起底黑產和大數據風控之間的攻守之戰

題圖來自:視覺中國

題圖來自:視覺中國

說起黑產,許多人可能比較陌生或者感覺神秘,但黑產就在我們每個人身邊,例如常見的「羊毛黨」。

黑產的全稱是網絡黑色產業鏈,是指通過網絡技術形成的分工明確、銜接密切的利益團體,通過入侵計算機信息系統、非法竊取包括個人信息在內的計算機信息系統數據等,謀取非法利益的產業體系。

據不完全統計,2017年我國黑產的從業人員在百萬級以上,每年造成的損失達千億元級規模。

針對黑產套利,企業不會坐以待斃,因此黑產的存在也催生了專門的風控團隊與之對抗。攻防之間,套路不斷演變、戰場不斷擴大、技術不斷升級,這個動態進化過程完美詮釋了什麼叫「魔高一尺,道高一丈」。

下面,將為您詳細解說黑產與風控的攻守對抗。

生物特徵比拼

在生物識別領域,所有的技術手段都是為了驗證操作者「就是你本人」,所以,黑產想要攻破防線,就必須想方設法模擬用戶的生物特徵,以便通過驗證。下面一一做個介紹:

(1)手機指紋識別

手機指紋識別已經普及多年,但真的絕對安全嗎?不見得!黑產人員只要願意,可以通過採集用戶遺留在各種物體表面上的指紋印記,重構出一片帶有紋理溝壑的指紋膜,套在任何一個人手上,就可以成功騙過一般的指紋識別。

因此,比較高級的手機,都採用了分辨率更高的指紋識別模塊,除了使用真人手指倒模而成的指紋膜之外,不會輕易被前述的指紋痕迹構造的指紋膜(少了很多指紋細節)所欺騙。

(2)人臉識別

在早期技術較為落後的年代,人臉識別系統還停留在五官特徵識別的階段,黑產人員使用一段帶有用戶人臉的視頻,或者3D打印的人臉面具(需要不同角度的人臉信息),就可以騙過認證系統。

 

因此,今天大家常見的人臉識別場景,都增加了活體識別功能,隨機要求用戶做出眨眼、點頭、搖頭等表情/動作,確保拍攝對象是真人。

雖然這限制了一部分黑產的攻擊嘗試,但更高端的黑產已經開始使用3D軟件建模渲染出用戶的人臉,並且可以模擬簡單的動作和表情,騙過活體識別。

針對這種安全要求更高的場景,風控人員為人臉識別集成了最新的眼紋識別技術,以檢測人眼當中獨特的血管分佈,一般黑產是不太可能獲取如此高清晰度的用戶照片,通過技術手段模擬的難度極高。

更高級的終端設備,具備景深攝像頭和紅外攝像頭,能夠濾掉3D打印的臉模欺騙(臉模的熱分佈和正常人臉不一樣)、識別任何類型的視頻欺騙(因為視頻播放設備是平面的屏幕,不具備人臉的景深)。

另外,在普通終端設備上,風控可以增加額外的聲紋識別步驟,要求用戶念出隨機的文字,以防止黑產繼續在圖像上做文章。

數據比拼

用戶隱私數據一直是黑產想啃的一塊肥肉,畢竟有了這些,許多系統和業務的大門就完全敞開了,手持大量隱私數據想要牟利真的是易如反掌。

黑產的技術人員(通常是上游的黑客)通過破解服務提供商的服務器,攫取大量敏感數據(如賬號、密碼等),這在業內稱之為「拖庫」。

業務平檯面對黑客攻擊,必須及時為操作系統打補丁(修復安全漏洞),升級各類依賴庫,加強業務代碼的安全性,降低被攻破的可能。

但世上沒有完美的系統,業務平台的數據庫一旦被黑客攻破,大量用戶數據泄露,對應的平台就不再安全(例如幾年前某大型電子郵件提供商的用戶名和明文密碼泄露),特別是電子郵件服務被攻破,許多其他服務的賬戶以郵箱作為密碼恢復方式的,也會變得岌岌可危。

因此,除了常規的系統加固,業務平台也要對用戶敏感數據進行加密存儲(如密碼),對信令/日誌中的敏感數據做脫敏處理(例如手機號156****4321),儘可能少地以明文方式記錄核心敏感信息。

值得注意的是,黑產團伙除了直接攻擊業務系統,也不會放過普通用戶,他們使用木馬/病毒直接截獲用戶在客戶端設備上的數據或輸入,或者通過釣魚網站欺騙用戶交出自己的敏感信息。

但最容易得手的,還是通過非IT技術手段的欺詐,即通過交流來誘導受害人通過安全認證從而侵入到敏感信息——類似這樣的坑蒙拐騙術,國內通常稱為電信詐騙,英文叫法卻很中性甚至有點文藝——social engineering(社會工程學)……由此衍生而來的就是社工庫(social engineering database),一個黑客們將獲取到的用戶數據進行整理歸檔(也稱洗庫),以便集中查詢的數據庫。

社工庫里除了典型的賬戶密碼,甚至還包括關聯的其他社交信息、銀行信息等等。需要說明的是,有些社工庫可以提供免費查詢,還有一些需要付費。另外,在神秘的暗網裡,也可以查詢或購買到相當多的敏感用戶信息。

因為風控無法保證所有平台的安全,所以,他們除了被動的防禦,也會主動出擊,監控黑產情報,包括對各大社工庫數據進行分析,可以及時獲知哪些賬號已被攻破,針對此類高危賬戶產生的業務請求有效提高對應的風控級別。

賬戶/設備行為比拼

不過,黑產為了擴大獲利面,總會儘可能廣撒網,因此黑產行為越來越多的向批量化和自動化演進,這就向風控提出了新的挑戰。

比如,一般業務平台為了營銷,經常會開展優惠或者返現等活動,黑產聞風而至,大規模套利,業內稱之為「薅羊毛」,最常見的手段就是大量註冊新用戶領取平台的活動獎勵。

針對這種現象,風控介入后,最基本的要求就是——用戶必須使用手機號作為賬戶主體進行註冊,待用戶註冊后,風控會通過短訊驗證碼的方式確保手機號處於正常在網狀態。

但這難不倒黑產。他們會從卡商那裡購買即將廢棄但仍然可以接收短訊的手機卡或者廉價的物聯網卡,再通過短訊收碼平台來獲取短訊驗證碼(每條僅需幾毛錢),然後回傳給腳本工具,快速完成大量新號註冊。

為了防止黑產的腳本登錄,風控通常會強化登錄驗證,最常見的就是隨機圖片驗證碼和拼圖驗證,由於圖片本身不易被程序翻譯成文本,加上拼圖的隨機性,阻擋了許多腳本的嘗試。

然而,隨機驗證碼雖然擋住了腳本,卻依然還是要給人識別出來的。黑產設立的打碼平台(網賺平台),利用低廉的傭金吸引閑暇時間比較多的人群來幫忙人肉翻譯驗證碼,然後把翻譯好的文本回傳給腳本,連同撞庫的用戶名、密碼再嘗試登錄。有實力的黑產團體,甚至可以使用圖像識別技術,直接搞定驗證碼圖片到文本的轉換,而拼圖驗證也可以通過圖像識別配合鼠標軌跡腳本,完成拼圖,成功登錄。

既然驗證碼無法阻止黑產,風控系統就在客戶端部署鼠標軌跡偵測代碼,配合機器深度學習,歸納真人操作鼠標的移動規律,讓黑產的自動腳本無計可施。

但黑產不會就此無功而返。他們從社工庫或者其他渠道獲取用戶的賬號密碼之後,會嘗試去其他平台使用上述賬號密碼組合碰碰運氣(因為不少用戶在多個平台上使用同一套密碼),也就是所謂的「撞庫」。一些比較老舊的服務平台,登錄接口只需要提供用戶名和密碼即可,黑產人員使用簡單腳本即可輕鬆嘗試所有已知的用戶名和密碼組合,總有一部分會成功登錄,進而扒取更多的敏感信息甚至借用賬號實行騙貸和網絡詐騙。

對此,風控系統增加了新的限制規則,客戶端在請求消息中會攜帶手機的串號或其他設備信息(如IP地址),風控規則不準同一台手機/同一個IP頻繁執行註冊或不斷切換賬號嘗試登陸。

然而,黑產也很快發現了問題,他們開始使用PC端的手機操作系統模擬器,或者在真實手機上安裝改機工具,隨意設置各種終端設備信息,繞過風控規則對設備的限制。針對IP封鎖,黑產則使用廉價的高匿名代理服務器來欺騙業務平台,從業務請求消息的內容當中只能看到代理的IP而看不到源頭的IP(即」匿名」的由來)。

換句話說,僅從服務端做規則檢查已經無法準確識別黑產設備了,因此風控的控制點延伸到了終端,採用APP加固來識別運行環境(是否模擬器),檢測root/越獄狀態,屏蔽或限制此類設備發起的業務請求。

對於IP代理,風控通常使用IP黑灰名單,過濾掉已知/嫌疑的代理IP,進一步的,描繪用戶畫像,根據用戶最常使用的IP判斷異常請求,並採取更高強度的身份驗證以防欺詐(例如臨時鎖定賬號,使用郵箱或短訊解鎖)。

等發現軟件模擬的方式行不通之後,黑產又打起了實體手機和手機卡的主意,他們使用貓池長期供養大量的手機卡(平均成本很低),並且按期產生通訊活動,使號碼看起來處於正常的活躍狀態,在網時間較長,就自然繞開了風控規則對新號的限制。

針對黑產養號,風控系統則採用手機卡號黑灰名單,配合手機畫像,來識別手機卡號是否屬於卡商低價大批量出售的手機卡/物聯網卡,是否曾經有過疑似薅羊毛的行為,抑或是某些號碼附着的基站位置長期沒有變化,均將其歸結為高風險對象,並建議業務平台拒絕此類號碼。

另外,伴隨着現代移動互聯網市場飛速發展,許多業務都必須通過手機APP執行,而且APP加固之後可以有效識別手機操作系統模擬器,因此,有資本的黑產團伙會購入大量手機,使用群控系統進行批量操作,遊走各種平台進行大規模套利/欺詐活動。

先進的風控系統則會採用設備指紋技術(嵌入到業務軟件中的代碼模塊),來偵測手機的調試狀態(手機進入調試狀態才可以被連線的電腦操作),分析手機傳感器狀態(例如GPS定位、陀螺儀傾角),判斷設備異常(位置和姿態長期不變),跨平台跨業務識別出設備真實身份,阻止其發起的業務請求。

不過,黑產作為一條產業鏈,有明確的分工,形成上中下游,在地理和人員上分佈廣泛、關係網複雜,可以躲避風控/法律有針對性的打擊,很難一鍋端。

也正是黑產的這種複雜關係網,催生了風控的知識圖譜技術,該技術把多個維度的數據通過關係連接在一起,形成網絡,計算分析得到某個實體(例如手機號)與其他實體(賬戶、銀行卡、收貨地址、常用登陸IP)之間的正常關聯關係,找到可疑關係變動及其與黑產相關的上下游關係,由此鑒別異常/高危業務,降低風險;當黑產人員嘗試將利益轉移時,知識圖譜也可以識別異常的交易關係,並加以阻止。

最後,需要說明的是,鬥爭永不停息,不存在完美的黑產手段或風控體系,雙方從最初的規則對抗,演變到技術對抗,進而數據對抗,不斷進化,最後的結果就是比拼成本。黑產套利的成本過高就會放棄嘗試,風控成本過高則會影響公司的整體利潤率,宏觀上形成一種微妙的平衡。

作為一個普通用戶,大家需要做的是多多保護好個人賬號和信息,不貪圖小利,從而避免被黑產利用。

更多精彩內容,關注鈦媒體微信號(ID:taimeiti),或者下載鈦媒體App


想在手機閱讀更多業界資訊資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems