又是一年一度的双11购物季,各大平台营销活动相继推出,红包、优惠券、闪杀...这些折扣你能抢到吗?为吸引新客户,某知名保险公司近期投入数百万营销费用,在自家APP和微信小程序上推出“抽奖红包”用户活动。然而,这些红包真的被用户抢走了吗?恐怕很难。经过锐数资讯后台诊断分析,大部分红包并没有按计划发放给终端用户,而是被大量“羊毛党”拿走了。睿数信息通过日志分析,发现了高级自动化行为、批量接口调用等大量可疑情况:仅8天时间,简单脚本攻击超过140万次,高级自动化工具使用次数超过2万次,重访攻击接近15000次,令牌篡改请求也超过6000次。也就是说,歹徒盯上这个活动很久了。他们通过系统的技术手段,通过数万个账户,利用自动化脚本程序,批量参与保险在线平台的营销活动,获取高额利润。利润额。此外,由于黑品大量“进攻”,导致营销活动页面经常卡顿,后台服务器难以支撑,严重影响了真实用户参与活动的体验。那么问题来了,为什么部署了大量安全设备的保险公司没有发现黑产团伙的行为呢?睿数信息是如何发现并打击黑产的?为什么用户发现不了黑产的“羊毛”?事实上,保险公司并不孤单。由于分工明确,合作流程成熟,黑产业逐渐向隐蔽性、专业化、精准化方向发展,越来越难以杜绝。据《数字金融反欺诈白皮书》介绍,羊毛党已经形成了工种超过15个,从业人员超过160万人,产业规模不低于1000亿元的产业链。从黑产本身来看,“扫羊毛”的技术也在不断进步。与以往的人肉诈骗相比,现在的黑产者更多地使用Bots自动化工具,批量参与营销活动,进一步提高了“扫羊毛”的效率。同时,黑产的攻击手段更加拟人化,大量使用虚拟机、重编码设备、批号维护等各种高科技造假手段,足以模拟出一系列特征比如正常的用户行为、设备、身份等,作案手法更加隐蔽。.从外部环境来看,随着数字化业务的快速增长,APP、微信、小程序、H5等业务接入渠道应运而生,调用了大量API接口,带来了巨大的暴露风险。一方面,小程序等新兴在线渠道很难被攻击者逆转。只要取回码,就可以直接获取微信用户的身份认证信息,完成登录、下单、查询等用户行为。另一方面,API接口承载了大量客户信息、业务和交易数据、认证信息等关键数据,经常面临接口越界、未授权访问等安全威胁。黑产业不仅可以利用应用漏洞进行攻击,还可以通过各种拟人化的Bot模拟业务操作,实现业务攻击,对数字业务的影响也在迅速加大。内忧外患之下,传统业务安全/风控产品也呈现疲态。传统的业务安全/风控产品侧重于账号、IP、设备信誉和固定规则。应对黑客攻击需要频繁更新数据库和规则。然而,如今的黑业已经可以通过丰富IP、利用Bot、设备Root、手机群控等手段,让传统业务安全/风控系统疲惫不堪,甚至无法察觉黑业的存在。在睿数信息解决的保险公司“扫羊毛”案例中,保险公司之所以无法制止违规生产,也是因为该公司部署的WAF产品只能根据固定的规则和签名来判断异常行为,所以无法感知模拟真人的黑产攻击行为。三个步骤发现非法“扫羊毛”对传统安全/风控产品的弊端。睿数信息采用独创的“动态安全+AI”技术,三步精准定位非法“扫羊毛”行为,有效打击各类网络诈骗,包括伪装成正常交易的业务作弊、利用合法账户窃取敏感信息等数据、仿冒终端应用等1批量调用接口行为分析(回放、脚本自动化)以上述保险公司案例为例,睿数资讯通过对开奖路径进行单独分析,发现20%的请求操作行为字段是空,可以判断这部分使用了30%的输入操作记录为0,说明该请求可能是通过高级自动化攻击发起的,或者是使用重放工具发起的请求。正常的抽奖逻辑需要先访问抽奖页面,然后通过该页面发起抽奖接口请求。但睿数信息从接口调用的referer中发现:20%的请求没有pre-page请求,referer值为空,说明这些请求直接自动调用了抽奖接口,抽奖不是按照正常的彩票逻辑抽取的。2先进的Bot工具通过日志分析,睿数信息发现了很多先进的自动化工具。此类工具的访问日志中的操作行为字段为空,没有人工输入、滑动等,所有请求均由脚本驱动的浏览器完成。3黑产批量调用接口行为分析(代理池)通过对瑞书信息的cookieid(每个用户不会重复且唯一)和提取的页面输入行为进行聚类分析,发现黑产团伙批量调用接口直接参与抽奖。以上种种分析都指向了黑产团伙的行为路径:利用简单的脚本定期抓取活动页面获取活动信息;使用先进的自动化工具和重放攻击来模拟真人访问并自动参与彩票抽奖。四项措施层层解决“扫羊毛”问题洞察黑产行为后,睿数信息采取四项措施解决黑产“扫羊毛”问题。举措一:针对简单脚本攻击的“动态令牌”、“动态验证”技术和先进的Bots工具睿数信息可保证运行环境,进行人机识别,抵御浏览器模拟和自动化攻击;同时,防止重放攻击和越界,保证业务逻辑的正常运行。招数二:针对黑产集团,通过业务威胁感知、群控模型、指纹与IP对应聚类分析、页面输入行为分析、定制化可编程反制等,睿数信息实时识别拦截模拟合法操作行为异常,整理黑产名单。同时,通过睿数信息的“动态安全+AI”技术,大大降低了自动化工具的攻击效率,拦截了大量“扫羊毛”行为,为客户减轻了很多压力服务器。不仅如此,考虑到黑产一般会在活动开展前就开始做很多准备工作,比如扫描系统漏洞、爬取用户信息、分析活动页面信息等,睿数信息在之前就做好了业务的保护工作活动的推出,让商家“风险先行”。方法三:漏洞反扫描通过动态安全技术,漏洞扫描或漏洞利用工具无法发起有效的自动扫描检测,无法发现可利用的漏洞和Web目录结构。同时在网站/APP等应用未打补丁或未打补丁时提供有效的安全保护。招数四:用户信息防泄露针对恶意爬取用户信息,睿数信息采用“动态混淆”技术,对黑产获取的每一条信息进行动态加密,让黑产无法获取真实信息;使用“动态封装”技术,动态改变关键业务逻辑,防止攻击者分析网站代码。总的来说,睿数信息之所以能够很好地解决“薅羊毛”问题,一方面是因为“动态安全+AI技术”具有攻击自动防御、人机识别等独特优势;另一方面,它也能够同时覆盖Web、H5、APP、小程序、API等多种业务渠道,数据采集点更加丰富。通过全数据与AI算法的融合,防御能力更精准,实现前端业务风控。在黑产犯罪逐渐职业化、隐匿化、集团化的今天,网络营销需要新的安全技术方案更好地“应战”。作为Gartner、IDC等国际知名咨询机构推荐的网络反欺诈领域的代表性厂商,睿数信息将继续发挥自身技术优势,为企业安全保驾护航。
