每當雙十一、黑五,、雙十二等等購物節(jié)來臨,,各大平臺紛紛上線的營銷活動,紅包,、優(yōu)惠券,、秒殺……這些優(yōu)惠你搶到了嗎?
為了拉新促活,,一家知名保險公司近期投入上百萬的營銷費用,,在自家APP、微信小程序上線了一個“抽獎得紅包”的用戶活動,。然而,,這些紅包真正被用戶搶到了嗎?恐怕很難,。經(jīng)過瑞數(shù)信息的后臺診斷分析,,大部分紅包并沒有按計劃被發(fā)放至終端用戶手上,而是被大量“羊毛黨”薅走了,。
通過日志分析,,瑞數(shù)信息發(fā)現(xiàn)了大量的高級自動化行為和批量接口調(diào)用等可疑情況:僅8天時間, 簡單腳本攻擊就超過140萬次,,高級自動化工具使用了2萬+次,,重訪攻擊逼近1.5萬次,,令牌篡改請求也突破了6000次。
換句話說,,黑產(chǎn)團伙早就盯上了這個活動,,通過系統(tǒng)化的技術手段和數(shù)以萬計的賬號,利用自動化的腳本程序,,來批量參與保險線上平臺的營銷活動,,以此獲取高額利潤。除此之外,,由于黑產(chǎn)的大量“進攻”,,營銷活動頁面經(jīng)常卡頓,,后端服務器難以支撐,,嚴重影響了真實用戶參與活動的體驗。
那么問題來了:
為什么部署了大量安全設備的保險公司沒有發(fā)現(xiàn)黑產(chǎn)團伙的行為,?
瑞數(shù)信息又是如何發(fā)現(xiàn)并打擊黑產(chǎn)的呢,?
為什么用戶無法發(fā)現(xiàn)黑產(chǎn)“薅羊毛”?
事實上,,保險公司的遭遇并不是個例,。由于黑產(chǎn)分工明確、合作流程成熟,,并且逐漸向隱蔽,、專業(yè)、精準方向發(fā)展,,已經(jīng)越來越難以被消滅,。據(jù)《數(shù)字金融反欺詐白皮書》顯示,目前羊毛黨已形成15余工種,、160余萬從業(yè)人員,、產(chǎn)業(yè)規(guī)模不低于1000億元人民幣的產(chǎn)業(yè)鏈。
● 從黑產(chǎn)自身來看,,“薅羊毛”的技術正在不斷精進,。相比于過去人肉作假,,現(xiàn)在黑產(chǎn)更多采用Bots自動化工具,,批量參與營銷活動,進一步提升了“薅羊毛”效率,。同時,,黑產(chǎn)攻擊手法更加擬人化,大面積地使用虛擬機,、改碼設備,、批量養(yǎng)號等各種高科技造假手段,,足以模擬正常用戶的行為、設備,、身份等系列特征,,作案手法更加隱蔽。
● 從外部環(huán)境看,,隨著數(shù)字化業(yè)務快速增長,,APP、微信,、小程序,、H5等多種業(yè)務接入渠道產(chǎn)生,API接口大量被調(diào)用,,帶來了巨大的敞口風險,。
一方面,小程序這類新興線上渠道被攻擊者逆向難度很低,,只要調(diào)取代碼就可以直接獲取微信用戶身份認證信息,,完成登錄、下單,、查詢等用戶行為,。另一方面,API接口承載著大量客戶信息,、業(yè)務和交易數(shù)據(jù),、認證信息等關鍵數(shù)據(jù),經(jīng)常面臨接口越權,、未授權訪問等安全威脅,。黑產(chǎn)不僅可以利用應用漏洞進行攻擊,還通過各類擬人化Bots模擬業(yè)務操作,,實現(xiàn)業(yè)務攻擊,,對數(shù)字化業(yè)務的影響也在快速攀升。
內(nèi)外交困之下,,傳統(tǒng)的業(yè)務安全/風控產(chǎn)品也疲態(tài)盡顯,。
傳統(tǒng)業(yè)務安全/風控產(chǎn)品的關注點在于賬號、IP,、設備信譽以及固定規(guī)則,,需要頻繁地更新數(shù)據(jù)庫和規(guī)則來應對黑產(chǎn)攻擊。但如今的黑產(chǎn)已經(jīng)可以通過豐富IP,、使用肉雞,、設備root、手機群控等手段,讓傳統(tǒng)的業(yè)務安全/風控系統(tǒng)疲于應對,,甚至無法察覺黑產(chǎn)的存在,。
瑞數(shù)信息解決的保險公司“薅羊毛”這一案例中,保險公司之所以攔不住黑產(chǎn),,很大原因也在于該公司部署的WAF產(chǎn)品,,只能基于固定規(guī)則和簽名對異常行為進行判定,因此感知不到模擬真人的黑產(chǎn)攻擊行為,。
三步發(fā)現(xiàn)黑產(chǎn)“薅羊毛”
針對傳統(tǒng)安全/風控產(chǎn)品的弊端,,瑞數(shù)信息利用獨創(chuàng)的“動態(tài)安全+AI”技術,三步精準定位黑產(chǎn)“薅羊毛”行為,,有效打擊各類網(wǎng)絡欺詐,,包括偽裝成正常交易的業(yè)務作弊、利用合法賬號竊取敏感數(shù)據(jù),、假冒終端應用等,。
01 批量調(diào)取接口行為分析(重放、腳本自動化)
以上述保險公司案例為例,,通過單獨分析抽獎路徑,,瑞數(shù)信息發(fā)現(xiàn):20%的請求操作行為字段為空值,可以判斷這一部分是使用的簡單腳本進行攻擊,;30%的輸入操作記錄為0,,說明可能是通過高級自動化攻擊發(fā)起的請求,或者是使用重放工具發(fā)起的請求,。
正常的抽獎邏輯需要先訪問抽獎頁面,,然后通過該頁面發(fā)起抽獎的接口請求。但瑞數(shù)信息從接口調(diào)用的referer發(fā)現(xiàn):其中20%的請求沒有前置頁面請求,,referer值為空,,說明這些請求是直接自動化調(diào)用的抽獎接口,沒有按照正常的抽獎邏輯進行抽獎,。
02 高級Bots工具
通過日志分析,,瑞數(shù)信息發(fā)現(xiàn)了不少高級自動化工具。這類工具的訪問日志中操作行為字段為空,,沒有人為的輸入,、滑動等行為,所有請求都是腳本驅動瀏覽器完成,。
03 黑產(chǎn)批量調(diào)取接口行為分析(代理池)
通過瑞數(shù)信息的cookie id(每個用戶不會重復,,具備唯一性),以及提取到的頁面輸入行為進行聚類分析,,發(fā)現(xiàn)黑產(chǎn)團伙進行接口批量調(diào)用,,直接參與抽獎行為,。
以上種種分析,,都指向了黑產(chǎn)團伙的行為路徑:使用簡單腳本,,定時抓取活動頁面,獲取活動信息,;使用高級自動化工具和重放攻擊,,模擬真人訪問,自動化參與抽獎,。
四招分層解決“薅羊毛”
在清晰洞察了黑產(chǎn)行為之后,,瑞數(shù)信息采用四招分層解決黑產(chǎn)“薅羊毛”問題。
招式一 針對簡單腳本攻擊和高級Bots工具
瑞數(shù)信息的“動態(tài)令牌”“動態(tài)驗證”技術,,能夠確保運行環(huán)境,,進行人機識別,對抗瀏覽器模擬化以及自動化攻擊,;同時,,防止重放攻擊和越權,確保業(yè)務邏輯正常進行,。
招式二 針對黑產(chǎn)團伙
通過業(yè)務威脅感知,、群控模型、聚類分析指紋和IP對應關系,、分析頁面輸入行為,、定制可編程對抗策略等方式,瑞數(shù)信息能夠實時識別和攔截模擬合法操作的異常行為,,并梳理出黑產(chǎn)名單,。
同時通過瑞數(shù)信息的“動態(tài)安全+AI”技術,大幅削減了自動化工具的攻擊效率,,攔截了大量的“薅羊毛”行為,,也為客戶服務器減輕了很大的壓力。
不僅如此,,考慮到黑產(chǎn)一般在活動發(fā)起前就開始進行諸多準備,,如掃描系統(tǒng)漏洞、爬取用戶信息,、分析活動頁面信息等,,瑞數(shù)信息在活動發(fā)起前就對業(yè)務做好防護,讓業(yè)務“風險前置”,。
招式三 漏洞防掃描
通過動態(tài)安全技術,,使得漏洞掃描或漏洞利用工具無法發(fā)起有效自動化掃描探測,無法發(fā)現(xiàn)可利用的漏洞及網(wǎng)頁目錄結構,。同時,,在網(wǎng)站/APP等應用未打補丁或補丁空窗期,,提供有效安全防護。
招式四 用戶信息防泄露
針對用戶信息惡意爬取,,瑞數(shù)信息利用“動態(tài)混淆”技術,,將黑產(chǎn)每一次獲取的信息都動態(tài)加密,讓黑產(chǎn)無法獲取真實信息,;利用“動態(tài)封裝”技術,,將業(yè)務關鍵邏輯動態(tài)變化,防止攻擊者分析網(wǎng)站代碼,。
總體而言,,瑞數(shù)信息之所以能很好地解決黑產(chǎn)“薅羊毛”問題,一方面在于“動態(tài)安全+AI技術”具有自動化攻擊防御,、人機識別等獨特優(yōu)勢,;另一方面也在于能同時覆蓋Web、H5,、APP,、小程序、API等多種業(yè)務渠道,,數(shù)據(jù)采集點更加豐富,,通過全量數(shù)據(jù)融合AI算法,使得防御能力更加精準,,實現(xiàn)業(yè)務風控前置,。
在黑產(chǎn)作案方式逐漸專業(yè)化、隱蔽化,、團伙化的今天,,線上營銷需要新的安全技術方案才能更好地“應戰(zhàn)”。瑞數(shù)信息作為Gartner,、IDC等國際知名咨詢機構推薦的在線反欺詐領域代表廠商,,將持續(xù)發(fā)揮自身技術優(yōu)勢,為業(yè)務安全保駕護航,。
更多信息可以來這里獲取==>>電子技術應用-AET<<
