備注
表示自己的話
表示書中片段
開始
我們可以隻依賴第三方風控嗎?昂貴的金額隻是一方面
業務安全真正力量是内生的,專業的安全風控公司可以提供工具、平台和政策建議,但是隻有業務方真正了解風險了防控思路,才能在與黑産的對抗中設計好業務規則、營運好安全政策,取得較好的效果
在業務安全領域中和黑産的對抗,很大程度上是技術和資源的對抗。
了解業務安全的前世今生
從網際網路誕生至2014年,網際網路安全行業關注的熱點基本都聚焦在網絡安全、系統安全和應用安全這三大基礎安全領域上。
2014年前後,随着網際網路業務的爆炸式發展,黑産團夥開始從“攻擊系統獲利”的傳統套路進化到“利用有任務風控缺失進行大規模牟利”的模式,并且逐漸形成規模龐大、分工明确的黑色産業鍊。一批新興的乙方風控企業,則選擇惠及更多的企業,将技術算法賦能給其他風控能力薄弱的網際網路公司,共享黑産對抗成果。
在2014之後的幾年時間裡,網際網路風控反欺詐陣營和黑産集團展開了波瀾壯闊的鏖戰,雙方各有勝負。
公安部在2019年的“淨網行動”對黑産生态進行了系統性的打擊,黑色産業鍊在經曆了5年多的野蠻發展之後,終于得到了有效的遏制。
聯合風控會是業務安全的趨勢嗎?
據統計,國内黑産成員超過50萬人,黑産團夥之間已經形成了互相分工、緊密合作的産業生态。由于企業之間資訊和資料的割裂,欺詐分子往往能順利遊走于不同平台之間。
注冊登入風控
從不同業務場景來看,注冊登入場景中的風險占比是最高的,可以高達40%,因為對于絕大部分的業務流程來說,注冊登入是所有後續業務的門檻。如果能在注冊登入場景中做好風控,把絕大部分的黑産拒之門外,在後續的其他環節中,風險就會降低很多。
驗證碼
一般的短信驗證碼,通過貓池和管理軟體配合就能自動讀取出來,實作注冊登入的自動化操作。為了對抗貓池,很多平台逐漸演變出了新型的驗證碼形式,例如語音驗證碼,或要求使用者向指定号碼發送一條驗證碼短信。
虛假号碼:喪心病狂的“老人機團夥”
在虛假号碼産業鍊中,有一些高技術的團夥在用一種特殊的方式提供手機接碼的能力,當我們厘清他們的運作體系時,也對這些團夥的創造力和執行力感到驚歎,隻是遺憾他們沒有用到正途上。
“老人機團夥”擁有自己開發的手機rom系統,預植入了後門邏輯,然後與很多公司合作生産各種品牌的“老人機”。當手機插卡之後,rom中的後門就會通過短信的方式上報手機号,黑産用這些手機号注冊各類網絡平台賬号,當驗證碼發到老人手機上時會被後門再次轉發到黑産手中,使用者自己根本看不到這些短信,是以也無法覺察自己的手機被黑産使用了,隻能從營運商的短信詳單裡發現端倪。
這種規模的黑産手機号一度超過1000萬的量級,網際網路廠商也無法驗證這些手機号為黑号,因為即使打電話過去,不僅不是空号,并且有人接聽。
情報
精易論壇是軟體破解者和黑産工具的集中營,它具有各種封裝好的破解庫和現成工具線上擔保交易。
群控
2017年,一批持有大量裝置的群控中心推出了“雲手機”服務。至此,群控進入SaaS時代,黑産不需要自建群控系統,就可以租到大量真實裝置。
風險防控體系
終端風控層主要由裝置指紋、生物探針和智能驗證碼構成、其中最重要的一環是裝置指紋。唯一性與穩定性需要權衡。
生物探針和智能驗證碼雖然功能大體一緻,但是使用場景有所差別,前者适用于全業務場景監測是否機器,後者适用于特定場景對抗機器批量行為。生物探針能夠在應用背景自動識别人機,不影響使用者互動,而隻能驗證碼是一款有悖于使用者互動體驗的産品。
風險态勢感覺系統側重于宏觀的系統分析。其核心功能是感覺、展示和預測整個業務體系的風險事件變化趨勢。當風險決策結果發生非預期的波動時,營運人員就必須人工分析政策漏殺、誤殺的情況。
資料畫像層包括黑産攻擊事件、黑手機号名單、IP畫像、裝置畫像、黑産使用的手機号、IP、手機裝置等資源是相對有限的,會重複用于針對各個不同網際網路平台的攻擊活動。在為多個客戶提供SaaS防控的過程中,沉澱黑産風險資料形成畫像體系是一個非常有效的“聯防聯控”技術手段。
欺詐情報體系作為貫徹整個流程的重要子系統,為整體的防控效果提供了“攻擊者視角”的能力補充和評估。通過對黑産社群的監控、黑産動态的追蹤和自動化分析研判,欺詐情報體系能夠快速感覺到防護體系中的弱點,驅動風控營運人員進行針對性的優化。黑産的攻擊方式是不斷變化的,防控政策也需要不斷更新。
裝置指紋
風控行業對裝置的定義是指使用者和業務系統互動的載體,可以是一個浏覽器、一步手機,也可以是一個微信小程式。
在網際網路反欺詐對抗中,裝置ID類規則是防刷單、防薅羊毛、虛假裝置識别、反爬蟲、賬号安全等場景的核心規則。
根據國家法律要求,裝置指紋在生成裝置ID的過程中,不能使用使用者的個人隐私資訊,如通訊錄、短信、手機号和通話記錄都是不可觸碰的資料。盡管這些資料有非常強的唯一性,可以有效地提高裝置指紋的準确性。
生物探針
人和人,人和機器的行為都是不一樣的,是以生物探針可以用來判斷目前是機器還是人類,以及是不是本人
生物探針通過采集使用者使用智能終端時的傳感器資料(加速度計、陀螺儀、重力加速度計、磁場傳感器)和螢幕軌迹資料,為每一位使用者建立多元度的生物行為特征模型,生成使用者專屬畫像進行人機識别、本人識别。
生物探針相較其他使用者認證方式,主要優勢如下:
- 使用者無感覺
- 可持續線上驗證
- 使用者行為習慣不易竊取和仿冒
- 安全合規
生物探針的缺點是采集上報的資料包比較大,容易受網絡波動影響,未來可以通過終端智能計算、5G邊緣計算解決網絡傳輸帶來的問題。
智能驗證碼
CAPTCHA(Completely Automated Public Turing Test to Tell Computers And Human Apart)全自動區分計算機和人類的圖靈測試。
打碼平台聚集了大量想在網上賺錢的勞工。攻擊者拿到驗證碼圖檔後,上傳給打碼平台、打碼平台會把圖檔下發給這些勞工,由他們來解答,然後把正确答案傳回。
由于打碼平台的存在,驗證碼的圖檔到底是什麼類型,已經變得不再重要了。因為我們對抗的不是機器,而是真實的人類。這樣的話,圖靈測試就完全失去了它的意義。
google的reCaptcha是一種方案,使用者界面非常友好,它可以被認為是目前比較先進的驗證碼,它擁有強大的人機識别算法。
在攻擊者擷取驗證圖檔的這個步驟前,我們也增加了門檻。每張圖檔從後端傳輸到前段的過程中都是經過切割打亂處理的,是以攻擊者無法通過抓包的方式直接拿到最終展示給使用者的圖檔。