本即可輕松嘗試所有已知的用戶名和密碼組合,總有一部分會(huì)成功登錄刊橘,進(jìn)而扒取更多的敏感信息甚至借用賬號(hào)實(shí)行騙貸和網(wǎng)絡(luò)詐騙鄙才。
對(duì)此,風(fēng)控系統(tǒng)增加了新的限制規(guī)則促绵,客戶端在請(qǐng)求消息中會(huì)攜帶手機(jī)的串號(hào)或其他設(shè)備信息(如IP地址)攒庵,風(fēng)控規(guī)則不準(zhǔn)同一臺(tái)手機(jī)/同一個(gè)IP頻繁執(zhí)行注冊(cè)或不斷切換賬號(hào)嘗試登陸。
然而败晴,黑產(chǎn)也很快發(fā)現(xiàn)了問(wèn)題浓冒,他們開(kāi)始使用PC端的手機(jī)操作系統(tǒng)模擬器,或者在真實(shí)手機(jī)上安裝改機(jī)工具尖坤,隨意設(shè)置各種終端設(shè)備信息稳懒,繞過(guò)風(fēng)控規(guī)則對(duì)設(shè)備的限制。針對(duì)IP封鎖慢味,黑產(chǎn)則使用廉價(jià)的高匿名代理服務(wù)器來(lái)欺騙業(yè)務(wù)平臺(tái)场梆,從業(yè)務(wù)請(qǐng)求消息的內(nèi)容當(dāng)中只能看到代理的IP而看不到源頭的IP(即”匿名”的由來(lái))。
換句話說(shuō)纯路,僅從服務(wù)端做規(guī)則檢查已經(jīng)無(wú)法準(zhǔn)確識(shí)別黑產(chǎn)設(shè)備了或油,因此風(fēng)控的控制點(diǎn)延伸到了終端,采用APP加固來(lái)識(shí)別運(yùn)行環(huán)境(是否模擬器)驰唬,檢測(cè)root/越獄狀態(tài)顶岸,屏蔽或限制此類設(shè)備發(fā)起的業(yè)務(wù)請(qǐng)求。
對(duì)于IP代理定嗓,風(fēng)控通常使用IP黑灰名單,過(guò)濾掉已知/嫌疑的代理IP萍桌,進(jìn)一步的宵溅,描繪用戶畫(huà)像,根據(jù)用戶最常使用的IP判斷異常請(qǐng)求上炎,并采取更高強(qiáng)度的身份驗(yàn)證以防欺詐(例如臨時(shí)鎖定賬號(hào)恃逻,使用郵箱或短信解鎖)。
等發(fā)現(xiàn)軟件模擬的方式行不通之后藕施,黑產(chǎn)又打起了實(shí)體手機(jī)和手機(jī)卡的主意寇损,他們使用貓池長(zhǎng)期供養(yǎng)大量的手機(jī)卡(平均成本很低),并且按期產(chǎn)生通訊活動(dòng)裳食,使號(hào)碼看起來(lái)處于正常的活躍狀態(tài)矛市,在網(wǎng)時(shí)間較長(zhǎng),就自然繞開(kāi)了風(fēng)控規(guī)則對(duì)新號(hào)的限制诲祸。
針對(duì)黑產(chǎn)養(yǎng)號(hào)浊吏,風(fēng)控系統(tǒng)則采用手機(jī)卡號(hào)黑灰名單而昨,配合手機(jī)畫(huà)像,來(lái)識(shí)別手機(jī)卡號(hào)是否屬于卡商低價(jià)大批量出售的手機(jī)卡/物聯(lián)網(wǎng)卡找田,是否曾經(jīng)有過(guò)疑似薅羊毛的行為歌憨,抑或是某些號(hào)碼附著的基站位置長(zhǎng)期沒(méi)有變化,均將其歸結(jié)為高風(fēng)險(xiǎn)對(duì)象墩衙,并建議業(yè)務(wù)平臺(tái)拒絕此類號(hào)碼务嫡。
另外,伴隨著現(xiàn)代移動(dòng)互聯(lián)網(wǎng)市場(chǎng)飛速發(fā)展漆改,許多業(yè)務(wù)都必須通過(guò)手機(jī)APP執(zhí)行心铃,而且APP加固之后可以有效識(shí)別手機(jī)操作系統(tǒng)模擬器,因此籽懦,有資本的黑產(chǎn)團(tuán)伙會(huì)購(gòu)入大量手機(jī)于个,使用群控系統(tǒng)進(jìn)行批量操作,游走各種平臺(tái)進(jìn)行大規(guī)模套利/欺詐活動(dòng)暮顺。
先進(jìn)的風(fēng)控系統(tǒng)則會(huì)采用設(shè)備指紋技術(shù)(嵌入到業(yè)務(wù)軟件中的代碼模塊)厅篓,來(lái)偵測(cè)手機(jī)的調(diào)試狀態(tài)(手機(jī)進(jìn)入調(diào)試狀態(tài)才可以被連線的電腦操作),分析手機(jī)傳感器狀態(tài)(例如GPS定位捶码、陀螺儀傾角)羽氮,判斷設(shè)備異常(位置和姿態(tài)長(zhǎng)期不變),跨平臺(tái)跨業(yè)務(wù)識(shí)別出設(shè)備真實(shí)身份惫恼,阻止其發(fā)起的業(yè)務(wù)請(qǐng)求档押。
不過(guò),黑產(chǎn)作為一條產(chǎn)業(yè)鏈祈纯,有明確的分工令宿,形成上中下游,在地理和人員上分布廣泛腕窥、關(guān)系網(wǎng)復(fù)雜粒没,可以躲避風(fēng)控/法律有針對(duì)性的打擊,很難一鍋端簇爆。
也正是黑產(chǎn)的這種復(fù)雜關(guān)系網(wǎng)癞松,催生了風(fēng)控的知識(shí)圖譜技術(shù),該技術(shù)把多個(gè)維度的數(shù)據(jù)通過(guò)關(guān)系連接在一起入蛆,形成網(wǎng)絡(luò)响蓉,計(jì)算分析得到某個(gè)實(shí)體(例如手機(jī)號(hào))與其他實(shí)體(賬戶、銀行卡哨毁、收貨地址枫甲、常用登陸IP)之間的正常關(guān)聯(lián)關(guān)系,找到可疑關(guān)系變動(dòng)及其與黑產(chǎn)相關(guān)的上下游關(guān)系,由此鑒別異常/高危業(yè)務(wù)言秸,降低風(fēng)險(xiǎn)软能;當(dāng)黑產(chǎn)人員嘗試將利益轉(zhuǎn)移時(shí),知識(shí)圖譜也可以識(shí)別異常的交易關(guān)系举畸,并加以阻止查排。
最后,需要說(shuō)明的是抄沮,斗爭(zhēng)永不停息跋核,不存在完美的黑產(chǎn)手段或風(fēng)控體系,雙方從最初的規(guī)則對(duì)抗叛买,演變到技術(shù)對(duì)抗砂代,進(jìn)而數(shù)據(jù)對(duì)抗,不斷進(jìn)化率挣,最后的結(jié)果就是比拼成本刻伊。黑產(chǎn)套利的成本過(guò)高就會(huì)放棄嘗試,風(fēng)控成本過(guò)高則會(huì)影響公司的整體利潤(rùn)率椒功,宏觀上形成一種微妙的平衡捶箱。
作為一個(gè)普通用戶,大家需要做的是多多保護(hù)好個(gè)人賬號(hào)和信息动漾,不貪圖小利丁屎,從而避免被黑產(chǎn)利用。
來(lái)源 | 蘇寧財(cái)富資訊 ?周成
免責(zé)聲明:轉(zhuǎn)載內(nèi)容僅供讀者參考旱眯。如您認(rèn)為本公眾號(hào)的內(nèi)容對(duì)您的知識(shí)產(chǎn)權(quán)造成了侵權(quán)晨川,請(qǐng)立即告知,我們將在第一時(shí)間核實(shí)并處理删豺。
