备注表示自己的词或段标题
表示书中的片断
一开始可以只依赖第三方风控吗? 一方面是高昂的金额,另一方面是业务安全的真正力量是内生的,专业的安全风控公司可以提供工具、平台和策略建议,但只有业务方真正理解风险防控思路,才能在与黑产的对抗中设计业务规则、运营安全战略,取得较好的效果
在业务安全领域与黑产的对抗,很大程度上是技术和资源的对抗。
了解安全商业前世,从互联网诞生到2014年,网络安全行业关注的热点基本上是网络安全、系统安全和APP应用安全三个基本
2014年前后,随着互联网业务的爆发式发展,黑产集团开始从“攻击系统获利”的传统做法演变为“利用有任务风控不足获得大规模利润”的模式,形成大规模分工明确的黑产业链一批新兴的乙风控企业选择让更多的企业受益,将技术算法赋予其他风控能力较弱的互联网公司,共享黑产对抗成果。
2014年之后的几年间,网络风控反诈骗阵营与黑产集团展开了波澜万丈的战斗,双方各有胜负。
公安部在2019年的“网络行动”中系统性打击黑产生态,黑产业链在经历了五年多的野蛮发展后终于得到有效遏制。
联合风控会成为业务安全的趋势吗? 据统计,国内黑产成员超过50万人,黑产集团之间已经形成了相互分工、密切合作的产业生态。 由于企业之间信息和数据的割裂,诈骗分子往往可以在不同平台之间顺利移动。
从不同的业务场景来看,注册风控在注册场景中的风险占有率最高,可达40%。 因为对于大多数业务流程来说,注册登记是所有后续业务的门槛。 如果在注册登记场景下做好风控,拒绝绝大多数黑产,后续其他环节风险会降低很多。
像验证码这样的短信验证码,通过猫池和管理软件的协同自动读取,实现注册注册的自动化操作。 为了对抗猫池,许多平台演变成了语音验证码等新的验证码形式。 或者,请求用户向指定的号码发送认证码消息。
虚假号码(丧心病狂的“人机集团”在虚假号码产业链中,一些高科技集团以特殊方式提供手机接码能力。 在明确他们的运营体系时,对这些集团的创造力和执行力感到惊讶,但遗憾的是他们没有被用于正道。
“人机集团”拥有自己开发的手机rom系统,并预先嵌入后门逻辑,与多家公司合作生产各种品牌的“人机集团”。 卡被插入后,rom内的后门会通过邮件报告手机号码。 黑产用这些手机号码注册各种网络平台的账号,验证码发到老人的手机后通过后门再次传输到黑产手里。 使用者自己看不到这些短信,也不知道自己的手机用于黑产,只能从运营商的短信说明书中发现。
这种规模的黑产手机号码曾一度超过1000万,但互联网制造商无法验证这些手机号码是黑号码。 因为即使打电话,也不是空号码,而是有人在接听。
信息精易论坛是软件破解者和黑产工具的集中营,拥有各种打包破解库和现成工具的在线担保交易。
群控于2017年,拥有大量设备的群控中心开始提供“云手机”服务。 至此,群控进入SaaS时代,黑产无需自建群控系统,就能租用大量真实设备。
风险管理系统
终端风控层主要由设备指纹、生物探针和智能验证码组成,其中最重要的一环是设备指纹。 唯一性和稳定性需要权衡。
生物探针和智能验证码功能基本一致,但使用场景不同,前者适合在整个业务场景下监控是否为机器,后者适合在特定场景下对抗机器批量生产行为。 生物探测器在不影响用户交互的情况下,可以在APP应用的后台自动识别人,但只有验证码是违背用户交互体验的产品。
风险状况感知系统侧重于宏观的系统分析。 其核心功能是感知、展示和预测整个业务系统风险事件的变化趋势。 风险决策结果发生意外变动时,运营者应当手动分析策略遗漏、误杀的情况。
数据图像层中黑产攻击事件、黑手机号码列表、IP图片、设备图片、黑产使用的手机号码、IP、手机设备等资源相对有限,可重复用于针对各个不同网络平台的攻击活动。 在为广大客户提供SaaS防控的过程中,沉淀黑产风险数据形成影像体系是一种非常有效的“联防联控”技术手段。
诈骗信息体系作为整个过程的重要子系统,为整体防控效果提供了“攻击者视角”的能力补充和评价。 通过对黑产社区的监控、黑产动态的跟踪、自动分析研判,诈骗信息体系可以快速感知防护体系的薄弱环节,并驱动风控运营者进行针对性的优化。 黑产攻击方式不断变化,防控策略也需要不断升级。
设备指纹识别行业对设备的定义是指用户与业务系统交互的载体,可以是浏览器、一步手机或微信小程序。
在网络反欺诈中,设备ID类规则是防印单、薅羊毛、伪设备识别、爬虫、账户安全等场景的核心规则。
根据国家法律要求,设备指纹在生成设备标识的过程中不得使用通讯录、短信、手机号码、通话记录等用户隐私信息。 这些数据尽管具有极强的唯一性,却能有效提高设备指纹的准确性。
生物探针人与人、人与机器的行为不同,可以使用生物探针进行判断
当前是机器还是人类,以及是不是本人生物探针通过采集用户使用智能终端时的传感器数据(加速度计、陀螺仪、重力加速度计、磁场传感器)和屏幕轨迹数据,为每一位用户建立多维度的生物行为特征模型,生成用户专属画像进行人机识别、本人识别。
生物探针相较其他用户认证方式,主要优势如下:
用户无感知可持续在线验证用户行为习惯不易窃取和仿冒安全合规生物探针的缺点是采集上报的数据包比较大,容易受网络波动影响,未来可以通过终端智能计算、5G边缘计算解决网络传输带来的问题。
智能验证码CAPTCHA(Completely Automated Public Turing Test to Tell Computers And Human Apart)全自动区分计算机和人类的图灵测试。
打码平台聚集了大量想在网上赚钱的劳工。攻击者拿到验证码图片后,上传给打码平台、打码平台会把图片下发给这些劳工,由他们来解答,然后把正确答案返回。
由于打码平台的存在,验证码的图片到底是什么类型,已经变得不再重要了。因为我们对抗的不是机器,而是真实的人类。这样的话,图灵测试就完全失去了它的意义。
google的reCaptcha是一种方案,用户界面非常友好,它可以被认为是当前比较先进的验证码,它拥有强大的人机识别算法。
在攻击者获取验证图片的这个步骤前,我们也增加了门槛。每张图片从后端传输到前段的过程中都是经过切割打乱处理的,所以攻击者无法通过抓包的方式直接拿到最终展示给用户的图片。
海量数据的实时指标计算在对业务事件的实时风险决策判断中,无论是基于专家规则还是风控模型,都需要依赖对一定时间范围数据进行回溯加工的变量,这些变量称为指标。
在风控反欺诈业务中,为了实时进行业务事件的风险判断,要求指标计算延迟非常低,一般在毫秒或者几十毫秒级别。这里低延迟包含两个维度:一个维度是最新的事件被指标统计在内的延迟,另一个维度是计算结果的响应时间延迟。
基于数据库SQL的计算方案基于事件驱动的计算方案基于实时计算框架的计算方案 风险态势感知发现漏杀和误杀
专家水平有差异,可能给黑产留下可乘之机黑产攻击手法多变运营人员操作风险产品和系统Bug从上面的综述可以看出反欺诈体系建设中的风险预警的重要性:如何快速发现现有风控系统的防御盲区,预警随着线上已经逐渐失效的风控策略
基于统计分析– 核心风控指标数据:调用量,拒绝率啥的
– 核心业务数据:交易金额同比环比,退货率,地域分布,类目分布,营销优惠券使用情况基于无监督学习基于欺诈情报
– 当业务系统发生业务漏洞,无法防控黑产,被黑产利用时,黑产往往会通过论坛、社交网站、社交软件等方式进行讨论和分享。 名单体系
业内曾经有这样一个观点:第一代风控系统基于名单数据,第二代风控系统基于规则,第三代风控系统基于机器学习。姑且不论这种观点的准确性,至少说明了风险数据名单确实是一种有效的风险控制手段。它不能100%解决业务风险,但相比其他风控技术手段而言,它的性价比比较高。
注意名单投毒导致的客诉
欺诈情报体系我们把欺诈情报分为三大类:技术情报、数据情报和事件情报
- 技术情报: 学习黑产技术和工具- 数据情报:名单,订单找商户- 事件情报:已经发生,正在发生或者即将发生的信息