“本銀行信用卡,手續簡(jiǎn)單額度高,活動(dòng)豐富可免年費,更有積分換大禮。明早九點(diǎn),網(wǎng)絡(luò )在線(xiàn)申請,無(wú)需預約,極速辦理,最快3秒審核!“
肖禾的手機響了,他低頭一看,是銀行微信公眾號的一條新推送。
當下信用卡市場(chǎng)競爭日趨白熱化,很多銀行都在發(fā)行新的卡產(chǎn)品,為了搶奪客群,高額度、免年費、快審核、多優(yōu)惠的新卡活動(dòng)一波接著(zhù)一波。黑產(chǎn)從業(yè)者們也自然盯上了這塊肥肉。
不過(guò)20出頭的肖禾,已經(jīng)是信息搜集屆小有名氣的人物。信用卡欺詐產(chǎn)業(yè)鏈的重要環(huán)節,他都參與其中。這不,銀行推廣信息還沒(méi)來(lái)得及分享,他就被一位微信群主@了。內容很簡(jiǎn)單:三百人,具體身份信息,要真的。肖禾略微思索了一下,回了四個(gè)字:一人六十。對方秒回:成交。
將手機揣回兜里,肖禾篤信,明早9點(diǎn),他的上游黑客就能利用自動(dòng)化程序軟件,將他提供的三百條個(gè)人信息批量提交到申請頁(yè)面,在短短幾分鐘內完成信用卡的在線(xiàn)申請。
至于如何獲取身份信息,肖禾這種“高端玩家”已經(jīng)不滿(mǎn)足于在網(wǎng)上購買(mǎi),除了和黑客合作,通過(guò)撞庫、洗庫的方式提煉篩選信息,他還選擇了一種更隱蔽、回報率更高的方式:以公司招工、問(wèn)卷調查等名義,低價(jià)換取或騙取大量真人的詳細信息和身份證復印件,再為他們憑空造出各種收入證明、房產(chǎn)證明、學(xué)歷證明。因為這些身份信息確實(shí)真實(shí),所以不必過(guò)于擔心銀行的審核,通過(guò)率更高。況且如今部分銀行“極速辦理”的理念使得審核時(shí)間非常有限,即使需要短信或語(yǔ)音驗證碼,自動(dòng)打碼平臺也能夠輕松對付。
等成功領(lǐng)到信用卡,利用銀行開(kāi)卡即贈刷卡金、實(shí)體大禮包等活動(dòng),肖禾和伙伴們只需要一臺電腦,就能將銀行精心策劃的信用卡推廣活動(dòng)一搶而空;更別說(shuō)有了這一批新信用卡之后,以卡養卡,惡意透支、薅羊毛、套現,甚至洗錢(qián)能帶來(lái)的巨額收益了。悄無(wú)聲息之中,這條黑色產(chǎn)業(yè)鏈上的每個(gè)人都能賺得盆滿(mǎn)缽滿(mǎn)。
反觀(guān)銀行的被動(dòng)境地
然而,對于銀行的信用卡中心來(lái)說(shuō),肖禾眼中的誘人生意卻教人欲除之而后快。
由于信用卡的主要業(yè)務(wù)集中在手機App和微信公眾號上,為了提升用戶(hù)的業(yè)務(wù)體驗,很多銀行都將相關(guān)促銷(xiāo)活動(dòng)放在H5頁(yè)面上。但很快安全管理人員就察覺(jué)到,幾乎每次H5頁(yè)面推廣,都會(huì )遭遇大量通過(guò)自動(dòng)化攻擊發(fā)起的虛假信用卡申請、搶促銷(xiāo)與秒殺、短信轟炸等業(yè)務(wù)威脅。
從商業(yè)角度來(lái)說(shuō),這些攻擊行為擾亂了申請數據、轉化率、毛利率等商業(yè)分析指標,歪曲了業(yè)務(wù)增長(cháng)的真實(shí)水平,可能會(huì )誤導后續的商業(yè)決策。從用戶(hù)體驗來(lái)說(shuō),真實(shí)用戶(hù)很難在與自動(dòng)化工具的較量中勝出,總是搶不到促銷(xiāo)優(yōu)惠的結果,就是用戶(hù)不再有繼續參與、使用的熱情,導致部分客戶(hù)的流失。而從信用卡部門(mén)本身來(lái)說(shuō),除了會(huì )大大增加銀行人工審核成本,影響正常用戶(hù)申請的處理效率,最刻骨的影響大概就是動(dòng)輒百萬(wàn)千萬(wàn)的投入打了水漂。
雪上加霜的是,當批量信用卡申請、薅羊毛、撞庫、賬戶(hù)盜用、積分盜用這些新興交易欺詐行為不斷挑戰銀行業(yè)務(wù)系統和IT系統時(shí),依賴(lài)特征庫、規則及閥值機制進(jìn)行防護的傳統安全防御機制已經(jīng)有心無(wú)力,無(wú)法提供有效防御,令信用卡部門(mén)承擔著(zhù)巨大的業(yè)務(wù)風(fēng)險及商譽(yù)損害。
也正因如此,肖禾和他的同伙們才能在與銀行的對決中一次次占據上風(fēng)。
這一次,銀行終于打了翻身仗
第二天一早,肖禾提交完用戶(hù)信息,信心滿(mǎn)滿(mǎn)地等待著(zhù)又一波分紅。然而隨著(zhù)時(shí)間一分一秒地過(guò)去,肖禾卻逐漸焦躁起來(lái)。因為往常剛過(guò)9點(diǎn),他就能收到群主的大額紅包--這是他們?yōu)橛忠淮螌€y行玩弄于股掌之上的慣例慶祝。但現在時(shí)針已經(jīng)指過(guò)11點(diǎn),微信卻仍然毫無(wú)動(dòng)靜。肖禾終于沉不住氣發(fā)了一個(gè)問(wèn)號,過(guò)了半天,對方才回了一條:自動(dòng)化程序沒(méi)用,沒(méi)法提交申請。
其實(shí),這一天,同時(shí)失手的還有成千上萬(wàn)個(gè)類(lèi)似肖禾的組織,以往屢屢得逞的攻擊者們,這次卻在銀行面前吃了閉門(mén)羹。
肖禾和其他攻擊者們可能想不到,面對黑產(chǎn)的海量應用攻擊,銀行信用卡中心終于選擇絕地反擊,及時(shí)調整安全防護策略,打了一個(gè)漂亮的翻身仗。究其原因,正是該信用卡中心決定與瑞數信息展開(kāi)合作,采用瑞數動(dòng)態(tài)應用防護系統(RAS),對H5頁(yè)面建立全新的安全防御體系。
以新信用卡開(kāi)放申請的這一天為例,在早上九點(diǎn)至九點(diǎn)半的短短半小時(shí)內,經(jīng)過(guò)瑞數動(dòng)態(tài)應用防護系統(RAS)的識別,78.6%的開(kāi)戶(hù)申請都被認定為自動(dòng)化工具提交的虛假申請,并被實(shí)時(shí)過(guò)濾和攔截。在隨后9小時(shí)的定時(shí)監測中,由于自動(dòng)化工具失效,惡意流量在全站訪(fǎng)問(wèn)總量中的占比也從78.6%急劇下降至不足1%,使得整體業(yè)務(wù)系統持續平穩運行。
瑞數讓銀行說(shuō)“NO”
瑞數動(dòng)態(tài)應用防護系統(RAS)旨在混淆和干擾攻擊工具對于目標系統的認知,在銀行反欺詐及風(fēng)控系統識別和審核之前的業(yè)務(wù)邏輯流程之初,及業(yè)務(wù)操作的執行中就進(jìn)行實(shí)時(shí)的人機識別,將風(fēng)控前置,關(guān)口前移。其之所以能幫助銀行信用卡部門(mén)成功逆轉攻防態(tài)勢,主要得益于以下幾點(diǎn):
- 動(dòng)態(tài)算法生成:每次會(huì )話(huà)訪(fǎng)問(wèn)中網(wǎng)頁(yè)代碼參數的封裝、令牌生成等算法及檢查邏輯都不同,而且其有效時(shí)間能夠隨整體訪(fǎng)問(wèn)量動(dòng)態(tài)調整。黑客必須在極短時(shí)間內完成逆向破解才能繼續攻擊,從而大幅提升了攻擊的難度。
- 真實(shí)環(huán)境檢查:通過(guò)對客戶(hù)端環(huán)境與操作行為的動(dòng)態(tài)驗證,嚴密監察運行環(huán)境,防止惡意終端的訪(fǎng)問(wèn),有效識別了訪(fǎng)問(wèn)網(wǎng)頁(yè)的客戶(hù)端是“人”還是“自動(dòng)化工具”,從而過(guò)濾大量的自動(dòng)化攻擊噪音。
- 攻擊行為模式分析:基于人機互動(dòng)的理論,通過(guò)鼠標移動(dòng)軌跡、頁(yè)面停留時(shí)間等分析終端操作的行為模式,有效識別非人為的操作行為,有效防止低頻率、模擬真人的操作攻擊。
除了能夠有效阻止各種自動(dòng)化工具的攻擊,幫助銀行信用卡中心避免批量申請及后續養卡、薅羊毛、套現、洗錢(qián)的風(fēng)險,保障銀行的資金、用戶(hù)和整體業(yè)務(wù)外,從應用安全效益角度看,瑞數動(dòng)態(tài)應用防護系統(RAS)還可以大大降低安全運維成本。無(wú)需修改應用代碼、無(wú)需進(jìn)行特征庫及策略庫的升級維護工作,不僅節省了帶寬、服務(wù)器等資源,而且令銀行每年在應用安全方面的投入,包括安全評估、安全事件應急和安全運維,大幅降低。
“過(guò)去的武器,贏(yíng)不了未來(lái)的戰爭“。隨著(zhù)黑灰產(chǎn)業(yè)不斷的規模化、市場(chǎng)化,攻擊手段也在向自動(dòng)化和工具化演進(jìn),銀行等金融機構絕不能僅僅依靠單一被動(dòng)的傳統模式進(jìn)行安全防護,而應當利用瑞數“動(dòng)態(tài)安全”的新技術(shù),建立一張360度全方位的動(dòng)態(tài)防護網(wǎng),以動(dòng)制動(dòng),確保銀行信用卡及其他業(yè)務(wù)的安全運行!
