信 用 卡 上 的 攻 防 博 弈

2018-05-18 09:30:00 作者:ym 出处 : 比特网

  一次信用卡欺诈攻击策划

  “本银行信用卡,手续简单额度高,活动丰富可免年费,更有积分换大礼。明早九点,网络在线申请,无需预约,极速办理,最快3秒审核!“

  肖禾的手机响了,他低头一看,是银行微信公众号的一条新推送。

  当下信用卡市场竞争日趋白热化,很多银行都在发行新的卡产品,为了抢夺客群,高额度、免年费、快审核、多优惠的新卡活动一波接着一波。黑产从业者们也自然盯上了这块肥肉。

  不过20出头的肖禾,已经是信息搜集届小有名气的人物。信用卡欺诈产业链的重要环节,他都参与其中。这不,银行推广信息还没来得及分享,他就被一位微信群主@了。内容很简单:三百人,具体身份信息,要真的。肖禾略微思索了一下,回了四个字:一人六十。对方秒回:成交。

  将手机揣回兜里,肖禾笃信,明早9点,他的上游黑客就能利用自动化程序软件,将他提供的三百条个人信息批量提交到申请页面,在短短几分钟内完成信用卡的在线申请。

  至于如何获取身份信息,肖禾这种“高端玩家”已经不满足于在网上购买,除了和黑客合作,通过撞库、洗库的方式提炼筛选信息,他还选择了一种更隐蔽、回报率更高的方式:以公司招工、问卷调查等名义,低价换取或骗取大量真人的详细信息和身份证复印件,再为他们凭空造出各种收入证明、房产证明、学历证明。因为这些身份信息确实真实,所以不必过于担心银行的审核,通过率更高。况且如今部分银行“极速办理”的理念使得审核时间非常有限,即使需要短信或语音验证码,自动打码平台也能够轻松对付。

  等成功领到信用卡,利用银行开卡即赠刷卡金、实体大礼包等活动,肖禾和伙伴们只需要一台电脑,就能将银行精心策划的信用卡推广活动一抢而空;更别说有了这一批新信用卡之后,以卡养卡,恶意透支、薅羊毛、套现,甚至洗钱能带来的巨额收益了。悄无声息之中,这条黑色产业链上的每个人都能赚得盆满钵满。

  反观银行的被动境地

  然而,对于银行的信用卡中心来说,肖禾眼中的诱人生意却教人欲除之而后快。

  由于信用卡的主要业务集中在手机App和微信公众号上,为了提升用户的业务体验,很多银行都将相关促销活动放在H5页面上。但很快安全管理人员就察觉到,几乎每次H5页面推广,都会遭遇大量通过自动化攻击发起的虚假信用卡申请、抢促销与秒杀、短信轰炸等业务威胁。

  从商业角度来说,这些攻击行为扰乱了申请数据、转化率、毛利率等商业分析指标,歪曲了业务增长的真实水平,可能会误导后续的商业决策。从用户体验来说,真实用户很难在与自动化工具的较量中胜出,总是抢不到促销优惠的结果,就是用户不再有继续参与、使用的热情,导致部分客户的流失。而从信用卡部门本身来说,除了会大大增加银行人工审核成本,影响正常用户申请的处理效率,最刻骨的影响大概就是动辄百万千万的投入打了水漂。

  雪上加霜的是,当批量信用卡申请、薅羊毛、撞库、账户盗用、积分盗用这些新兴交易欺诈行为不断挑战银行业务系统和IT系统时,依赖特征库、规则及阀值机制进行防护的传统安全防御机制已经有心无力,无法提供有效防御,令信用卡部门承担着巨大的业务风险及商誉损害。

  也正因如此,肖禾和他的同伙们才能在与银行的对决中一次次占据上风。

  这一次,银行终于打了翻身仗

  第二天一早,肖禾提交完用户信息,信心满满地等待着又一波分红。然而随着时间一分一秒地过去,肖禾却逐渐焦躁起来。因为往常刚过9点,他就能收到群主的大额红包——这是他们为又一次将银行玩弄于股掌之上的惯例庆祝。但现在时针已经指过11点,微信却仍然毫无动静。肖禾终于沉不住气发了一个问号,过了半天,对方才回了一条:自动化程序没用,没法提交申请。

  其实,这一天,同时失手的还有成千上万个类似肖禾的组织,以往屡屡得逞的攻击者们,这次却在银行面前吃了闭门羹。

  肖禾和其他攻击者们可能想不到,面对黑产的海量应用攻击,银行信用卡中心终于选择绝地反击,及时调整安全防护策略,打了一个漂亮的翻身仗。究其原因,正是该信用卡中心决定与瑞数信息展开合作,采用瑞数动态应用防护系统(RAS),对H5页面建立全新的安全防御体系。

  以新信用卡开放申请的这一天为例,在早上九点至九点半的短短半小时内,经过瑞数动态应用防护系统(RAS)的识别,78.6%的开户申请都被认定为自动化工具提交的虚假申请,并被实时过滤和拦截。在随后9小时的定时监测中,由于自动化工具失效,恶意流量在全站访问总量中的占比也从78.6%急剧下降至不足1%,使得整体业务系统持续平稳运行。

  瑞数让银行说“NO”

  瑞数动态应用防护系统(RAS)旨在混淆和干扰攻击工具对于目标系统的认知,在银行反欺诈及风控系统识别和审核之前的业务逻辑流程之初,及业务操作的执行中就进行实时的人机识别,将风控前置,关口前移。其之所以能帮助银行信用卡部门成功逆转攻防态势,主要得益于以下几点:

  1. 动态算法生成:每次会话访问中网页代码参数的封装、令牌生成等算法及检查逻辑都不同,而且其有效时间能够随整体访问量动态调整。黑客必须在极短时间内完成逆向破解才能继续攻击,从而大幅提升了攻击的难度。

  2. 真实环境检查:通过对客户端环境与操作行为的动态验证,严密监察运行环境,防止恶意终端的访问,有效识别了访问网页的客户端是“人”还是“自动化工具”,从而过滤大量的自动化攻击噪音。

  3. 攻击行为模式分析:基于人机互动的理论,通过鼠标移动轨迹、页面停留时间等分析终端操作的行为模式,有效识别非人为的操作行为,有效防止低频率、模拟真人的操作攻击。

  除了能够有效阻止各种自动化工具的攻击,帮助银行信用卡中心避免批量申请及后续养卡、薅羊毛、套现、洗钱的风险,保障银行的资金、用户和整体业务外,从应用安全效益角度看,瑞数动态应用防护系统(RAS)还可以大大降低安全运维成本。无需修改应用代码、无需进行特征库及策略库的升级维护工作,不仅节省了带宽、服务器等资源,而且令银行每年在应用安全方面的投入,包括安全评估、安全事件应急和安全运维,大幅降低。

  “过去的武器,赢不了未来的战争“。随着黑灰产业不断的规模化、市场化,攻击手段也在向自动化和工具化演进,银行等金融机构绝不能仅仅依靠单一被动的传统模式进行安全防护,而应当利用瑞数“动态安全”的新技术,建立一张360度全方位的动态防护网,以动制动,确保银行信用卡及其他业务的安全运行!

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。