“本银行信用卡,手续简单额度高,活动丰富可免年费,更有积分换大礼。明早九点,网络在线申请,无需预约,极速办理,最快3秒审核!“
肖禾的手机响了,他低头一看,是银行微信公众号的一条新推送。
当下信用卡市场竞争日趋白热化,很多银行都在发行新的卡产品,为了抢夺客群,高额度、免年费、快审核、多优惠的新卡活动一波接着一波。黑产从业者们也自然盯上了这块肥肉。
不过20出头的肖禾,已经是信息搜集届小有名气的人物。信用卡欺诈产业链的重要环节,他都参与其中。这不,银行推广信息还没来得及分享,他就被一位微信群主@了。内容很简单:三百人,具体身份信息,要真的。肖禾略微思索了一下,回了四个字:一人六十。对方秒回:成交。
将手机揣回兜里,肖禾笃信,明早9点,他的上游黑客就能利用自动化程序软件,将他提供的三百条个人信息批量提交到申请页面,在短短几分钟内完成信用卡的在线申请。
至于如何获取身份信息,肖禾这种“高端玩家”已经不满足于在网上购买,除了和黑客合作,通过撞库、洗库的方式提炼筛选信息,他还选择了一种更隐蔽、回报率更高的方式:以公司招工、问卷调查等名义,低价换取或骗取大量真人的详细信息和身份证复印件,再为他们凭空造出各种收入证明、房产证明、学历证明。因为这些身份信息确实真实,所以不必过于担心银行的审核,通过率更高。况且如今部分银行“极速办理”的理念使得审核时间非常有限,即使需要短信或语音验证码,自动打码平台也能够轻松对付。
等成功领到信用卡,利用银行开卡即赠刷卡金、实体大礼包等活动,肖禾和伙伴们只需要一台电脑,就能将银行精心策划的信用卡推广活动一抢而空;更别说有了这一批新信用卡之后,以卡养卡,恶意透支、薅羊毛、套现,甚至洗钱能带来的巨额收益了。悄无声息之中,这条黑色产业链上的每个人都能赚得盆满钵满。
反观银行的被动境地
然而,对于银行的信用卡中心来说,肖禾眼中的诱人生意却教人欲除之而后快。
由于信用卡的主要业务集中在手机App和微信公众号上,为了提升用户的业务体验,很多银行都将相关促销活动放在H5页面上。但很快安全管理人员就察觉到,几乎每次H5页面推广,都会遭遇大量通过自动化攻击发起的虚假信用卡申请、抢促销与秒杀、短信轰炸等业务威胁。
从商业角度来说,这些攻击行为扰乱了申请数据、转化率、毛利率等商业分析指标,歪曲了业务增长的真实水平,可能会误导后续的商业决策。从用户体验来说,真实用户很难在与自动化工具的较量中胜出,总是抢不到促销优惠的结果,就是用户不再有继续参与、使用的热情,导致部分客户的流失。而从信用卡部门本身来说,除了会大大增加银行人工审核成本,影响正常用户申请的处理效率,最刻骨的影响大概就是动辄百万千万的投入打了水漂。
雪上加霜的是,当批量信用卡申请、薅羊毛、撞库、账户盗用、积分盗用这些新兴交易欺诈行为不断挑战银行业务系统和IT系统时,依赖特征库、规则及阀值机制进行防护的传统安全防御机制已经有心无力,无法提供有效防御,令信用卡部门承担着巨大的业务风险及商誉损害。
也正因如此,肖禾和他的同伙们才能在与银行的对决中一次次占据上风。
这一次,银行终于打了翻身仗
第二天一早,肖禾提交完用户信息,信心满满地等待着又一波分红。然而随着时间一分一秒地过去,肖禾却逐渐焦躁起来。因为往常刚过9点,他就能收到群主的大额红包——这是他们为又一次将银行玩弄于股掌之上的惯例庆祝。但现在时针已经指过11点,微信却仍然毫无动静。肖禾终于沉不住气发了一个问号,过了半天,对方才回了一条:自动化程序没用,没法提交申请。
其实,这一天,同时失手的还有成千上万个类似肖禾的组织,以往屡屡得逞的攻击者们,这次却在银行面前吃了闭门羹。
肖禾和其他攻击者们可能想不到,面对黑产的海量应用攻击,银行信用卡中心终于选择绝地反击,及时调整安全防护策略,打了一个漂亮的翻身仗。究其原因,正是该信用卡中心决定与瑞数信息展开合作,采用瑞数动态应用防护系统(RAS),对H5页面建立全新的安全防御体系。
以新信用卡开放申请的这一天为例,在早上九点至九点半的短短半小时内,经过瑞数动态应用防护系统(RAS)的识别,78.6%的开户申请都被认定为自动化工具提交的虚假申请,并被实时过滤和拦截。在随后9小时的定时监测中,由于自动化工具失效,恶意流量在全站访问总量中的占比也从78.6%急剧下降至不足1%,使得整体业务系统持续平稳运行。
瑞数让银行说“NO”
瑞数动态应用防护系统(RAS)旨在混淆和干扰攻击工具对于目标系统的认知,在银行反欺诈及风控系统识别和审核之前的业务逻辑流程之初,及业务操作的执行中就进行实时的人机识别,将风控前置,关口前移。其之所以能帮助银行信用卡部门成功逆转攻防态势,主要得益于以下几点:
- 动态算法生成:每次会话访问中网页代码参数的封装、令牌生成等算法及检查逻辑都不同,而且其有效时间能够随整体访问量动态调整。黑客必须在极短时间内完成逆向破解才能继续攻击,从而大幅提升了攻击的难度。
- 真实环境检查:通过对客户端环境与操作行为的动态验证,严密监察运行环境,防止恶意终端的访问,有效识别了访问网页的客户端是“人”还是“自动化工具”,从而过滤大量的自动化攻击噪音。
- 攻击行为模式分析:基于人机互动的理论,通过鼠标移动轨迹、页面停留时间等分析终端操作的行为模式,有效识别非人为的操作行为,有效防止低频率、模拟真人的操作攻击。
除了能够有效阻止各种自动化工具的攻击,帮助银行信用卡中心避免批量申请及后续养卡、薅羊毛、套现、洗钱的风险,保障银行的资金、用户和整体业务外,从应用安全效益角度看,瑞数动态应用防护系统(RAS)还可以大大降低安全运维成本。无需修改应用代码、无需进行特征库及策略库的升级维护工作,不仅节省了带宽、服务器等资源,而且令银行每年在应用安全方面的投入,包括安全评估、安全事件应急和安全运维,大幅降低。
“过去的武器,赢不了未来的战争“。随着黑灰产业不断的规模化、市场化,攻击手段也在向自动化和工具化演进,银行等金融机构绝不能仅仅依靠单一被动的传统模式进行安全防护,而应当利用瑞数“动态安全”的新技术,建立一张360度全方位的动态防护网,以动制动,确保银行信用卡及其他业务的安全运行!