為了拉新促活,一家知名保險公司近期投入上百萬的營銷費用,在自家APP、微信小程序上線了一個“抽獎得紅包”的用戶活動。然而,這些紅包真正被用戶搶到了嗎?恐怕很難。經過瑞數信息的后臺診斷分析,大部分紅包并沒有按計劃被發放至終端用戶手上,而是被大量“羊毛黨”薅走了。
通過日志分析,瑞數信息發現了大量的高級自動化行為和批量接口調用等可疑情況:僅8天時間, 簡單腳本攻擊就超過140萬次,高級自動化工具使用了2萬+次,重訪攻擊逼近1.5萬次,令牌篡改請求也突破了6000次。
換句話說,黑產團伙早就盯上了這個活動,通過系統化的技術手段和數以萬計的賬號,利用自動化的腳本程序,來批量參與保險線上平臺的營銷活動,以此獲取高額利潤。除此之外,由于黑產的大量“進攻”,營銷活動頁面經常卡頓,后端服務器難以支撐,嚴重影響了真實用戶參與活動的體驗。
那么問題來了,
為什么部署了大量安全設備的保險公司沒有發現黑產團伙的行為?
瑞數信息又是如何發現并打擊黑產的呢?
為什么用戶無法發現黑產“薅羊毛”?
事實上,保險公司的遭遇并不是個例。由于黑產分工明確、合作流程成熟,并且逐漸向隱蔽、專業、精準方向發展,已經越來越難以被消滅。據《數字金融反欺詐白皮書》顯示,目前羊毛黨已形成15余工種、160余萬從業人員、產業規模不低于1000億元人民幣的產業鏈。
從黑產自身來看,“薅羊毛”的技術正在不斷精進。相比于過去人肉作假,現在黑產更多采用Bots自動化工具,批量參與營銷活動,進一步提升了“薅羊毛”效率。同時,黑產攻擊手法更加擬人化,大面積地使用虛擬機、改碼設備、批量養號等各種高科技造假手段,足以模擬正常用戶的行為、設備、身份等系列特征,作案手法更加隱蔽。
從外部環境看,隨著數字化業務快速增長,APP、微信、小程序、H5等多種業務接入渠道產生,API接口大量被調用,帶來了巨大的敞口風險。
一方面,小程序這類新興線上渠道被攻擊者逆向難度很低,只要調取代碼就可以直接獲取微信用戶身份認證信息,完成登錄、下單、查詢等用戶行為。另一方面,API接口承載著大量客戶信息、業務和交易數據、認證信息等關鍵數據,經常面臨接口越權、未授權訪問等安全威脅。黑產不僅可以利用應用漏洞進行攻擊,還通過各類擬人化Bots模擬業務操作,實現業務攻擊,對數字化業務的影響也在快速攀升。
內外交困之下,傳統的業務安全/風控產品也疲態盡顯。
傳統業務安全/風控產品的關注點在于賬號、IP、設備信譽以及固定規則,需要頻繁地更新數據庫和規則來應對黑產攻擊。但如今的黑產已經可以通過豐富IP、使用肉雞、設備root、手機群控等手段,讓傳統的業務安全/風控系統疲于應對,甚至無法察覺黑產的存在。
瑞數信息解決的保險公司“薅羊毛”這一案例中,保險公司之所以攔不住黑產,很大原因也在于該公司部署的WAF產品,只能基于固定規則和簽名對異常行為進行判定,因此感知不到模擬真人的黑產攻擊行為。
三步發現黑產“薅羊毛”
針對傳統安全/風控產品的弊端,瑞數信息利用獨創的“動態安全+AI”技術,三步精準定位黑產“薅羊毛”行為,有效打擊各類網絡欺詐,包括偽裝成正常交易的業務作弊、利用合法賬號竊取敏感數據、假冒終端應用等。
1 批量調取接口行為分析(重放、腳本自動化)
以上述保險公司案例為例,通過單獨分析抽獎路徑,瑞數信息發現:20%的請求操作行為字段為空值,可以判斷這一部分是使用的簡單腳本進行攻擊;30%的輸入操作記錄為0,說明可能是通過高級自動化攻擊發起的請求,或者是使用重放工具發起的請求。
正常的抽獎邏輯需要先訪問抽獎頁面,然后通過該頁面發起抽獎的接口請求。但瑞數信息從接口調用的referer發現:其中20%的請求沒有前置頁面請求,referer值為空,說明這些請求是直接自動化調用的抽獎接口,沒有按照正常的抽獎邏輯進行抽獎。
2 高級Bots工具
通過日志分析,瑞數信息發現了不少高級自動化工具。這類工具的訪問日志中操作行為字段為空,沒有人為的輸入、滑動等行為,所有請求都是腳本驅動瀏覽器完成。
3 黑產批量調取接口行為分析(代理池)
通過瑞數信息的cookie id(每個用戶不會重復,具備唯一性),以及提取到的頁面輸入行為進行聚類分析,發現黑產團伙進行接口批量調用,直接參與抽獎行為。
以上種種分析,都指向了黑產團伙的行為路徑:使用簡單腳本,定時抓取活動頁面,獲取活動信息;使用高級自動化工具和重放攻擊,模擬真人訪問,自動化參與抽獎。
四招分層解決“薅羊毛”
在清晰洞察了黑產行為之后,瑞數信息采用四招分層解決黑產“薅羊毛”問題。
招式一:針對簡單腳本攻擊和高級Bots工具
瑞數信息的“動態令牌”“動態驗證”技術,能夠確保運行環境,進行人機識別,對抗瀏覽器模擬化以及自動化攻擊;同時,防止重放攻擊和越權,確保業務邏輯正常進行。
招式二:針對黑產團伙
通過業務威脅感知、群控模型、聚類分析指紋和IP對應關系、分析頁面輸入行為、定制可編程對抗策略等方式,瑞數信息能夠實時識別和攔截模擬合法操作的異常行為,并梳理出黑產名單。
同時通過瑞數信息的“動態安全+AI”技術,大幅削減了自動化工具的攻擊效率,攔截了大量的“薅羊毛”行為,也為客戶服務器減輕了很大的壓力。
不僅如此,考慮到黑產一般在活動發起前就開始進行諸多準備,如掃描系統漏洞、爬取用戶信息、分析活動頁面信息等,瑞數信息在活動發起前就對業務做好防護,讓業務“風險前置”。
招式三:漏洞防掃描
通過動態安全技術,使得漏洞掃描或漏洞利用工具無法發起有效自動化掃描探測,無法發現可利用的漏洞及網頁目錄結構。同時,在網站/APP等應用未打補丁或補丁空窗期,提供有效安全防護。
招式四:用戶信息防泄露
針對用戶信息惡意爬取,瑞數信息利用“動態混淆”技術,將黑產每一次獲取的信息都動態加密,讓黑產無法獲取真實信息;利用“動態封裝”技術,將業務關鍵邏輯動態變化,防止攻擊者分析網站代碼。
總體而言,瑞數信息之所以能很好地解決黑產“薅羊毛”問題,一方面在于“動態安全+AI技術”具有自動化攻擊防御、人機識別等獨特優勢;另一方面也在于能同時覆蓋Web、H5、APP、小程序、API等多種業務渠道,數據采集點更加豐富,通過全量數據融合AI算法,使得防御能力更加精準,實現業務風控前置。
在黑產作案方式逐漸專業化、隱蔽化、團伙化的今天,線上營銷需要新的安全技術方案才能更好地“應戰”。瑞數信息作為Gartner、IDC等國際知名咨詢機構推薦的在線反欺詐領域代表廠商,將持續發揮自身技術優勢,為業務安全保駕護航。
京公網安備 11010502049343號