文 / 江苏银行信息科技部 王钢 王心玉 蒋帅 汪德富

伴随互联网+金融的兴起,银行逐渐将业务迁移到互联网上,然而在提供网上业务便利的同时,银行也面临着许多严峻的新兴交易欺诈与安全威胁的挑战。诸如恶意注册、撞库、暴力破解、盗用账户、用户信息泄露、欺诈交易、交易篡改等交易欺诈行为,令银行承受着巨大的业务及商誉风险。

银行面临的威胁分析

金融行业的数据类型具备天然的敏感性、高价值等特点,因此备受攻击者青睐。而数字金融服务的普及为攻击者制造了更大的攻击面。目前,银行面临的“黑灰产”威胁,主要是以虚假交易套现、积分变现套利、用户信息倒卖、金融欺诈等形式来谋取暴利。

1.主要威胁

(1)羊毛党。主要体现在对信用卡和积分“薅羊毛”。对银行来说,持卡人参与银行开展的优惠促销活动,正常地获取积分,再将积分兑换成各种权益,这无可非议。但“职业羊毛党”往往通过虚假交易行为违规获取积分,并且涉及数额巨大。特别是一些“羊头”被“羊毛圈”冠以“大老板(DLB)”的名号,以显示其“薅羊毛”程度之凶狠、“成果”之丰盛。另外值得注意的是,随着各类信用卡套现、刷单软件的出现,当下“职业羊毛党”不仅仅是几个人或是几个小组织,而是往专业化、规模化的方向不断发展,逐渐形成黑灰色产业链。

图1  “职业羊毛党”利用POS机信用卡套利/套现流程图

(2)信息倒卖。用以信息倒卖的“信息”以银行客户数据为主,黑客通过非法途径或非法手段窃取银行的用户数据,并通过暗网进行售卖,以此谋取巨大利润。被窃取并售卖的隐私数据通常包括:姓名、性别、银行卡号码、身份证号码、手机号码、所在城市、通讯地址、邮编、工作单位、工作电话、住宅电话、银行卡种类、发卡银行等。

2.黑灰产运作方式

目前,针对银行业务的黑灰产攻击已形成较为完整的攻击产业链。从规划、布局、攻击、收割、诈骗到分赃的整个过程,由许多“黑灰产”团队分工合作,各自负责技术实现、社工欺诈、情报收集等步骤。同时,攻击产业链中的各个团队大多通过网络进行沟通,并通过不记名模式实现交易、买卖,为安全防护与攻击追踪设置了巨大难度。

另外,伴随着网络“黑灰产”的发展和成熟,如今的工具软件已经深度整合到了整个产业链当中,成为其中不可取代的一部分。以账号注册场景为例,黑灰产业除了掌握接码平台、打码平台和动态IP等资源外,还通过整合改机工具、模拟点击工具、批量扫号工具、代理软件工具等各类工具软件,实现了高度自动化和高度协同的作业流程。

“黑灰产”带来的负面影响和风险

一旦针对大型金融机构核心系统或广为使用的数字金融服务的攻击获得成功,将带来大范围的社会担忧、数据泄露丑闻、用户资产损失,从而对金融机构造成多重打击。

1.直接或间接的经济损失。国内很多银行和其他金融机构常年被“羊毛党”用专用工具时刻扫描,只要有新营销活动上线或者系统出现漏洞,一两分钟内大量资金就会被套现窃走,从而造成巨额的经济损失。

2.银行社会商誉降低。敏感信息泄露不会对企业立即造成财务损失,但会逐步引发法律诉讼、负面舆情等,使得企业信用程度降低、商誉下降、客户损失,进而出现高额财务损失并影响企业声誉。

3.正常的金融秩序被扰乱。随着各类信用卡套现、刷单软件的出现,专业化、规模化的黑灰色产业链,使得银行为广大持卡人提供的回馈以及营销投入被截流,广大持卡人利益受损,正常的金融秩序被扰乱。

“黑灰产”成因分析

1.巨大的经济利益驱动。网络“黑灰产,因巨大的经济利益而存在,产业链上中下游的任何一个环节中都存在利润空间。以“薅羊毛”为例,羊毛党为获取大量账户储备,需购买大量相关联的个人信息,即使一条个人信息仅售卖2角钱,我国8亿多网民基数也将为其带来无限的利润空间。目前,全国估计有数百万网络“黑灰产”从业者,年产值超过千亿人民币。

2.违法犯罪成本低。一方面,网络黑产门槛低、投入少。如今网络违法犯罪不再像以前那么神秘,不懂技术、没有经验、没有资源都没有关系,网络购物为网络违法犯罪提供了非常便利且低廉的条件,一个简单的手机木马程序甚至百十元即可买到。另一方面,很多黑灰产,尤其是灰产,涉及金额不大,往往构不成法律上的违法犯罪,所以即使被发现抓获,也不会受到严重惩罚。

3.网民安全意识的匮乏。我国网络普法相对滞后,很多网民自身缺乏网络安全意识,这正是网络“黑灰产”迅猛发展而难以控制、容易得手且利润巨大的原因之一。还有些网民有一定的网络安全意识,但是缺乏相关知识,不知该如何应对网络“黑灰产”,或使用什么安全防护软件。

4.监管难度大。目前国家已开始重视对网络黑灰产的打击,但是防范和打击难度比较大。一是“黑灰产”为了逃避打击,获取更大利益,在不断研发新技术和新犯罪工具。二是网络是个虚拟的空间,监管部门即使发现网络违法犯罪行为,在调查侦查过程中也是困难重重,电子证据特殊,难以发现和固定。

“黑灰产”治理及防护策略实践

随着技术的发展,越来越多的新型攻击手段被发现,“黑灰产”攻防技术的对抗周期不断缩短,精细化、定制化的攻击手法和思路使得传统防护的效果愈发有限,因此需要采用更创新融合的动态防护策略,具体包括以下几个方面:

1.采用多因素身份认证。采用除了用户名、密码之外的多因素认证模式,如短信验证码、人脸识别、声纹识别、指纹识别等认证技术组合使用。

2.自动化攻击识别。90%的攻击流量通过自动化工具发起,因此利用人机识别技术,实现对各种自动化工具的有效识别,防止自动化攻击的执行,从而降低黑灰产攻击效率,阻挡使用自动化工具发起的撞库、薅羊毛、批量网申和爬虫等攻击。

3.设备指纹技术。每个客户端生成不依赖于设备特征的“设备指纹”,防止攻击者通过伪造客户端环境、伪造令牌的方式绕过追踪;再通过“唯一令牌标识”和全访问记录,实现银行各业务渠道的关联,形成用户访问行为视图,实现精准的攻击定位与溯源。

4.全业务渠道覆盖。通过对银行所有的业务接入渠道,包括Web、App、API、H5、微信和微信小程序的统一防护,实现对各类接入客户端数据的融合,并通过来源IP、账号信息对各平台访问数据进行关联与信誉评分,实现多平台业务信息联动与威胁感知,达到精准识别与拦截恶意自动化非法请求的目的。同时通过完整的数据记录,可以透视用户的访问轨迹,追踪用户的访问行为。

5.业务威胁分析。通过数据聚类、威胁建模,机器学习等技术,综合应用保护系统的日志数据、客户端收集的相关数据,实现业务威胁深度分析,透视业务威胁、业务热点趋势,建立用户画像,辅助业务决策。

目前,国家对数据安全越来越重视,相继出台《网络安全法》《网络安全等级保护2.0》《数据安全法》等一系列法律法规用于规范和落实数据安全建设。对于银行业而言,数据安全、主动对抗外部威胁、防范业务风险将成为银行信息科技的重点工作和常态化工作,主动构建数据安全体系,稳步推进数据安全治理,是银行业发展的必由之路。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。