“本銀行信用卡,手續(xù)簡單額度高,活動(dòng)豐富可免年費(fèi),更有積分換大禮。明早九點(diǎn),網(wǎng)絡(luò)在線申請(qǐng),無需預(yù)約,極速辦理,最快3秒審核!“
肖禾的手機(jī)響了,他低頭一看,是銀行微信公眾號(hào)的一條新推送。
當(dāng)下信用卡市場(chǎng)競(jìng)爭日趨白熱化,很多銀行都在發(fā)行新的卡產(chǎn)品,為了搶奪客群,高額度、免年費(fèi)、快審核、多優(yōu)惠的新卡活動(dòng)一波接著一波。黑產(chǎn)從業(yè)者們也自然盯上了這塊肥肉。
不過20出頭的肖禾,已經(jīng)是信息搜集屆小有名氣的人物。信用卡欺詐產(chǎn)業(yè)鏈的重要環(huán)節(jié),他都參與其中。這不,銀行推廣信息還沒來得及分享,他就被一位微信群主@了。內(nèi)容很簡單:三百人,具體身份信息,要真的。肖禾略微思索了一下,回了四個(gè)字:一人六十。對(duì)方秒回:成交。
將手機(jī)揣回兜里,肖禾篤信,明早9點(diǎn),他的上游黑客就能利用自動(dòng)化程序軟件,將他提供的三百條個(gè)人信息批量提交到申請(qǐng)頁面,在短短幾分鐘內(nèi)完成信用卡的在線申請(qǐng)。
至于如何獲取身份信息,肖禾這種“高端玩家”已經(jīng)不滿足于在網(wǎng)上購買,除了和黑客合作,通過撞庫、洗庫的方式提煉篩選信息,他還選擇了一種更隱蔽、回報(bào)率更高的方式:以公司招工、問卷調(diào)查等名義,低價(jià)換取或騙取大量真人的詳細(xì)信息和身份證復(fù)印件,再為他們憑空造出各種收入證明、房產(chǎn)證明、學(xué)歷證明。因?yàn)檫@些身份信息確實(shí)真實(shí),所以不必過于擔(dān)心銀行的審核,通過率更高。況且如今部分銀行“極速辦理”的理念使得審核時(shí)間非常有限,即使需要短信或語音驗(yàn)證碼,自動(dòng)打碼平臺(tái)也能夠輕松對(duì)付。
等成功領(lǐng)到信用卡,利用銀行開卡即贈(zèng)刷卡金、實(shí)體大禮包等活動(dòng),肖禾和伙伴們只需要一臺(tái)電腦,就能將銀行精心策劃的信用卡推廣活動(dòng)一搶而空;更別說有了這一批新信用卡之后,以卡養(yǎng)卡,惡意透支、薅羊毛、套現(xiàn),甚至洗錢能帶來的巨額收益了。悄無聲息之中,這條黑色產(chǎn)業(yè)鏈上的每個(gè)人都能賺得盆滿缽滿。
反觀銀行的被動(dòng)境地
然而,對(duì)于銀行的信用卡中心來說,肖禾眼中的誘人生意卻教人欲除之而后快。
由于信用卡的主要業(yè)務(wù)集中在手機(jī)App和微信公眾號(hào)上,為了提升用戶的業(yè)務(wù)體驗(yàn),很多銀行都將相關(guān)促銷活動(dòng)放在H5頁面上。但很快安全管理人員就察覺到,幾乎每次H5頁面推廣,都會(huì)遭遇大量通過自動(dòng)化攻擊發(fā)起的虛假信用卡申請(qǐng)、搶促銷與秒殺、短信轟炸等業(yè)務(wù)威脅。
從商業(yè)角度來說,這些攻擊行為擾亂了申請(qǐng)數(shù)據(jù)、轉(zhuǎn)化率、毛利率等商業(yè)分析指標(biāo),歪曲了業(yè)務(wù)增長的真實(shí)水平,可能會(huì)誤導(dǎo)后續(xù)的商業(yè)決策。從用戶體驗(yàn)來說,真實(shí)用戶很難在與自動(dòng)化工具的較量中勝出,總是搶不到促銷優(yōu)惠的結(jié)果,就是用戶不再有繼續(xù)參與、使用的熱情,導(dǎo)致部分客戶的流失。而從信用卡部門本身來說,除了會(huì)大大增加銀行人工審核成本,影響正常用戶申請(qǐng)的處理效率,最刻骨的影響大概就是動(dòng)輒百萬千萬的投入打了水漂。
雪上加霜的是,當(dāng)批量信用卡申請(qǐng)、薅羊毛、撞庫、賬戶盜用、積分盜用這些新興交易欺詐行為不斷挑戰(zhàn)銀行業(yè)務(wù)系統(tǒng)和IT系統(tǒng)時(shí),依賴特征庫、規(guī)則及閥值機(jī)制進(jìn)行防護(hù)的傳統(tǒng)安全防御機(jī)制已經(jīng)有心無力,無法提供有效防御,令信用卡部門承擔(dān)著巨大的業(yè)務(wù)風(fēng)險(xiǎn)及商譽(yù)損害。
也正因如此,肖禾和他的同伙們才能在與銀行的對(duì)決中一次次占據(jù)上風(fēng)。
這一次,銀行終于打了翻身仗
第二天一早,肖禾提交完用戶信息,信心滿滿地等待著又一波分紅。然而隨著時(shí)間一分一秒地過去,肖禾卻逐漸焦躁起來。因?yàn)橥傔^9點(diǎn),他就能收到群主的大額紅包——這是他們?yōu)橛忠淮螌y行玩弄于股掌之上的慣例慶祝。但現(xiàn)在時(shí)針已經(jīng)指過11點(diǎn),微信卻仍然毫無動(dòng)靜。肖禾終于沉不住氣發(fā)了一個(gè)問號(hào),過了半天,對(duì)方才回了一條:自動(dòng)化程序沒用,沒法提交申請(qǐng)。
其實(shí),這一天,同時(shí)失手的還有成千上萬個(gè)類似肖禾的組織,以往屢屢得逞的攻擊者們,這次卻在銀行面前吃了閉門羹。
肖禾和其他攻擊者們可能想不到,面對(duì)黑產(chǎn)的海量應(yīng)用攻擊,銀行信用卡中心終于選擇絕地反擊,及時(shí)調(diào)整安全防護(hù)策略,打了一個(gè)漂亮的翻身仗。究其原因,正是該信用卡中心決定與瑞數(shù)信息展開合作,采用瑞數(shù)動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)(RAS),對(duì)H5頁面建立全新的安全防御體系。
以新信用卡開放申請(qǐng)的這一天為例,在早上九點(diǎn)至九點(diǎn)半的短短半小時(shí)內(nèi),經(jīng)過瑞數(shù)動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)(RAS)的識(shí)別,78.6%的開戶申請(qǐng)都被認(rèn)定為自動(dòng)化工具提交的虛假申請(qǐng),并被實(shí)時(shí)過濾和攔截。在隨后9小時(shí)的定時(shí)監(jiān)測(cè)中,由于自動(dòng)化工具失效,惡意流量在全站訪問總量中的占比也從78.6%急劇下降至不足1%,使得整體業(yè)務(wù)系統(tǒng)持續(xù)平穩(wěn)運(yùn)行。
瑞數(shù)讓銀行說“NO”
瑞數(shù)動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)(RAS)旨在混淆和干擾攻擊工具對(duì)于目標(biāo)系統(tǒng)的認(rèn)知,在銀行反欺詐及風(fēng)控系統(tǒng)識(shí)別和審核之前的業(yè)務(wù)邏輯流程之初,及業(yè)務(wù)操作的執(zhí)行中就進(jìn)行實(shí)時(shí)的人機(jī)識(shí)別,將風(fēng)控前置,關(guān)口前移。其之所以能幫助銀行信用卡部門成功逆轉(zhuǎn)攻防態(tài)勢(shì),主要得益于以下幾點(diǎn):
1. 動(dòng)態(tài)算法生成:每次會(huì)話訪問中網(wǎng)頁代碼參數(shù)的封裝、令牌生成等算法及檢查邏輯都不同,而且其有效時(shí)間能夠隨整體訪問量動(dòng)態(tài)調(diào)整。黑客必須在極短時(shí)間內(nèi)完成逆向破解才能繼續(xù)攻擊,從而大幅提升了攻擊的難度。
2. 真實(shí)環(huán)境檢查:通過對(duì)客戶端環(huán)境與操作行為的動(dòng)態(tài)驗(yàn)證,嚴(yán)密監(jiān)察運(yùn)行環(huán)境,防止惡意終端的訪問,有效識(shí)別了訪問網(wǎng)頁的客戶端是“人”還是“自動(dòng)化工具”,從而過濾大量的自動(dòng)化攻擊噪音。
3. 攻擊行為模式分析:基于人機(jī)互動(dòng)的理論,通過鼠標(biāo)移動(dòng)軌跡、頁面停留時(shí)間等分析終端操作的行為模式,有效識(shí)別非人為的操作行為,有效防止低頻率、模擬真人的操作攻擊。
除了能夠有效阻止各種自動(dòng)化工具的攻擊,幫助銀行信用卡中心避免批量申請(qǐng)及后續(xù)養(yǎng)卡、薅羊毛、套現(xiàn)、洗錢的風(fēng)險(xiǎn),保障銀行的資金、用戶和整體業(yè)務(wù)外,從應(yīng)用安全效益角度看,瑞數(shù)動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)(RAS)還可以大大降低安全運(yùn)維成本。無需修改應(yīng)用代碼、無需進(jìn)行特征庫及策略庫的升級(jí)維護(hù)工作,不僅節(jié)省了帶寬、服務(wù)器等資源,而且令銀行每年在應(yīng)用安全方面的投入,包括安全評(píng)估、安全事件應(yīng)急和安全運(yùn)維,大幅降低。
“過去的武器,贏不了未來的戰(zhàn)爭“。隨著黑灰產(chǎn)業(yè)不斷的規(guī)?;?、市場(chǎng)化,攻擊手段也在向自動(dòng)化和工具化演進(jìn),銀行等金融機(jī)構(gòu)絕不能僅僅依靠單一被動(dòng)的傳統(tǒng)模式進(jìn)行安全防護(hù),而應(yīng)當(dāng)利用瑞數(shù)“動(dòng)態(tài)安全”的新技術(shù),建立一張360度全方位的動(dòng)態(tài)防護(hù)網(wǎng),以動(dòng)制動(dòng),確保銀行信用卡及其他業(yè)務(wù)的安全運(yùn)行!