备注
表示自己的话
表示书中片段
开始
我们可以只依赖第三方风控吗?昂贵的金额只是一方面
业务安全真正力量是内生的,专业的安全风控公司可以提供工具、平台和策略建议,但是只有业务方真正理解风险了防控思路,才能在与黑产的对抗中设计好业务规则、运营好安全策略,取得较好的效果
在业务安全领域中和黑产的对抗,很大程度上是技术和资源的对抗。
了解业务安全的前世今生
从互联网诞生至2014年,互联网安全行业关注的热点基本都聚焦在网络安全、系统安全和应用安全这三大基础安全领域上。
2014年前后,随着互联网业务的爆炸式发展,黑产团伙开始从“攻击系统获利”的传统套路进化到“利用有任务风控缺失进行大规模牟利”的模式,并且逐渐形成规模庞大、分工明确的黑色产业链。一批新兴的乙方风控企业,则选择惠及更多的企业,将技术算法赋能给其他风控能力薄弱的互联网公司,共享黑产对抗成果。
在2014之后的几年时间里,互联网风控反欺诈阵营和黑产集团展开了波澜壮阔的鏖战,双方各有胜负。
公安部在2019年的“净网行动”对黑产生态进行了系统性的打击,黑色产业链在经历了5年多的野蛮发展之后,终于得到了有效的遏制。
联合风控会是业务安全的趋势吗?
据统计,国内黑产成员超过50万人,黑产团伙之间已经形成了相互分工、紧密合作的产业生态。由于企业之间信息和数据的割裂,欺诈分子往往能顺利游走于不同平台之间。
注册登录风控
从不同业务场景来看,注册登录场景中的风险占比是最高的,可以高达40%,因为对于绝大部分的业务流程来说,注册登录是所有后续业务的门槛。如果能在注册登录场景中做好风控,把绝大部分的黑产拒之门外,在后续的其他环节中,风险就会降低很多。
验证码
一般的短信验证码,通过猫池和管理软件配合就能自动读取出来,实现注册登录的自动化操作。为了对抗猫池,很多平台逐渐演变出了新型的验证码形式,例如语音验证码,或要求用户向指定号码发送一条验证码短信。
虚假号码:丧心病狂的“老人机团伙”
在虚假号码产业链中,有一些高技术的团伙在用一种特殊的方式提供手机接码的能力,当我们厘清他们的运作体系时,也对这些团伙的创造力和执行力感到惊叹,只是遗憾他们没有用到正途上。
“老人机团伙”拥有自己开发的手机rom系统,预植入了后门逻辑,然后与很多公司合作生产各种品牌的“老人机”。当手机插卡之后,rom中的后门就会通过短信的方式上报手机号,黑产用这些手机号注册各类网络平台账号,当验证码发到老人手机上时会被后门再次转发到黑产手中,使用者自己根本看不到这些短信,所以也无法觉察自己的手机被黑产使用了,只能从运营商的短信详单里发现端倪。
这种规模的黑产手机号一度超过1000万的量级,互联网厂商也无法验证这些手机号为黑号,因为即使打电话过去,不仅不是空号,并且有人接听。
情报
精易论坛是软件破解者和黑产工具的集中营,它具有各种封装好的破解库和现成工具线上担保交易。
群控
2017年,一批持有大量设备的群控中心推出了“云手机”服务。至此,群控进入SaaS时代,黑产不需要自建群控系统,就可以租到大量真实设备。
风险防控体系
终端风控层主要由设备指纹、生物探针和智能验证码构成、其中最重要的一环是设备指纹。唯一性与稳定性需要权衡。
生物探针和智能验证码虽然功能大体一致,但是使用场景有所区别,前者适用于全业务场景监测是否机器,后者适用于特定场景对抗机器批量行为。生物探针能够在应用后台自动识别人机,不影响用户交互,而只能验证码是一款有悖于用户交互体验的产品。
风险态势感知系统侧重于宏观的系统分析。其核心功能是感知、展示和预测整个业务体系的风险事件变化趋势。当风险决策结果发生非预期的波动时,运营人员就必须人工分析策略漏杀、误杀的情况。
数据画像层包括黑产攻击事件、黑手机号名单、IP画像、设备画像、黑产使用的手机号、IP、手机设备等资源是相对有限的,会重复用于针对各个不同互联网平台的攻击活动。在为多个客户提供SaaS防控的过程中,沉淀黑产风险数据形成画像体系是一个非常有效的“联防联控”技术手段。
欺诈情报体系作为贯彻整个流程的重要子系统,为整体的防控效果提供了“攻击者视角”的能力补充和评估。通过对黑产社区的监控、黑产动态的追踪和自动化分析研判,欺诈情报体系能够快速感知到防护体系中的弱点,驱动风控运营人员进行针对性的优化。黑产的攻击方式是不断变化的,防控策略也需要不断升级。
设备指纹
风控行业对设备的定义是指用户和业务系统交互的载体,可以是一个浏览器、一步手机,也可以是一个微信小程序。
在互联网反欺诈对抗中,设备ID类规则是防刷单、防薅羊毛、虚假设备识别、反爬虫、账号安全等场景的核心规则。
根据国家法律要求,设备指纹在生成设备ID的过程中,不能使用用户的个人隐私信息,如通讯录、短信、手机号和通话记录都是不可触碰的数据。尽管这些数据有非常强的唯一性,可以有效地提高设备指纹的准确性。
生物探针
人和人,人和机器的行为都是不一样的,所以生物探针可以用来判断当前是机器还是人类,以及是不是本人
生物探针通过采集用户使用智能终端时的传感器数据(加速度计、陀螺仪、重力加速度计、磁场传感器)和屏幕轨迹数据,为每一位用户建立多维度的生物行为特征模型,生成用户专属画像进行人机识别、本人识别。
生物探针相较其他用户认证方式,主要优势如下:
- 用户无感知
- 可持续在线验证
- 用户行为习惯不易窃取和仿冒
- 安全合规
生物探针的缺点是采集上报的数据包比较大,容易受网络波动影响,未来可以通过终端智能计算、5G边缘计算解决网络传输带来的问题。
智能验证码
CAPTCHA(Completely Automated Public Turing Test to Tell Computers And Human Apart)全自动区分计算机和人类的图灵测试。
打码平台聚集了大量想在网上赚钱的劳工。攻击者拿到验证码图片后,上传给打码平台、打码平台会把图片下发给这些劳工,由他们来解答,然后把正确答案返回。
由于打码平台的存在,验证码的图片到底是什么类型,已经变得不再重要了。因为我们对抗的不是机器,而是真实的人类。这样的话,图灵测试就完全失去了它的意义。
google的reCaptcha是一种方案,用户界面非常友好,它可以被认为是当前比较先进的验证码,它拥有强大的人机识别算法。
在攻击者获取验证图片的这个步骤前,我们也增加了门槛。每张图片从后端传输到前段的过程中都是经过切割打乱处理的,所以攻击者无法通过抓包的方式直接拿到最终展示给用户的图片。